Tâche #1 : Mettre à jour WordPress, thèmes et plugins

Pourquoi les mises à jour sont vitales

Chaque semaine, des dizaines de vulnérabilités sont découvertes dans WordPress, ses thèmes et plugins. Les hackers automatisent le scan de millions de sites pour détecter les versions obsolètes et exploiter ces failles. Un site sous WordPress 6.2 alors que la version 6.4 est disponible affiche littéralement une pancarte "Je suis vulnérable, piratez-moi". 90% des sites WordPress piratés utilisaient des versions obsolètes au moment de l'attaque.

Au-delà de la sécurité, les mises à jour corrigent des bugs, améliorent les performances, ajoutent des fonctionnalités, maintiennent la compatibilité avec les nouvelles versions PHP/MySQL. Un plugin non mis à jour depuis 6 mois risque de crasher lors du passage PHP 8.1 à 8.2 sur votre hébergement. Résultat : écran blanc de la mort, site inaccessible, panique totale.

Protocole de mise à jour sécurisé

Ne cliquez JAMAIS sur "Tout mettre à jour" sans préparation. Ce bouton magique a tué plus de sites que de virus. Procédure obligatoire : effectuez une sauvegarde complète AVANT toute mise à jour majeure avec UpdraftPlus. Cette assurance vous permet de restaurer en 5 minutes si une mise à jour casse quelque chose.

Mettez à jour dans cet ordre précis : WordPress core d'abord, puis thèmes, enfin plugins. Testez le site après chaque étape. Consultez le changelog (notes de version) des plugins majeurs avant de mettre à jour pour repérer les breaking changes signalés. Si un plugin annonce "nécessite WordPress 6.4 minimum" mais que vous êtes en 6.2, mettez à jour WordPress d'abord.

Les mises à jour automatiques intelligentes

Activez les mises à jour automatiques pour WordPress core (mineures uniquement : 6.4.1 → 6.4.2) et pour les plugins de confiance. Dans Tableau de bord > Mises à jour, cochez "Activer les mises à jour automatiques" pour chaque plugin stable. Gardez manuelles les mises à jour majeures (6.4 → 6.5) et celles de plugins critiques (constructeurs de pages, SEO, sécurité).

Installez le plugin Easy Updates Manager pour configurer finement les mises à jour auto : core, thèmes, plugins par catégorie, traductions. Programmez les mises à jour automatiques à 3h du matin (heure creuse trafic) et recevez un email récapitulatif. Cette stratégie hybride automatise 80% des mises à jour routine tout en préservant le contrôle sur les changements critiques.

Tâche #3 : Scanner les menaces de sécurité

Les menaces invisibles qui dorment

Un site WordPress piraté n'affiche pas toujours "HACKED BY..." en page d'accueil. Les hackers modernes sont discrets : ils injectent du code malveillant qui envoie du spam, vole des données, participe à des attaques DDoS, sans que vous ne remarquiez rien. Votre site peut être infecté depuis 3 mois et continuer de fonctionner normalement en surface. Seul un scan profond mensuel détecte ces infections silencieuses.

Les signes d'infection subtile : pages inconnues indexées sur Google (site:votredomaine.com viagra), ralentissement inexpliqué, fichiers modifiés dans /wp-admin ou /wp-includes, processus serveur consommant 100% CPU, blacklistage par Google Safe Browsing. À ce stade, des milliers de visiteurs ont déjà été redirigés vers des sites malveillants, détruisant votre réputation SEO.

Wordfence : le scanner de référence

Installez Wordfence Security (gratuit) et lancez un scan complet mensuel. Le scan vérifie l'intégrité des fichiers core WordPress en les comparant au repository officiel, détecte les backdoors connus, scanne les signatures malware dans plugins/thèmes, analyse les tentatives de connexion suspectes, vérifie la liste noire Google.

Programmez un scan automatique hebdomadaire à 3h du matin. Wordfence consomme beaucoup de ressources CPU pendant 5 à 15 minutes : lancez-le en heures creuses pour ne pas ralentir le site aux heures de pointe. Configurez les alertes email pour recevoir un rapport : 0 menace critique = tout va bien, 1+ = investigation immédiate requise.

Analyse des tentatives de connexion

Consultez Wordfence > Tools > Live Traffic pour visualiser les tentatives de connexion échouées. Vous verrez des dizaines de bots essayant admin/admin, admin/password, admin/123456 chaque jour. C'est normal et géré par le firewall. Alertez-vous si vous voyez des tentatives sur votre vrai nom d'utilisateur : cela signifie que votre username a fuité et qu'une attaque ciblée est en cours.

Activez l'authentification à deux facteurs avec le plugin Two Factor Authentication. Même si votre mot de passe est compromis, l'attaquant ne pourra pas se connecter sans le code OTP de votre smartphone. Cette couche supplémentaire bloque 99,9% des attaques par force brute automatisées.

Tâche #5 : Compresser et optimiser les images

Le poids invisible qui tue la vitesse

Les images représentent 60 à 70% du poids total d'une page web. Un article avec 10 photos non optimisées pèse facilement 15 à 25 Mo. Sur une connexion mobile 4G moyenne (10 Mbps), cela prend 12 à 20 secondes à charger complètement. 53% des visiteurs mobiles abandonnent une page qui met plus de 3 secondes à charger. Vos belles photos HD détruisent littéralement vos conversions.

WordPress génère automatiquement plusieurs tailles d'image lors de l'upload (thumbnail, medium, large) mais conserve l'originale 4500×3000 px de 4,2 Mo. Si vous insérez cette image dans un article avec une largeur maximale de 800 px, le navigateur télécharge quand même les 4,2 Mo complets puis les réduit visuellement. C'est un gaspillage monstrueux de bande passante pour un résultat identique à une image de 180 Ko.

Compression automatique avec ShortPixel

Installez ShortPixel Image Optimizer (100 images/mois gratuites, puis 4,99€/mois pour 5000 images). Le plugin compresse automatiquement chaque image uploadée en format WebP (30 à 40% plus léger que JPEG à qualité identique). Il génère également les versions responsive pour chaque taille WordPress. Une photo de 4,2 Mo devient 180 Ko en WebP, soit 96% de réduction sans perte visuelle perceptible.

Lancez l'optimisation en masse une fois par mois pour traiter les images déjà présentes. ShortPixel > Bulk > Start Optimizing. Le processus prend 10 à 60 minutes selon votre médiathèque. Résultat : votre dossier /wp-content/uploads passe de 2,5 Go à 600 Mo, les pages chargent 3 à 5 fois plus vite, Google PageSpeed score grimpe de 30 points.

Le lazy loading natif WordPress

Depuis WordPress 5.5, le lazy loading est activé par défaut : les images hors écran ne se chargent que lorsque l'utilisateur scrolle vers elles. Une page avec 20 images ne charge que les 3 à 5 visibles initialement, économisant 80% de la bande passante pour les visiteurs qui ne scrollent jamais jusqu'en bas. Cette fonctionnalité native ne nécessite aucun plugin et améliore significativement le temps de chargement initial perçu.

Tâche #7 : Détecter et corriger les liens cassés

L'hémorragie SEO silencieuse

Vous supprimez un article obsolète, changez une URL, un site externe vers lequel vous liez disparaît. Résultat : des dizaines de liens cassés s'accumulent dans vos contenus. Chaque lien 404 envoie un signal négatif à Google : "ce site n'est pas maintenu, le contenu est obsolète". Au-delà de 25 liens cassés, Google commence à pénaliser votre référencement global, indépendamment de la qualité du reste de votre contenu.

L'impact utilisateur est immédiat : un visiteur clique sur un lien prometteur dans votre article et tombe sur une erreur 404. Frustration, perte de confiance, retour à Google pour chercher l'info ailleurs. Vous perdez un lecteur et un client potentiel à cause d'un lien mort que vous auriez pu corriger en 10 secondes. Multipliez par 100 visiteurs/jour et vous mesurez l'ampleur des dégâts.

Détection automatique avec Broken Link Checker

Installez Broken Link Checker (gratuit) qui scanne automatiquement tous vos contenus : articles, pages, commentaires, menus, widgets. Le plugin vérifie chaque lien interne et externe, détecte les réponses 404, les redirections en chaîne, les timeouts. Le rapport liste tous les liens problématiques avec leur emplacement exact.

Configurez le scan hebdomadaire automatique. Attention : le plugin consomme beaucoup de ressources serveur lors du scan initial (peut durer 30 minutes à 2 heures selon la taille du site). Programmez-le à 4h du matin. Une fois l'inventaire initial complété, les scans suivants ne vérifient que les nouveaux contenus et prennent quelques minutes.

Correction rapide en masse

Accédez à Outils > Liens rompus. Le plugin classe les erreurs par type : liens HTTP 404, images manquantes, liens externes morts, redirections permanentes. Traitez les liens internes en priorité : remplacez l'URL cassée par la bonne, ou supprimez le lien si le contenu n'existe plus. Pour les liens externes morts, recherchez une page de remplacement équivalente ou supprimez la référence.

Utilisez la fonction "Modifier l'URL" pour corriger en masse : si vous avez 50 occurrences d'un même lien cassé, modifiez l'URL une fois et le plugin met à jour toutes les occurrences automatiquement. Gain de temps considérable comparé à l'édition manuelle de 50 articles. Visez zéro lien cassé avant la fin de chaque mois de maintenance.

Tâche #9 : Consulter le rapport Santé du site WordPress

Le diagnostic intégré WordPress

Depuis WordPress 5.2, un outil de diagnostic nativement intégré vérifie automatiquement 15 critères techniques : version WordPress et plugins, configuration PHP, extensions requises, connexion base de données, permissions fichiers, HTTPS actif, taille mémoire allouée. Ce rapport compile en un coup d'œil l'état de santé global de votre installation sans plugin tiers.

Accédez à Outils > Santé du site. Un score global s'affiche : Bon (vert, 90%+), Doit être amélioré (orange, 70-89%), Critique (rouge, moins de 70%). Cliquez sur l'onglet "Info" pour voir le détail complet : versions logicielles, configuration serveur, constantes WordPress actives, taille base de données, thème et plugins actifs. Ces informations sont précieuses pour diagnostiquer un problème ou demander de l'aide sur les forums.

Interpréter les recommandations

Le rapport distingue "Problèmes critiques" (à corriger immédiatement) et "Améliorations recommandées" (optimisations non urgentes). Un problème critique typique : "PHP 7.4 détecté, passage à PHP 8.0+ recommandé". PHP 7.4 n'est plus maintenu depuis novembre 2022, donc vulnérable. Contactez votre hébergeur pour migrer vers PHP 8.1 ou 8.2.

Une amélioration recommandée courante : "Un ou plusieurs plugins recommandent une version PHP supérieure". Ce n'est pas bloquant aujourd'hui, mais anticipe un problème futur. Certains plugins abandonnent progressivement le support des vieilles versions PHP. Planifiez la mise à jour pour éviter des incompatibilités lors d'une future mise à jour de plugin.

Export du rapport pour support technique

Si vous contactez le support de votre hébergeur ou un développeur WordPress, l'onglet "Info" propose un bouton "Copier les informations du site dans le presse-papiers". Cela génère un rapport complet de 2 à 3 pages avec toutes les données techniques. Collez ce rapport dans votre ticket de support : le technicien aura instantanément toutes les infos nécessaires sans vous poser 20 questions sur vos versions PHP, mémoire allouée, extensions actives.

Consultez ce rapport une fois par mois lors de votre routine de maintenance. Même si tout fonctionne apparemment bien, le rapport peut révéler des avertissements précoces : espace disque qui se remplit, mémoire PHP limite atteinte 15 fois ce mois-ci, base de données qui approche la taille maximale. Anticiper ces problèmes évite les pannes brutales.