Liste de contrôle pour la maintenance WordPress : 27 tâches pour les agences (2026)

Si vous gérez des sites WordPress pour des clients (qu'il s'agisse d'un, de dix ou de trois cents), c'est vous qui en subissez les conséquences financières d'une maintenance négligée, et non le client. Une mise à jour de plugin non effectuée se transforme en alerte de vulnérabilité un vendredi soir. Une sauvegarde obsolète se traduit par une restauration de quatre heures que vous ne pouvez pas facturer. Un système de surveillance de la disponibilité négligé se traduit par un appel d'un client qui vous demande pourquoi son site a été hors service tout l'après-midi.

Cette liste de contrôle a été créée parce que la plupart des conseils en matière de « maintenance WordPress » s’adressent à ceux qui gèrent un blog personnel. Pour les agences et les indépendants, la véritable question opérationnelle est tout autre : que faites-vous sur chaque site client, à quelle fréquence, et que pouvez-vous automatiser pour ne pas avoir à le faire manuellement à 23 heures ?

Vous trouverez ci-dessous 27 tâches classées par fréquence : quotidienne, hebdomadaire, mensuelle, trimestrielle, annuelle.

Chacune d'entre elles précise en quoi consiste la tâche, pourquoi elle est importante et quelle infrastructure ou plateforme permet de l'exécuter sans intervention humaine. Adaptez cette liste à vos besoins ; le rythme indiqué ci-dessous est un point de départ, pas un ensemble de règles strictes.

Pourquoi la maintenance des sites WordPress est-elle importante ?

La maintenance WordPress consiste à assurer la mise à jour et la surveillance régulières du cœur du système, des plugins, des thèmes, de la sécurité, des performances et des opérations de base de données sur tous les sites que vous gérez.Si vous négligez cette maintenance, les conséquences s'accumulent : les performances se dégradent, les failles de sécurités'accumulent, le classement dans les moteurs de recherche baisse et, à un moment donné, le site tombe en panne, ce qui vous prendra une journée entière à réparer.

La raison profonde est qu'un site WordPress n'est pas un produit unique. Il s'agit d'une pile de composants. Le cœur du système, les plugins, les thèmes, l'hébergement et le contenu de votre client n'ont pas été conçus pour fonctionner ensemble. C'est grâce au travail des personnes chargées de la maintenance qu'ils restent compatibles. Lorsque ce travail cesse, la pile se désagrège.

Pour les agences et les indépendants, l'enjeu opérationnel touche également à la réputation. Les clients paient pour des contrats de maintenance parce qu'ils s'attendent à ce que leur site reste accessible, rapide et sécurisé. Prouver l'efficacité de ce travail, à l'aide de rapports, de données sur la disponibilité et de registres des vulnérabilités, fait toute la différence entre un contrat renouvelé et un contrat perdu.

À quelle fréquence chaque tâche doit-elle être exécutée ?

Il n'y a pas de réponse universelle, mais la plupart des gestionnaires de plans de soins s'accordent sur ce rythme approximatif :

• Au quotidien :vérification de la disponibilité, sauvegardes automatisées, analyse des vulnérabilités, audit des plugins d'IA, état de préparation à la défense contre les attaques.
• Chaque semaine :mises à jour du cœur de WordPress, des plugins et des thèmes avec protection contre les réversions. Nettoyage du cache. Vérification de la version après la mise à jour.
• Chaque mois :modération des commentaires, vérification des liens rompus et des pages 404, suppression des plugins inutilisés, analyse de PageSpeed et des Core Web Vitals, vérification des erreurs PHP, test des formulaires.
• Trimestriel :vérification des identifiants et audit des utilisateurs, vérification des textes alternatifs des images, contrôle des licences premium, analyse des journaux de sécurité, optimisation de la base de données, état des flux RSS, nettoyage de la médiathèque, rapports de maintenance destinés aux clients.
• Chaque année :audit du contenu et analyse SEO, nettoyage des liens entrants, vérification des droits d'auteur et de la page « À propos ».

Les sites générant un trafic plus important ou présentant un risque financier plus élevé (WooCommerce, abonnements, génération de prospects) imposent un rythme plus soutenu. Un site qui enregistre un seul formulaire rempli par semaine et 200 visiteurs par mois peut se permettre un rythme plus souple.Le principe fondamental : les analyses de vulnérabilité et les sauvegardes sont des tâches quotidiennes incontournables ; tout le reste s'adapte en fonction de la valeur du site.

La liste de contrôle de maintenance WordPress en 27 points

Les plugins, les thèmes et le cœur de WordPress doivent être mis à jour dès la publication des correctifs, en particulier lorsqu’une vulnérabilité est connue. Tout ce qui suit vise à corriger les problèmes que ces mises à jour ne traitent pas.

Tâches quotidiennes de maintenance de WordPress

1. Vérifier la disponibilité

Un site hors service est un site qui perd des revenus, des positions dans les moteurs de recherche et la confiance de ses clients. L'expérience utilisateur et le référencement naturel (SEO) pâtissent tous deux d'un site qui ne répond pas, et vous n'êtes informé d'une panne que dès que votre système de surveillance vous le signale.

Configurez une surveillance automatisée de la disponibilité avec des alertes par e-mail et Slack. WP Umbrella des vérifications continues de la disponibilité (à des intervalles de 1 à 60 minutes) depuis l'UE, la côte Est des États-Unis, la côte Ouest des États-Unis, l'Asie et l'Australie, afin qu'une panne régionale sur votre site de surveillance ne génère pas de faux positif. Pour un guide plus détaillé, consultez notreguide de surveillance de la disponibilité WordPress. Hyperping est une alternative autonome si vous n'avez besoin que d'une surveillance de la disponibilité à usage unique.

2. Sauvegardez chaque site (hors site)

Les sauvegardes quotidiennes hors site constituent la tâche la plus importante de cette liste. Une sauvegarde stockée sur le même serveur que le site n'est pas une sauvegarde ; il s'agit d'une copie qui disparaîtra en même temps que l'hébergeur. Une sauvegarde WordPress doit inclure à la fois les fichiers (wp-content(thèmes, plugins, fichiers téléchargés) et la base de données, et il doit être possible de tout restaurer en un clic lorsqu'un client appelle, pris de panique.

Il existe plusieurs plugins de sauvegarde, mais choisissez-en un qui soit régulièrement mis à jour, compatible avec PHP 8.4 ou une version ultérieure, et qui stocke les sauvegardes hors site :

• UpdraftPlusest très répandu ; sa version gratuite prend en charge les destinations cloud (S3, Google Drive, Dropbox) et le plugin fait l'objet d'une maintenance active.
• BackWPupest une solution gratuite et fiable qui prend en charge le stockage dans le cloud.
• Duplicatorcombine des fonctionnalités de sauvegarde et de migration, ce qui s'avère utile lorsque vous transférez également des sites d'un hébergeur à un autre.
• WP Umbrella propose des sauvegardes incrémentielles chiffrées (fichiers et base de données), une durée de conservation de 50 jours, un stockage conforme au RGPD au sein de l'UE et une restauration en un clic, le tout conçu pour les agences qui gèrent les sauvegardes de nombreux sites clients à partir d'un seul tableau de bord.

BackUpWordPress, une solution autrefois très prisée, n'a pas été mise à jour depuis plus d'un an et présente des problèmes de compatibilité avec PHP 8.4. Évitez de la recommander à vos clients. Si vous souhaitez disposer d'une solution manuelle de secours pour des cas ponctuels, notreguide sur la sauvegarde de WordPress sans pluginvous explique comment procéder via SFTP et phpMyAdmin.

3. Effectuer un scan de vulnérabilité

L'analyse des vulnérabilités permet de détecter les plugins ou les thèmes susceptibles d'être exploités entre deux mises à jour programmées. Les outils modernes d'analyse des vulnérabilités WordPress comparent les composants installés à une base de données répertoriant les CVE et signalent tout ce qui doit être corrigé immédiatement, plutôt que la semaine suivante.

Trois catégories d'outils permettent d'accomplir cette tâche :

• Une analyse continue de l'infrastructureest effectuée toutes les quelques heures sur l'ensemble des sites que vous gérez, indépendamment du site lui-même. WP Umbrella toutes les 6 heures par rapport à la base de données des vulnérabilités de Patchstack, classe les résultats en fonction de la gravité CVE et met en évidence les failles exploitables à ce jour.
• Les plugins de pare-feu pour sites web, tels que Wordfence et Sucuri, s'installent directement sur le site et associent l'analyse de sécurité à un pare-feu applicatif web (WAF) et à la détection de logiciels malveillants. Ils sont conçus pour un seul site et sont plus difficiles à gérer lorsqu'il s'agit d'un portefeuille de sites. Notrecomparatif des plugins de sécurité WordPressexamine plus en détail les avantages et les inconvénients de ces solutions.
• Les services de bases de données de vulnérabilitéstels que Patchstack constituent la base de données sur laquelle s'appuient bon nombre des solutions mentionnées ci-dessus ; ils sont accessibles directement via leur propre plateforme et proposent le correctif virtuel en tant que module complémentaire.

Voici un bref comparatif des solutions d'analyse de vulnérabilités à envisager en 2026 :

Outil	Formule gratuite	Fonctionnalité principale	Adéquation avec l'agence
WP Umbrella	Essai gratuit de 14 jours, toutes les fonctionnalités incluses	Analyse continue des vulnérabilités intégrée à Patchstack sur tous les sites clients, tableau de bord centralisé	Conçu pour la gestion d'un portefeuille de sites
Patchstack	Formule gratuite limitée	Base de données des vulnérabilités et module complémentaire de correctifs virtuels	Particulièrement adapté aux flux de travail axés sur la lutte contre l'extrémisme violent
Wordfence	Pare-feu et scanner gratuits	Pare-feu pour terminaux, analyseur de logiciels malveillants, flux d'informations sur les menaces	Idéal pour les sites uniques de grande valeur
Sucuri	Uniquement payant	Service de pare-feu d'application Web (WAF) hors site et de nettoyage réactif	Utile comme couche de réponse aux incidents

4. Vérifier les plugins d'IA et le code généré par l'IA

Les plugins d'IA sont désormais très répandus sur les sites WordPress : chatbots, générateurs de contenu, assistants de codage. Ils nécessitent généralement des droits d'accès plus étendus que les plugins traditionnels, car ils interviennent souvent sur la base de données ou dans l'espace d'administration, et leur surface d'attaque est d'une nature différente.

Le problème est bien réel. En 2025, le plugin AI Engine (versions 2.8.0 à 2.8.3) comportait une lacune dans la vérification des autorisations de sa fonction MCP, ce qui permettait à des utilisateurs authentifiés au niveau de l'abonné d'exécuter wp_create_user, wp_update_user, wp_update_option ainsi que plusieurs autres opérations privilégiées : une élévation complète des privilèges à partir d'un compte disposant de droits limités. Cette vulnérabilité est référencée sous le numéro CVE-2025-5071 et a été divulguée via la base de données des avis de sécurité de GitHub.

Pour chaque plugin d'IA sur le site d'un client, vérifiez :

• Il provient d'un développeur reconnu et fait l'objet d'une maintenance active (ce n'est pas un fork datant d'un mois).
• Il n'a pas présenté de vulnérabilités CVE critiques non corrigées au cours des 12 derniers mois.
• Les autorisations déclarées correspondent aux besoins réels du site.

Si vous avez ajouté du code personnalisé généré par l'IA à un site, faites-le vérifier par un humain avant qu'il ne soit mis en production.

5. Maintenir la protection contre les attaques assistées par l'IA

La surface d'attaque qui se dessine d'ici 2025 est véritablement différente. Les botnets pilotés par l'IA contournent désormais les CAPTCHA traditionnels, alternent entre des réseaux de proxys résidentiels, génèrent des messages de phishing adaptés au contexte qui échappent aux filtres anti-spam et réécrivent les charges utiles XSS jusqu'à ce qu'elles déjouent les règles des pare-feu applicatifs Web (WAF). Des familles de logiciels malveillants telles que Parrot TDS détectent les robots d'apprentissage de l'IA et leur fournissent du contenu inoffensif tout en continuant à exploiter les visiteurs humains.

C'est l'ampleur du phénomène qui surprend les responsables des agences lorsqu'ils découvrent ces chiffres. À lui seul, le réseau de Wordfence bloqueplus de 6,4 milliards de tentatives de piratage par force brute chaque mois, auxquelles s'ajoutent 55 millions de tentatives d'exploitation de failles, et il ne s'agit là que de la part de trafic traitée par un seul fournisseur.

Stratégie de défense pour les sites clients en 2026 :

• Authentification à deux facteurs pour tous les comptes administrateur ; connexion par clé d'accès lorsque la configuration le permet.
• Une limitation du débit basée sur le comportement plutôt qu'un simple blocage par adresse IP (les proxys résidentiels contournent les règles liées aux adresses IP).
• Un scanner de vulnérabilités à mise à jour automatique qui détecte les correctifs des plugins IA dès leur publication.
• Un pare-feu applicatif Web (WAF), qu'il soit déployé sur les terminaux (Wordfence, Sucuri) ou en externe (Cloudflare, Sucuri Cloud).

Tâches hebdomadaires de maintenance WordPress

6. Mettre à jour WordPress, les extensions et les thèmes avec option de restauration

Mettez à jour le cœur de WordPress, les extensions et les thèmes dès que des correctifs sont publiés. Le risque est que toute mise à jour puisse endommager un site ; c'est pourquoi il est dangereux de procéder à ces mises à jour sur l'ensemble d'un portefeuille sans protection permettant de revenir en arrière.

Lorsque vous lancez une mise à jour dans WP Umbrella, la plateforme surveille le processus de mise à jour et rétablit automatiquement la version précédente du plugin si la mise à jour provoque une panne du site. C'est là toute la différence entre mettre à jour 50 sites en une seule fois et le faire en 50 étapes minutieuses.

7. Vider le cache

La mise en cache accélère WordPress en proposant des versions statiques des articles et des pages, plutôt que de reconstruire chaque page à partir de la base de données MySQL à chaque requête. Après une mise à jour de plugin, un changement de thème ou des modifications importantes du contenu, un cache obsolète peut masquer les nouveaux comportements. Videz le cache et refaites un test.

8. Vérifier les modifications spécifiques à la version après une mise à jour du cœur de WordPress

Les mises à jour majeures de WordPress apportent des modifications de fonctionnement qui peuvent avoir un impact sur les sites, même si l'interface utilisateur visible reste identique. Après chaque mise à jour du cœur du système, vérifiez ce qui a changé en arrière-plan.

La version 6.8 de WordPressa introduit le chargement spéculatif, qui précharge les pages en arrière-plan lorsqu'un visiteur survole un lien. Cela donne l'impression que les sites sont plus rapides, mais peut entrer en conflit avec certains plugins de mise en cache ou générer une charge serveur inattendue. Après la mise à jour, vérifiez que le chargement spéculatif et votre système de mise en cache ne se gênent pas mutuellement.

La version 6.9 de WordPress(publiéele 2 décembre 2025) a introduit deux fonctionnalités à surveiller sur les sites de nos clients :

• La fonctionnalité « Notes »permet aux rédacteurs et aux administrateurs de laisser des commentaires directement sur les blocs dans l'éditeur, avec la possibilité de répondre, de résoudre les problèmes et de recevoir des notifications par e-mail. Elle est utile pour les processus de rédaction. Cependant, si personne ne les supprime, ces commentaires peuvent s'accumuler comme du spam.
• La fonctionnalité « Blocs masqués »permet de masquer n'importe quel bloc sur l'interface publique sans le supprimer. Très pratique pour le contenu saisonnier et les brouillons, mais on a tendance à l'oublier. Pensez à vérifier de temps en temps les sites de vos clients pour repérer les anciennes bannières promotionnelles ou le contenu obsolète qui reste invisible sur les pages.

WordPress 6.9 inclut également une prise en charge en version bêta de PHP 8.5 et 8.4. La plupart des environnements d'hébergement ne sont pas encore passés à PHP 8.5 ; la version minimale recommandée pour les sites des clients est PHP 8.2.

Tâches mensuelles de maintenance WordPress

9. Modérer les commentaires

Akismet filtre la plupart des spams dans les commentaires WordPress, mais il arrive parfois qu'il classe à tort des commentaires légitimes comme spam. Une fois par mois, passez en revue la file d'attente des spams pour repérer les faux positifs. Une question d'un client qui passe inaperçue ou un véritable témoignage qui se retrouve dans la corbeille des spams est bien pire que le spam lui-même.

10. Vérifier les liens et les images qui ne fonctionnent pas

Les sites externes disparaissent. Les pages sont déplacées. Les URL des images changent lors des réorganisations de l'hébergement. Il en résulte des liens sortants rompus et des éléments multimédias manquants qui nuisent insidieusement à l'expérience utilisateur et au référencement naturel.

Effectuez chaque mois une vérification des liens rompus sur tous les sites de vos clients. WP Umbrella une surveillance continue des liens rompus qui s'applique à l'ensemble d'un portefeuille de sites.

Remplacez les liens sortants rompus par des sources à jour ou supprimez-les complètement. Pour les médias internes manquants, généralement dus à des changements d'URL ou à des opérations de nettoyage de la médiathèque qui ont mal tourné, restaurez le fichier d'origine ou mettez à jour la référence.

11. Supprimez les thèmes et les extensions que vous n'utilisez pas

Les thèmes et plugins inutilisés constituent toujours une surface d'attaque. Bon nombre des failles WordPress les plus exploitées se trouvent dans des plugins dont le propriétaire du site a oublié l'existence. Les désactiver ne suffit pas ; supprimez ceux que vous n'utilisez pas. Les gains de performances ne sont qu'un avantage secondaire.

12. Vérifier PageSpeed et les Core Web Vitals

Effectuer un test PageSpeed ponctuel tous les quelques mois ne suffit pas. Les performances se dégradent progressivement à mesure que le contenu et les plugins s'accumulent ; la bonne approche consiste donc à mettre en place une surveillance continue, accompagnée d'une analyse mensuelle des tendances.

Google évalue les sites en fonction de trois indicateurs Core Web Vitals :le LCP(vitesse de chargement du contenu principal, objectif ≤ 2,5 s),l'INP(rapidité de réponse du site aux clics et aux pressions sur l'écran, objectif ≤ 200 ms) etle CLS(déplacement de la mise en page pendant le chargement, objectif ≤ 0,1). Ces indicateurs ont une incidence directe sur le classement.

Deux distinctions à garder à l'esprit :

• Données de laboratoire vs données sur le terrain.PageSpeed Insights effectue un test simulé (données de laboratoire). Google Search Console rend compte de l'expérience réelle des visiteurs (données sur le terrain). Comparez les deux.
• Le TTFB est un facteur à part.Un temps de réponse lent jusqu'au premier octet (Time to First Byte) est généralement le signe de problèmes au niveau de l'hébergement ou de la base de données ; aucune optimisation du front-end ne permettra d'y remédier.

Si vous avez effectué la mise à jour vers WordPress 6.8 ou 6.9, veuillez réexécuter les tests de performances après avoir vidé le cache. Les interactions entre le chargement spéculatif et la mise en cache sont encore en cours de mise au point.

13. Vérification des erreurs 404

Les erreurs 404 sont un phénomène courant sur le Web. Les utilisateurs se trompent en saisissant les URL, les anciennes pages sont supprimées, les moteurs de recherche conservent des références obsolètes. Elles deviennent un problème lorsque les erreurs 404 s'accumulent pour des pages qui devraient exister ou rediriger vers une autre page.

L'audit 404 le plus rapide : ouvrez Google Search Console, accédez au rapport « Pages », filtrez les résultats sur le statut « Non trouvé (404) » et exportez la liste des URL. Pour les URL qui devraient fonctionner, configurez une redirection 301 vers leur équivalent actuel. Pour les URL qui ne devraient pas exister (contenu supprimé, sections abandonnées), laissez-les afficher une erreur 404 sans détour. Il n'est pas nécessaire de rediriger toutes les URL obsolètes vers la page d'accueil.

14. Détecter et résoudre les erreurs PHP

Les plugins et les thèmes mal programmés génèrent des erreurs PHP. La plupart sont mineures (avertissements de dépréciation ou problèmes de niveau « notice »), mais elles ralentissent le site, encombrent les journaux et révèlent parfois des informations exploitables par des pirates.

Sur un seul site, activez WP_DEBUG et WP_DEBUG_LOG pour consigner les erreurs dans wp-content/debug.log, puis désactivez le mode débogage par la suite. Notre Guide sur WP_DEBUG et WP_DEBUG_LOG traite des constantes du fichier wp-config.php et des pièges courants.

Pour les agences qui gèrent des plans de maintenance sur plusieurs sites, la surveillance en temps réel des erreurs PHP est la solution opérationnelle idéale. WP Umbrella les erreurs PHP sur tous les sites de vos clients dès qu'elles surviennent, ce qui vous permet de les détecter avant même que le client ne s'en aperçoive.

15. Tester les formulaires de contact

Les générateurs de formulaires tels que WPForms permettent de créer facilement des formulaires de contact professionnels, mais ceux-ci peuvent cesser de fonctionner sans crier gare lorsque les identifiants SMTP ne sont plus valides, que des changements d'hébergement affectent l'envoi des e-mails ou que le fournisseur de messagerie renforce ses règles de délivrabilité. Envoyez chaque mois un e-mail de test à partir de chaque formulaire sur tous les sites de vos clients. Mieux encore : configurez un service d'e-mails transactionnels (Postmark, SendGrid, Mailgun) afin que la délivrabilité ne dépende pas de votre hébergeur.

Tâches de maintenance trimestrielles de WordPress

16. Vérification des identifiants et des droits d'accès

Des mots de passe forts et uniques pour chaque compte : administration WordPress, FTP/SFTP, base de données, panneau de contrôle de l'hébergement. Utilisez un gestionnaire de mots de passe afin que chaque compte dispose de ses propres identifiants.

Les consignes d'utilisation sont le point sur lequel la plupart des listes de contrôle de maintenance se trompent. NIST SP 800-63B, version 4, finalisé en juillet 2025 et remplaçant les directives précédentes, indique explicitement aux systèmes pas pour imposer un changement périodique des mots de passe. Ce changement imposé a donné lieu à un schéma prévisible (Spring2024! devient Summer2024! devient Autumn2024!), et ce schéma était plus facile à pirater que les mots de passe longs restés inchangés. La norme actuelle :

• Au moins 15 caractères lorsque le mot de passe est le seul moyen d'authentification.
• Aucune règle de complexité obligatoire (aucune combinaison obligatoire de lettres majuscules, minuscules et caractères spéciaux).
• Procédez à une rotationen cas d'indices de compromission, de départ d'un membre du personnel ou à la suite d'un incident de sécurité — et non selon un calendrier fixe.

Ajoutez à cela l'authentification à deux facteurs pour chaque compte administrateur, ou une connexion par clé d'accès lorsque la configuration le permet.

17. Supprimer les utilisateurs WordPress inutiles

Chaque trimestre, vérifiez la liste des utilisateurs sur chaque site client. Supprimez les comptes des employés ayant quitté l'entreprise, des anciens prestataires et de toute personne n'ayant plus besoin d'un accès administrateur. Privilégiez la rétrogradation plutôt que la suppression lorsque l'historique des audits est important. Les comptes administrateurs inactifs dotés de mots de passe faibles constituent une cause fréquente de compromission des sites.

18. Vérifier le texte alternatif des images

Le texte alternatif décrit les images pour les lecteurs d'écran et contribue au référencement naturel (SEO). Chaque image d'un site client doit comporter un attribut « alt » descriptif. De nos jours, cette fonctionnalité est intégrée à la plupart des plugins de référencement, tels que Yoast, SEOPress ou RankMath.

19. Vérifier la date d'expiration du permis premium

Les plugins et thèmes premium fonctionnent généralement avec des licences annuelles. Lorsqu’une licence expire, le plugin continue de fonctionner mais ne reçoit plus de mises à jour de sécurité, ce qui constitue la situation la plus dangereuse pour tout composant WordPress. Chaque trimestre, vérifiez les dates d’expiration des licences sur tous vos sites et renouvelez ou remplacez-les dans les 30 jours suivant leur expiration. Le journal des modifications et la surveillance des expirations de licence WP Umbrellaassurent automatiquement ce suivi pour chaque site.

20. Consulter le journal des activités de sécurité

Un journal d'activité au niveau du site consigne les événements importants : connexions des utilisateurs, activations de plugins, modifications de fichiers, changements de rôle, réinitialisations de mot de passe. En cas de problème, ce journal fait toute la différence entre « nous ne savons pas ce qui s'est passé » et une chronologie détaillée que vous pouvez présenter à un client.

WP Activity Log (anciennement WP Security Audit Log, rebaptisé par Melapress) est le plugin gratuit de référence dans ce domaine. WP Umbrella l'activité au niveau de la plateforme sur l'ensemble des sites clients, ce qui s'avère utile lorsque vous avez besoin d'une vue d'ensemble du portefeuille plutôt que de journaux par site.

21. Optimiser la base de données WordPress

WordPress stocke toutes ses données dans une base de données MySQL, et au fil du temps, celle-ci accumule des entrées dont vous n'avez pas besoin : commentaires indésirables, révisions d'articles, données temporaires périmées, métadonnées orphelines, entrées de journal provenant de plugins supprimés depuis longtemps. La base de données continue de fonctionner, mais son fonctionnement ralentit à mesure qu'elle grossit.

Effectuez un nettoyage de la base de données tous les trimestres.WP-Optimizeest une solution gratuite régulièrement mise à jour qui permet de traiter en une seule opération les commentaires indésirables, les révisions, les données temporaires et l'optimisation des tables. Pour les sites où les plugins changent fréquemment, une vérification manuelle occasionnelle dans phpMyAdmin (ou via l'outil de gestion de la base de données de votre panneau de contrôle d'hébergement) permet de repérer les tables orphelines que le nettoyage automatisé ne détecte pas.

22. Vérifier l'état du flux RSS

Les flux RSS sont considérés comme un canal de diffusion obsolète, mais ils continuent de générer des abonnés, de favoriser la syndication et de permettre des intégrations avec diverses plateformes (outils de newsletter, agrégateurs de podcasts, lecteurs fédérés). Chaque trimestre, vérifiez que le flux à l'adresse /feed/ s'analyse correctement et contient les articles récents. Les plugins qui modifient la boucle peuvent endommager les flux sans générer d'erreurs visibles.

23. Nettoyer la médiathèque

Au fil du temps, un site accumule des images qui ne sont plus utilisées dans aucun article ni aucune page : d'anciennes images de mise en avant, des photos de produits remplacées, des variantes issues de tests A/B. Elles occupent de l'espace de stockage sur le serveur et encombrent la médiathèque. Chaque trimestre, passez en revue les médias inutilisés et supprimez ceux qui sont véritablement orphelins. Compressez les médias restants à l'aide d'Imagify ou de Smush ; les formats modernes (WebP, AVIF) réduisent considérablement la taille des fichiers.

24. Envoyer les rapports d'entretien aux clients

Si vous proposez des formules de maintenance, envoyez un rapport mensuel à chaque client. C'est ce rapport qui permet de transformer le travail en coulisses en valeur tangible, et c'est cette valeur tangible qui favorise le renouvellement des contrats. Un bon rapport doit inclure les mises à jour déployées, les statistiques de disponibilité, les contrôles de sécurité effectués, l'évolution des performances et tout travail sur mesure réalisé au cours du trimestre. Notreguide sur la vente de formules de maintenance WordPressaborde plus en détail l'aspect commercial.

WP Umbrella automatiquement des rapports de maintenance en marque blanche à partir des données de surveillance de la plateforme, en y intégrant l'identité visuelle de l'agence (nom, logo, couleurs, domaine) et plus de 50 variables personnalisables. Programmez leur envoi le premier jour de chaque mois, et vous verrez que le travail parle de lui-même.

Tâches annuelles de maintenance WordPress

25. Audit du contenu et référencement naturel (SEO)

Une fois par an, effectuez un audit de contenu à partir des données de Google Analytics et de Google Search Console. Les tendances à surveiller sont les suivantes : les pages qui enregistrent un nombre élevé d'impressions mais un faible taux de clics (candidates à l'optimisation du CTR), les pages qui génèrent un trafic important mais un faible engagement (candidates à un décalage d'intention) et les pages dont le classement a baissé au fil du temps (candidates à une mise à jour).

Mettez à jour les pages les plus performantes, actualisez les dates de publication lorsque le contenu a changé et supprimez le contenu qui n'a plus d'utilité.

26. Analyse du profil de liens entrants (cas particulier)

Depuis 2020, Google accorde moins d'importance à l'outil de désaveu. La plupart des liens indésirables détectés par l'algorithme sont désormais automatiquement ignorés, sans qu'il soit nécessaire de les désavouer manuellement. Pour la plupart des sites, cette tâche ne vaut plus la peine d'être effectuée chaque année.

Exécutez cette opération si l'une des conditions suivantes est remplie : vous avez hérité d'un site présentant un profil de backlinks toxique, vous avez reçu une notification d'action manuelle dans Search Console, ou vous avez mené des campagnes agressives de référencement négatif contre le site que vous pouvez identifier. Dans le cas contraire, ne touchez pas au profil de backlinks. Il est plus préjudiciable de désavouer des liens légitimes que de laisser les liens indésirables en place.

27. Vérifiez les pages « À propos » et « Droits d'auteur »

Une fois par an, vérifiez la page « À propos » et toutes les mentions de copyright pour vous assurer qu'elles correspondent bien à la réalité : composition actuelle de l'équipe, année en cours, entité juridique actuelle. Pour l'année de copyright, automatisez cette opération à l'aide d'un bout de code PHP afin qu'elle ne soit jamais obsolète :

<?php echo date("Y"); ?>