InspectWP Logo
Glossaire

Qu'est-ce qu'oEmbed ?

8 février 2026 Mis à jour le 19 avr. 2026

Vous collez un lien YouTube dans un article WordPress et il se transforme comme par magie en lecteur vidéo intégré. Pas d'iframe à copier, pas de HTML à bricoler, juste une simple URL qui devient un média enrichi. Cette magie, c'est oEmbed, un protocole ouvert intégré à WordPress depuis la version 2.9 (2009). C'est pratique, en grande partie invisible, et (selon votre point de vue) soit une fonctionnalité utile, soit un sujet de confidentialité et de sécurité dont vous devriez être conscient.

Comment fonctionne le protocole oEmbed étape par étape

Lorsque vous collez une URL dans l'éditeur de blocs WordPress, WordPress ne se contente pas de l'envelopper dans une iframe en espérant que tout se passe bien. Le processus comporte trois étapes distinctes :

  1. Recherche du fournisseur : WordPress vérifie l'URL par rapport à une liste codée en dur de fournisseurs oEmbed de confiance (YouTube, Vimeo, Twitter, Spotify, etc.). Si l'URL correspond à un fournisseur connu, WordPress sait où demander le code d'intégration.
  2. Requête API : WordPress envoie une requête HTTP au point de terminaison oEmbed du fournisseur, en transmettant l'URL et les dimensions souhaitées de l'intégration. Par exemple, pour une vidéo YouTube, il appelle quelque chose comme https://www.youtube.com/oembed?url=...&format=json.
  3. Rendu de l'intégration : Le fournisseur répond avec du JSON contenant le HTML d'intégration (généralement une iframe), un titre, une URL de vignette et des métadonnées comme le nom de l'auteur. WordPress met cette réponse en cache et affiche l'intégration dans votre article.

Si l'URL ne correspond à aucun fournisseur connu, WordPress peut également tenter une découverte oEmbed : il récupère l'URL cible et recherche une balise <link type="application/json+oembed"> dans le HTML qui pointe vers un point de terminaison oEmbed. C'est ainsi que des services moins connus peuvent fournir des intégrations sans figurer sur la liste blanche de WordPress.

Fournisseurs oEmbed pris en charge dans WordPress

WordPress est livré avec une prise en charge intégrée pour une longue liste de fournisseurs. Les plus couramment utilisés incluent :

  • Vidéo : YouTube, Vimeo, Dailymotion, VideoPress, TikTok
  • Audio : Spotify, SoundCloud, Mixcloud
  • Réseaux sociaux : Twitter/X, Instagram, Reddit, Tumblr, Bluesky
  • Images : Flickr, Imgur, SmugMug
  • Autres : articles WordPress.com, Speaker Deck, Crowdsignal, Pocket Casts

Les extensions peuvent ajouter des fournisseurs supplémentaires, et WordPress vous permet également d'enregistrer des fournisseurs oEmbed personnalisés via la fonction wp_oembed_add_provider().

WordPress en tant que fournisseur oEmbed : découverte et API REST

Voici la partie que beaucoup de gens manquent : WordPress ne se contente pas de consommer oEmbed, il agit aussi comme fournisseur. Par défaut, chaque site WordPress expose un point de terminaison oEmbed à l'adresse /wp-json/oembed/1.0/embed et ajoute un lien de découverte à chaque page :

<link rel="alternate" type="application/json+oembed"
      href="https://example.com/wp-json/oembed/1.0/embed?url=..." />

Cela signifie que d'autres sites WordPress (ou toute application compatible oEmbed) peuvent intégrer vos articles en collant simplement leur URL. L'aperçu intégré inclut le titre de l'article, un extrait, le nom du site et l'auteur, ce qui nous amène aux aspects de sécurité et de confidentialité.

Risques de sécurité et préoccupations de confidentialité liés à oEmbed

La fonctionnalité de fournisseur oEmbed comporte plusieurs aspects à considérer :

  • Exposition d'informations : Le point de terminaison oEmbed renvoie les titres d'articles, les extraits, les noms d'affichage des auteurs et les métadonnées du site à quiconque l'interroge. Vous n'avez pas besoin d'être connecté. Cela peut être problématique si vous publiez du contenu où l'identité de l'auteur ne devrait pas être publique, ou si vous souhaitez minimiser les informations que votre site expose.
  • Potentiel SSRF : Lorsque WordPress récupère des données oEmbed pour des URL collées dans l'éditeur, il effectue des requêtes HTTP sortantes. En théorie, une URL malveillante pourrait tenter d'exploiter cela pour une falsification de requête côté serveur (Server-Side Request Forgery), forçant WordPress à requêter des ressources internes. WordPress dispose de protections contre cela, mais la surface d'attaque existe.
  • Chargement de ressources tierces : Chaque service intégré charge ses propres scripts, feuilles de style et mécanismes de suivi depuis des serveurs externes. Une intégration YouTube charge les scripts de suivi de Google. Une intégration Twitter charge les scripts de X. Chacune crée des requêtes tierces pertinentes pour la conformité au RGPD et peut affecter la performance de chargement de la page.
  • Surface de l'API REST : Le point de terminaison oEmbed fait partie de l'API REST de WordPress. Si vous essayez de minimiser les points de terminaison API publiquement accessibles de votre site (une étape courante de durcissement de la sécurité), la découverte oEmbed s'ajoute à cette surface.

Comment désactiver oEmbed dans WordPress

Si vous ne voulez pas que d'autres sites intègrent votre contenu, ou si vous souhaitez réduire l'exposition d'informations de votre site, vous pouvez désactiver le côté fournisseur sans perdre la capacité d'intégrer du contenu externe dans vos propres articles :

// Supprimer les liens de découverte oEmbed du HTML head
remove_action('wp_head', 'wp_oembed_add_discovery_links');

// Supprimer le JavaScript spécifique à oEmbed du frontend
remove_action('wp_head', 'wp_oembed_add_host_js');

// Désactiver la route REST API d'oEmbed
add_filter('embed_oembed_discover', '__return_false');

Si vous voulez aussi empêcher WordPress de récupérer les données oEmbed pour les URL que vous collez (par exemple pour éviter complètement les requêtes sortantes), vous pouvez supprimer le filtre oEmbed du contenu :

remove_filter('pre_oembed_result', 'wp_filter_pre_oembed_result');

oEmbed et RGPD : chargement de contenu tiers

Du point de vue de la protection des données, les intégrations oEmbed sont essentiellement du chargement de contenu tiers. Lorsqu'un visiteur consulte une page contenant une intégration YouTube, son navigateur effectue des requêtes vers les serveurs de Google, transmettant son adresse IP, ses cookies et les données d'empreinte de navigateur. Sous le RGPD, cela peut nécessiter un consentement préalable.

Plusieurs extensions WordPress traitent ce problème en chargeant les intégrations en différé derrière un clic de consentement (le visiteur voit un espace réservé et doit cliquer pour charger l'intégration réelle). C'est une approche courante sur le marché germanophone où l'application du RGPD est particulièrement stricte.

Vérifiez votre configuration oEmbed avec InspectWP

InspectWP vérifie si votre site WordPress a la découverte oEmbed activée en recherchant la balise de lien oEmbed dans le HTML de votre page. Si elle est présente et que vous n'aviez pas l'intention d'exposer votre contenu pour intégration sur d'autres sites, le rapport vous avertit afin que vous puissiez décider de la désactiver.

Article précédent

Qu'est-ce que le Google Consent Mode ?

Article suivant

Qu'est-ce que WP-Cron ?

Articles liés

Qu'est-ce qu'une meta description ?

Qu'est-ce que le contenu mixte ?

Qu'est-ce que le lazy loading ?

Voir tous les articles

Vérifiez votre site WordPress dès maintenant

InspectWP analyse votre site WordPress pour détecter les problèmes de sécurité, de SEO, de conformité RGPD et de performance — gratuitement.

Analyser votre site gratuitement