Bien essayé, mais y'a rien au-dessus. Scrollez vers le bas !
Retour au blog
· 4 min de lecture
WordPress sécurité performance site web

Votre prestataire utilise encore WordPress en 2025 ? Posez-vous les bonnes questions

Je ne suis pas anti-WordPress. C’est un outil qui a démocratisé le web. Mais en 2025, il faut être lucide : ce qui était un bon choix il y a 10 ans ne l’est plus forcément aujourd’hui.

WordPress en chiffres : la réalité derrière la popularité

WordPress propulse environ 42,8 % des sites web dans le monde (W3Techs, février 2026). Impressionnant ? Oui. Mais regardons de plus près.

7 966 vulnérabilités en 2024

Selon le rapport Patchstack 2025, 7 966 nouvelles failles de sécurité ont été découvertes dans l’écosystème WordPress en 2024 — soit 22 nouvelles vulnérabilités par jour. C’est une hausse de 34 % par rapport à 2023.

  • 96 % viennent des plugins (pas du cœur de WordPress)
  • 33 % des failles n’avaient aucun correctif au moment de leur divulgation publique
  • Plus de 1 000 vulnérabilités concernaient des plugins avec plus de 100 000 installations actives

Le plugin LiteSpeed Cache, installé sur 5 millions de sites, a eu une faille critique permettant à n’importe qui de prendre le contrôle admin. En 2024.

Des performances qui plafonnent

Un site WordPress classique avec ses plugins met en moyenne 3 à 5 secondes à charger. Le Time to First Byte (TTFB) tourne autour de 800 ms à 2 secondes.

À côté, un site statique moderne (Astro, Next.js en export statique) charge en moins d’une seconde avec un TTFB de 50 à 150 ms sur CDN. C’est 10 à 20 fois plus rapide pour le premier octet.

Pourquoi ça compte ? Google le dit clairement : 53 % des visiteurs mobiles quittent un site qui met plus de 3 secondes à charger. Chaque seconde de retard, c’est du chiffre d’affaires perdu.

La dépendance aux plugins

Le site WordPress moyen utilise 20 à 30 plugins. Chaque plugin est un risque supplémentaire :

  • Un plugin non maintenu = une porte ouverte aux attaques
  • Un conflit entre plugins = un site cassé sans prévenir
  • Un développeur qui abandonne son plugin = tous les sites qui l’utilisent sont exposés

Environ 50 % des plugins du répertoire WordPress n’ont pas été mis à jour depuis plus de 2 ans.

Quand WordPress reste pertinent

Soyons honnêtes — WordPress a encore sa place dans certains cas :

  • Blogs à fort volume avec de multiples auteurs et un workflow éditorial complexe
  • Sites déjà existants bien maintenus, où le coût de migration dépasse le bénéfice
  • Clients qui veulent gérer leur contenu sans intervention technique (même si des CMS headless font mieux)
  • Budget très serré pour un site rapidement en ligne (mais attention aux coûts cachés de maintenance)

Quand WordPress n’est plus le bon choix

  • Site vitrine pour une entreprise : un site statique sera plus rapide, plus sécurisé, et moins cher à maintenir
  • Application web métier : WordPress n’est pas fait pour ça
  • Site où la performance compte : e-commerce, génération de leads, SEO agressif
  • Projet sur mesure : empiler des plugins pour reproduire un comportement spécifique, c’est construire sur du sable

L’alternative : le sur-mesure

Mon approche, c’est le code sur mesure avec des technologies modernes (Astro, React, Node.js). Voici ce que ça change concrètement :

WordPress (typique)Site sur mesure (Astro)
Temps de chargement3-5 secondes< 1 seconde
TTFB800 ms - 2 s50-150 ms
JavaScript envoyé300-800 KB0 KB par défaut
Failles connues/an7 000+ (écosystème)Quasi zéro
Surface d’attaquePHP, base de données, admin, pluginsFichiers HTML statiques
MaintenanceMises à jour plugins hebdomadairesMinimale

Un site statique n’a pas de base de données à pirater, pas de panneau admin à bruteforcer, et pas de PHP à exploiter. C’est mathématiquement plus sûr.

La vraie question à poser à votre prestataire

Ne demandez pas « Vous utilisez WordPress ? ». Demandez plutôt :

  1. Pourquoi cette technologie pour mon projet ? — La réponse devrait être liée à votre besoin, pas aux habitudes du prestataire
  2. Comment gérez-vous la sécurité ? — Si la réponse est « les plugins se mettent à jour tout seuls », fuyez
  3. Quelle est la performance attendue ? — Demandez un score Lighthouse. En dessous de 90, posez des questions
  4. Que se passe-t-il dans 3 ans ? — Votre site sera-t-il encore maintenu, rapide et sécurisé ?

Conclusion

WordPress n’est pas « mauvais ». Mais il est devenu le choix par défaut, celui qu’on fait sans réfléchir. Et en 2025, avec 22 failles par jour et des alternatives 10x plus rapides, le choix par défaut n’est plus le bon choix.

On en parle ? →

À lire aussi

Combien coûte un site web en 2025 ? Ce que personne ne vous dit

Lire

Un projet en tête ? Parlons-en.

Premier RDV gratuit