InspectWP Logo
Guide de correction

Comment mettre à jour les thèmes WordPress en toute sécurité

8 février 2026 Mis à jour le 19 avr. 2026

Maintenir votre thème WordPress à jour est tout aussi important que mettre à jour vos extensions. Les vulnérabilités d'un thème peuvent exposer l'ensemble de votre site à des attaques, et les thèmes obsolètes provoquent fréquemment des problèmes de compatibilité avec les versions plus récentes de WordPress. Cependant, les mises à jour de thèmes nécessitent une attention particulière, car elles peuvent écraser vos personnalisations si vous avez modifié les fichiers du thème directement. Ce guide vous accompagne tout au long du processus de mise à jour des thèmes WordPress en toute sécurité, de la préparation à la vérification.

Pourquoi les mises à jour de thèmes WordPress sont importantes pour la sécurité et la compatibilité

Votre thème contrôle tout ce que les visiteurs voient sur votre site, de la mise en page à la typographie en passant par le rendu du contenu. Il exécute également du code PHP à chaque chargement de page, ce qui en fait une cible potentielle pour les attaquants. Voici pourquoi rester à jour compte :

  • Correctifs de vulnérabilités de sécurité : les thèmes peuvent contenir des vulnérabilités telles que le Cross-Site Scripting (XSS), l'injection SQL, des bugs d'inclusion de fichiers ou une gestion non sécurisée des téléversements. Une seule vulnérabilité non corrigée dans votre thème peut donner à un attaquant un accès complet à votre site. Les vulnérabilités de thèmes sont particulièrement dangereuses car les thèmes sont actifs sur chaque page, ce qui signifie que le code vulnérable s'exécute à chaque requête.
  • Compatibilité avec le cœur de WordPress : le cœur de WordPress est mis à jour régulièrement, et chaque version majeure peut déprécier des fonctions PHP, modifier des hooks de templates ou changer le comportement de l'éditeur de blocs. Un thème obsolète qui dépend de fonctions supprimées déclenchera des avertissements PHP, cassera la mise en page ou échouera à afficher correctement les blocs.
  • Compatibilité avec la version de PHP : les hébergeurs mettent régulièrement à niveau PHP pour la performance et la sécurité. PHP 8.0 et 8.1 ont introduit une gestion stricte des types, et PHP 8.2 a déprécié les propriétés dynamiques. Un code de thème ancien qui fonctionnait sans problème sur PHP 7.4 peut générer des avis de dépréciation ou des erreurs fatales sur PHP 8.x. Maintenir votre thème à jour garantit qu'il prend en charge la dernière version de PHP exécutée sur votre serveur.
  • Améliorations de la performance et des Core Web Vitals : les développeurs de thèmes optimisent leur code au fil du temps, réduisent les ressources bloquant le rendu, améliorent le chargement différé des images, ajoutent des stratégies natives de chargement de polices et optimisent la livraison du CSS. Ces améliorations affectent directement votre Largest Contentful Paint (LCP), Cumulative Layout Shift (CLS) et d'autres métriques Core Web Vitals que Google utilise comme signaux de classement.
  • Prise en charge de l'éditeur de blocs et du Full Site Editing : WordPress évolue vers le Full Site Editing (FSE) avec les thèmes de blocs. Les mises à jour de thèmes ajoutent souvent la prise en charge de nouvelles fonctionnalités de l'éditeur de blocs comme les styles globaux, les parties de template et les motifs de blocs personnalisés. Rester à jour signifie que votre thème profite des dernières capacités d'édition.

Utiliser un thème enfant WordPress pour protéger vos personnalisations

L'étape la plus importante que vous puissiez prendre avant de mettre à jour un thème est de vous assurer que vos personnalisations vivent dans un thème enfant, et non dans les fichiers du thème parent. Lorsque le thème parent est mis à jour, chaque fichier dans le répertoire du thème parent est écrasé. Si vous avez modifié ces fichiers directement, vos changements sont perdus.

Un thème enfant hérite de toutes les fonctionnalités de son thème parent tout en gardant vos modifications dans un répertoire séparé. Voici comment en configurer un :

Créez un nouveau répertoire dans wp-content/themes/ nommé d'après votre thème enfant (par exemple, flavor-child). À l'intérieur, créez un fichier style.css :

/*
 Theme Name: Flavor Child
 Template: flavor
 Description: Thème enfant pour Flavor
 Version: 1.0.0
*/

La ligne Template doit correspondre exactement au nom du répertoire du thème parent. Ensuite, créez un fichier functions.php pour mettre en file d'attente les styles du thème parent :

<?php
add_action('wp_enqueue_scripts', function () {
    wp_enqueue_style(
        'flavor-parent-style',
        get_template_directory_uri() . '/style.css'
    );
}, 5);

Activez le thème enfant depuis Apparence > Thèmes. À partir de ce moment, tout fichier de template que vous souhaitez personnaliser doit être copié du thème parent vers le répertoire du thème enfant et modifié à cet endroit. Par exemple, pour personnaliser l'en-tête, copiez header.php du thème parent vers le dossier de votre thème enfant et apportez vos modifications dans cette copie. WordPress utilisera automatiquement la version du thème enfant à la place de celle du parent.

Guide étape par étape pour mettre à jour les thèmes WordPress

Suivez ce processus pour chaque mise à jour de thème, qu'il s'agisse d'un correctif mineur ou d'une mise à niveau de version majeure :

  1. Sauvegardez l'intégralité de votre site : créez une sauvegarde complète de votre base de données et de tous les fichiers. Utilisez une extension de sauvegarde comme UpdraftPlus, BlogVault, ou la fonction de snapshot de votre hébergeur. Si vous utilisez WP-CLI, vous pouvez exporter rapidement la base de données :
    wp db export backup-avant-mise-a-jour-theme.sql
    Sauvegardez également votre répertoire de thème spécifiquement, au cas où vous auriez besoin de comparer des fichiers plus tard :
    cp -r wp-content/themes/flavor wp-content/themes/flavor-backup
  2. Lisez le journal des modifications du thème : consultez la page du thème sur WordPress.org ou le site web du développeur pour le changelog. Recherchez les mentions de changements cassants, de fichiers de templates supprimés, de hooks modifiés ou d'exigences minimales mises à jour (version de WordPress, version de PHP). Les sauts de version majeurs méritent une vigilance particulière.
  3. Comparez les fichiers du thème parent modifiés : si vous avez modifié le thème parent directement (sans thème enfant), vous devez identifier précisément quels fichiers vous avez changés avant la mise à jour. Utilisez un outil de diff ou WP-CLI pour comparer :
    # Comparer vos fichiers de thème avec la version du dépôt
diff -r wp-content/themes/flavor /tmp/flavor-original/
    Documentez chaque modification que vous trouvez. Vous devrez réappliquer ces modifications après la mise à jour, idéalement en les déplaçant dans un thème enfant.
  4. Testez la mise à jour sur un environnement de préproduction : clonez votre site de production vers un environnement de préproduction et appliquez-y la mise à jour du thème en premier. Vérifiez chaque zone critique : mise en page de la page d'accueil, archive du blog, pages d'articles uniques, templates de pages personnalisés, en-tête et pied de page, menus de navigation, zones de widgets, pages produits WooCommerce (le cas échéant) et la responsivité mobile.
  5. Appliquez la mise à jour en production : allez dans Apparence > Thèmes, cliquez sur votre thème actif et cliquez sur « Mettre à jour ». Si vous utilisez WP-CLI :
    wp theme update flavor
  6. Vérifiez votre site en profondeur : après la mise à jour, vérifiez les éléments suivants :
    • La page d'accueil s'affiche correctement avec toutes les sections et images
    • Les menus de navigation s'affichent correctement sur ordinateur et mobile
    • Les articles de blog et les pages d'archives conservent leur mise en page
    • Les templates de pages personnalisés fonctionnent toujours
    • Les widgets et barres latérales apparaissent aux bonnes positions
    • Les formulaires, boutons et éléments interactifs fonctionnent
    • La console du navigateur n'affiche aucune nouvelle erreur JavaScript
    • Le journal d'erreurs PHP ne contient aucun nouvel avertissement ni avis

Comment récupérer les personnalisations de thème perdues après une mise à jour

Si vous avez modifié le thème parent directement et qu'une mise à jour écrase vos changements, ne paniquez pas. Suivez ces étapes pour récupérer :

  1. Restaurez la version précédente du thème depuis votre sauvegarde : si vous avez fait une sauvegarde du répertoire du thème avant la mise à jour (comme recommandé ci-dessus), recopiez les anciens fichiers du thème à leur place. Si vous avez utilisé une sauvegarde complète du site, vous pouvez n'extraire que le dossier du thème.
  2. Identifiez tous les fichiers personnalisés : comparez l'ancienne version restaurée avec la version originale (non modifiée) de cette même release. Cela révèle exactement quels fichiers vous avez changés et quelles étaient les modifications. Utilisez diff ou un outil de comparaison visuelle comme Meld ou la visionneuse de diff intégrée à VS Code.
  3. Créez un thème enfant et migrez vos modifications : pour chaque fichier que vous avez personnalisé, copiez-le du thème parent vers un nouveau répertoire de thème enfant et appliquez-y vos modifications. Ainsi, les futures mises à jour du thème parent n'écraseront pas votre travail.
  4. Mettez à nouveau à jour le thème parent : avec vos personnalisations en sécurité dans le thème enfant, mettez à jour le thème parent vers la dernière version.
  5. Vérifiez que tout fonctionne ensemble : testez votre site en profondeur. Portez une attention particulière aux fichiers de templates où le thème parent a effectué des changements structurels. Les surcharges de templates de votre thème enfant peuvent nécessiter des ajustements pour correspondre au nouveau balisage ou aux modifications de hooks dans le thème parent.

Comment gérer les thèmes WordPress obsolètes et abandonnés

Lorsque InspectWP signale que votre thème est obsolète, la réaction appropriée dépend de son degré d'obsolescence et de sa maintenance :

  • Vérifiez la date de dernière mise à jour sur WordPress.org : si le thème n'a pas été mis à jour depuis plus de deux ans, il est peut-être abandonné. Regardez le forum de support : si le développeur a cessé de répondre aux questions, le thème n'est probablement plus maintenu.
  • Recherchez les vulnérabilités de sécurité connues : consultez la base de données de vulnérabilités WPScan, la base de données Patchstack et le forum de support du thème pour tout problème de sécurité signalé. Un thème abandonné avec des vulnérabilités connues constitue un risque sérieux.
  • Envisagez de migrer vers un thème activement maintenu : si votre thème est abandonné, planifiez une migration vers un thème moderne et activement maintenu. Les options populaires bien entretenues incluent GeneratePress, Flavor, Flavor, Kadence et Flavor Theme. Pour les thèmes de blocs, considérez Twenty Twenty-Five ou Flavor.
  • Gardez le thème par défaut WordPress le plus récent installé : WordPress livre des thèmes par défaut (Twenty Twenty-Five, Twenty Twenty-Four, etc.) qui servent de thèmes de secours. Gardez toujours au moins le thème par défaut le plus récent installé. Si votre thème actif plante ou est automatiquement désactivé en raison d'une erreur fatale, WordPress reviendra au thème par défaut afin que votre site reste accessible.
  • Supprimez les thèmes inutilisés : tout comme les extensions, les thèmes inactifs présents dans votre répertoire wp-content/themes/ peuvent être exploités s'ils contiennent des vulnérabilités. Conservez uniquement votre thème actif, son thème parent (si vous utilisez un thème enfant) et le thème par défaut WordPress le plus récent. Supprimez tout le reste.

Configurer les mises à jour automatiques des thèmes WordPress

WordPress 5.5 a introduit la prise en charge native des mises à jour automatiques pour les thèmes. Voici comment l'activer :

  1. Allez dans Apparence > Thèmes.
  2. Cliquez sur votre thème actif pour ouvrir ses détails.
  3. Cliquez sur « Activer les mises à jour automatiques ».

Pour activer les mises à jour automatiques pour tous les thèmes par programmation :

add_filter('auto_update_theme', '__return_true');

Pour des mises à jour automatiques sélectives, vous pouvez cibler des thèmes spécifiques :

add_filter('auto_update_theme', function ($update, $item) {
    // Mettre à jour automatiquement uniquement ces thèmes
    $auto_update_themes = ['flavor', 'flavor-child'];
    return in_array($item->theme, $auto_update_themes, true);
}, 10, 2);

Les mises à jour automatiques fonctionnent bien pour les thèmes qui reçoivent des petits correctifs fréquents. Pour les thèmes qui effectuent de grands changements structurels entre les versions (en particulier les thèmes premium avec des constructeurs de pages intégrés), les mises à jour manuelles avec tests en préproduction sont plus sûres.

Considérations sur les mises à jour de thèmes de blocs pour le Full Site Editing

Si vous utilisez un thème de blocs (Full Site Editing), le processus de mise à jour fonctionne différemment car vos personnalisations de design sont stockées séparément des fichiers du thème :

  • Les styles globaux sont stockés dans la base de données : les couleurs, la typographie, les espacements et autres tokens de design que vous définissez via l'éditeur de site sont enregistrés en tant que type de contenu personnalisé (wp_global_styles), et non dans theme.json. Les mises à jour de thème n'écrasent pas ces paramètres.
  • Les templates personnalisés sont également stockés en base de données : lorsque vous créez ou modifiez des templates dans l'éditeur de site, WordPress les sauvegarde dans la base de données en tant que types de contenus personnalisés wp_template et wp_template_part. Ces personnalisations persistent à travers les mises à jour de thème.
  • Cependant, vérifiez les changements de templates : lorsque le développeur du thème ajoute de nouveaux templates, restructure ceux existants ou modifie les motifs de blocs, vos personnalisations stockées en base de données peuvent ne pas reprendre ces améliorations automatiquement. Après la mise à jour d'un thème de blocs, comparez vos templates personnalisés avec les nouveaux templates par défaut (vous pouvez réinitialiser des templates individuels dans l'éditeur de site) pour voir si le thème a introduit des changements bénéfiques que vous souhaitez incorporer.
  • Le fichier theme.json est bien écrasé : bien que vos personnalisations dans l'éditeur de site soient en sécurité, le fichier theme.json de base dans le répertoire du thème sera remplacé lors d'une mise à jour. Si vous avez modifié theme.json manuellement au lieu d'utiliser l'éditeur de site, ces modifications seront perdues. Bonne pratique : utilisez le theme.json d'un thème enfant pour toute personnalisation JSON manuelle, ou utilisez l'interface de l'éditeur de site, qui stocke tout dans la base de données.

Gérer les mises à jour de thèmes WordPress avec WP-CLI

WP-CLI fournit des commandes efficaces pour gérer les mises à jour de thèmes depuis la ligne de commande :

# Vérifier les mises à jour de thèmes disponibles
wp theme list --update=available --format=table

# Mettre à jour un thème spécifique
wp theme update flavor

# Mettre à jour tous les thèmes
wp theme update --all

# Obtenir des informations détaillées sur le thème
wp theme get flavor --fields=name,version,status,update

# Vérifier les sommes de contrôle du thème par rapport à WordPress.org
wp theme verify-checksums flavor

# Installer et activer un thème en une seule commande
wp theme install flavor --activate

# Lister tous les thèmes installés avec leur statut
wp theme list --format=table

Comment InspectWP surveille votre thème WordPress

InspectWP détecte votre thème WordPress actif et votre thème enfant en analysant le code source de la page et les références aux feuilles de style. Il vérifie la version du thème installée par rapport au dépôt WordPress.org et signale les thèmes qui exécutent des versions obsolètes. InspectWP identifie également si vous utilisez un thème enfant (ce qui est recommandé pour des mises à jour sécurisées) et affiche la relation parent-enfant. Si votre thème a été retiré du dépôt WordPress, InspectWP le signalera comme un problème de sécurité potentiel. Avec les rapports automatiques planifiés, vous recevez des notifications dès que la version de votre thème prend du retard, vous laissant le temps de planifier et de tester les mises à jour avant qu'elles ne deviennent un risque de sécurité.

Article précédent

Comment maintenir les extensions WordPress à jour et sécurisées

Article suivant

Comment ajouter une méta description dans WordPress

Articles liés

Comment augmenter la taille maximale des fichiers téléversés dans WordPress

Comment bloquer readme.html et license.txt dans WordPress

Comment désactiver le listage de répertoire dans WordPress (Apache et nginx)

Voir tous les articles

Vérifiez votre site WordPress dès maintenant

InspectWP analyse votre site WordPress pour détecter les problèmes de sécurité, de SEO, de conformité RGPD et de performance — gratuitement.

Analyser votre site gratuitement