La plupart WordPress ne négligent pas les mises à jour par indifférence. Ils les ignorent parce que le site fonctionne, que l'équipe est occupée et que la file d'attente des mises à jour est en attente depuis des semaines.
Cette file d'attente silencieuse est trompeuse. Elle n'est pas neutre. Chaque semaine qui passe sans être traitée, son traitement devient plus coûteux et il est plus dangereux de l'ignorer.
Cet article explique pourquoi, en utilisant des chiffres issus du paysage actuel des menaces, des données de coûts provenant de scénarios de récupération réels et un cadre pratique pour comprendre où se situe actuellement votre site.
Ignorer les mises à jour de WordPress crée un retard qui accroît les risques de sécurité, les problèmes de compatibilité et les risques de non-conformité au fil du temps. Chaque mise à jour manquée peut laisser des vulnérabilités connues non corrigées et rendre les mises à jour futures plus difficiles à appliquer en toute sécurité.
À mesure que le noyau WordPress, les plugins, les thèmes et les versions de PHP continuent d'évoluer, les logiciels obsolètes deviennent plus difficiles à maintenir et plus susceptibles de dysfonctionner lors de leur mise à jour.
Plus les mises à jour sont retardées, plus le temps et les ressources nécessaires à leur récupération augmentent, transformant une simple tâche de maintenance en un projet de réparation coûteux.
À quelle vitesse les plugins WordPress obsolètes sont-ils exploités ?
Comprendre pourquoi le moment des mises à jour est important nécessite de comprendre comment fonctionne le cycle de vie moderne de l'exploitation des vulnérabilités.
Lorsqu'un chercheur en sécurité découvre une vulnérabilité dans une extension WordPress, il suit généralement une procédure de divulgation responsable : il notifie le développeur de l'extension, attend la publication d'un correctif et publie les détails de la vulnérabilité une fois le correctif disponible. Cette divulgation inclut les spécificités techniques permettant à la communauté de la sécurité de comprendre et de se prémunir contre le problème.
Cela donne également aux attaquants exactement ce dont ils ont besoin pour créer une faille de sécurité.
Comment les attaquants utilisent-ils les plugins non corrigés ?
Le rapport de sécurité 2026 de Patchstack a démontré que le délai médian entre la divulgation publique d'une vulnérabilité et le début de son exploitation massive est de cinq heures. Les outils d'analyse automatisés recherchent les sites hébergeant la version vulnérable et tentent de l'exploiter sans intervention humaine.
Cela signifie que la période durant laquelle un correctif est disponible mais que votre site n'est pas encore protégé représente le risque le plus élevé. Un site effectuant une maintenance hebdomadaire réduit ce risque en quelques jours. Un site qui reporte les mises à jour pendant des semaines, voire des mois, reste vulnérable pendant toute la période entre la divulgation du correctif et la prochaine mise à jour.
En octobre 2025, près de neuf millions de tentatives d'exploitation ont ciblé trois vulnérabilités de plugins WordPress. Les correctifs pour ces trois failles étaient disponibles depuis un an. Les attaquants ne découvraient pas de nouvelles vulnérabilités ; ils ciblaient les sites dont les mises à jour avaient été reportées suffisamment longtemps pour que la fenêtre d'opportunité reste ouverte en permanence.
À quelle vitesse le carnet de commandes s'allonge-t-il ?
Le retard accumulé en matière de sécurité ne croît pas de façon arithmétique. Il s'accroît par capitalisation.
| Période de report | Mises à jour en attente estimées | Vulnérabilités exploitées connues |
| 1 mois | 4 à 8 | Certains ont activement ciblé |
| 3 mois | 12 à 24 | Beaucoup ont activement ciblé |
| 6 mois | 25 à 50 | Majoritairement exploités en masse |
| 12 mois | 50 à 100+ | Tous fortement ciblés par des outils automatisés |
Un entretien hebdomadaire implique 52 cycles de maintenance par an. Un entretien mensuel n'en implique que 12. Cela représente 40 périodes de protection en moins sur une année. Cet écart se traduit directement par une exposition accrue.
Les mises à jour automatiques ne résolvent qu'une partie du problème
Les mises à jour automatiques du noyau WordPress donnent à de nombreux propriétaires de sites une fausse impression de sécurité. Bien qu'importantes, ces mises à jour ne couvrent que moins de 10 % des menaces réelles. En 2025, 91 % des vulnérabilités de WordPress ont été découvertes dans les extensions et les thèmes, et non dans le noyau. Un site dont les mises à jour automatiques sont activées mais dont les extensions ne sont pas gérées est protégé contre une infime partie des menaces recensées, tout en restant pleinement exposé à la grande majorité.
Votre site WordPress est-il en retard en matière de mises à jour ?
Seahawk assure les mises à jour hebdomadaires de WordPress, la surveillance de la sécurité, les sauvegardes et l'assistance d'urgence pour des centaines de sites. Sans engagement. Sans frais d'abonnement. Abonnements à partir de 49 $ par mois.
Les coûts réels des mises à jour WordPress différées
Le coût total des mises à jour différées se répartit en trois catégories que la plupart des propriétaires de sites évaluent séparément, voire pas du tout. Comprendre leur ensemble permet de faire le bon choix entre maintenance et correction.
Que payez-vous en cas de problème ?
Les coûts directs sont les factures du développeur qui arrivent après qu'un problème survienne.
Nettoyage de logiciels malveillants : 150 $ à 500 $ par incident. Ce tarif comprend l’analyse des fichiers, la suppression de l’infection et la vérification. Il n’inclut pas le temps consacré à l’investigation de la piratage du site ni à la réparation des dommages causés par l’attaque.
Assistance technique d'urgence : 50 à 200 $ de l'heure. Les tarifs d'urgence sont plus élevés que les tarifs standards car ces interventions empiètent sur d'autres tâches et ont souvent lieu en dehors des heures ouvrables.
Récupération complète après un piratage : de 2 500 $ à 7 500 $ pour un site de complexité moyenne. Ce tarif inclut le nettoyage, le renforcement de la sécurité, la restauration des sauvegardes et les tests post-incident. Les sites proposant des fonctionnalités de commerce électronique ou d’adhésion se situent dans la fourchette de prix la plus élevée.
Récupération des mises à jour en attente : Pour un site resté 12 mois sans mise à jour, la résorption complète des données en attente nécessite entre 30 et 50 heures de travail, voire plus. À un tarif horaire de 100 à 200 $, cela représente un investissement conséquent avant même d’écrire la moindre ligne de code.
Le coût mensuel moyen de la maintenance professionnelle , tous prestataires confondus, est de 246 $. Le coût moyen d'une intervention de dépannage se situe entre 2 500 $ et 7 500 $. Un seul incident coûte plus cher qu'une année de maintenance au tarif moyen.
Les revenus que vous perdez pendant les interruptions de service
Les coûts indirects sont plus difficiles à facturer mais souvent plus élevés en pratique.
Pertes de revenus dues aux interruptions de service. Lorsqu'un site WordPress est hors service suite à un incident de sécurité ou à une mise à jour défaillante, toutes les transactions qui auraient dû avoir lieu pendant cette interruption ne sont pas enregistrées. Pour les sites e-commerce, ces pertes sont quantifiables. Pour les entreprises de services, elles se traduisent par des prospects et des opportunités de demande de renseignements manqués.
Les signalements de logiciels malveillants par Google ont un impact négatif sur le référencement naturel. Google signale environ 10 000 sites web par jour pour cause de logiciels malveillants ou de contenu nuisible. Lorsqu'un site est signalé, les visiteurs voient un avertissement interstitiel dans leur navigateur avant de pouvoir poursuivre leur navigation. Le positionnement dans les résultats de recherche organiques chute immédiatement et le nombre de clics s'effondre.
Le processus de récupération suite à un signalement de logiciel malveillant par Google comprend l'élimination complète de l'infection, la soumission d'une demande d'examen manuel via Google Search Console, l'attente de la vérification de la propreté du site par Google, puis l'attente du rétablissement du positionnement dans les résultats de recherche. L'examen manuel à lui seul prend des semaines. Le rétablissement du positionnement prend des mois. Pour une entreprise qui dépend du référencement naturel pour générer des prospects ou des revenus, les pertes subies pendant cette période peuvent facilement dépasser le coût direct de la remédiation.
Confiance des clients et des membres. Pour les organismes sans but lucratif, les associations et les entreprises de services, un site web compromis exposant les données de ses membres ou clients a des conséquences néfastes sur leur réputation, conséquences qui ne figurent pas sur la facture de réparation. Le rétablissement de la confiance des donateurs ou des membres après un incident de sécurité n'est pas une simple ligne budgétaire, mais un coût continu qui s'étend sur plusieurs années.
Amendes légales et refus de prise en charge par l'assurance
Cette catégorie est celle qui reçoit le moins d'attention et qui présente le risque asymétrique le plus élevé.
RGPD. Le Règlement général sur la protection des données ( ) impose aux organisations traitant des données de résidents de l'UE de mettre en œuvre des mesures de sécurité techniques appropriées. L'utilisation de logiciels présentant des vulnérabilités connues et corrigibles constitue une preuve de non-respect de cette norme. Les amendes peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial. Tout site WordPress comportant un formulaire de contact, une inscription par e-mail ou un compte utilisateur destiné à des visiteurs européens est soumis au RGPD.
(CCPA) prévoit des amendes pouvant atteindre 7 500 $ par infraction intentionnelle. Les autorités de réglementation sont habilitées à qualifier de négligence intentionnelle le fait de reporter sciemment les mises à jour de sécurité. Les organisations ayant des utilisateurs ou des clients en Californie sont concernées.
Refus de prise en charge des sinistres cyber. Le taux de rejet des demandes d'indemnisation dans le secteur de la cyberassurance dépasse 40 %. L'un des motifs de refus les plus fréquents est l'attribution des pertes à des vulnérabilités connues mais non corrigées. Les assureurs examinent l'historique des correctifs dans le cadre de leurs enquêtes. Une violation exploitant une vulnérabilité corrigée publiquement depuis six mois n'est généralement pas couverte par les contrats cyber standards.
Les organisations qui reportent les mises à jour pour éviter des frais de maintenance mensuels tout en souscrivant une assurance cyber peuvent en réalité s'auto-assurer pour le résultat contre lequel elles tentent de se protéger.
Pourquoi les plugins WordPress obsolètes cessent-ils de fonctionner lors des mises à jour ?
La sécurité est la raison la plus urgente de maintenir les mises à jour, mais ce n'est pas la seule.
Une version de retard contre six mois de retard
Un cycle de mise à jour unique présente un faible risque. Un plugin passe de la version 4.2 à la version 4.3 ; les changements sont progressifs et tout continue de fonctionner. Le noyau WordPress publie des versions mineures tout au long de l’année, chacune s’appuyant sur la précédente. Lorsqu’un site est à jour, chaque mise à jour représente un petit pas en avant pour l’ensemble de l’écosystème.
Un retard dans les mises à jour crée une situation différente. Le noyau de WordPress a évolué d'une ou deux versions majeures. Les exigences de compatibilité PHP ont changé. D'autres extensions ont mis à jour leurs API. L'extension qui n'a pas été mise à jour fonctionne désormais dans un environnement sensiblement différent de celui pour lequel elle a été conçue.
Plus l'intervalle entre les mises à jour est important, plus le risque de conflit est élevé. Or, comme plusieurs mises à jour sont en attente simultanément, il est difficile d'isoler un conflit. Impossible de déterminer, parmi trente mises à jour, laquelle est à l'origine du problème.
Pourquoi les boutiques en ligne et les sites d'adhésion sont-ils exposés à des risques supplémentaires ?
Les sites utilisant WooCommerce, des systèmes d'adhésion ou d'autres plugins gourmands en données sont confrontés à une complexité supplémentaire.
Ces extensions incluent fréquemment des migrations de base de données lors des mises à jour majeures. Lorsqu'une mise à jour de WooCommerce est exécutée, la structure des tables de la base de données peut être modifiée pour prendre en charge les nouvelles fonctionnalités. Lorsqu'une extension de gestion des adhésions est mise à jour simultanément sur plusieurs versions majeures, plusieurs migrations successives peuvent être effectuées.
Les migrations de base de données sont irréversibles par restauration de fichiers. Si une mise à jour groupée déclenche ces migrations et qu'un problème survient, la restauration du site à son état antérieur nécessite une restauration à partir d'une sauvegarde, et non une simple restauration de fichiers. Toutes les transactions, soumissions de formulaires et activités utilisateur survenues entre la sauvegarde et la restauration sont perdues.
C’est précisément ce mécanisme qui transforme une tâche de mise à jour différée en un événement de perte de données.
Comment vérifier si votre site présente un problème de compatibilité
Avant d'appliquer des mises à jour à un site présentant un important retard de développement, vérifiez deux points. Premièrement, assurez-vous que la version de PHP utilisée par votre environnement d'hébergement est compatible avec les exigences de vos extensions les plus critiques. De nombreuses extensions, encore valides il y a deux ans, nécessitent PHP 7.4 ou une version antérieure, tandis que WordPress recommande actuellement PHP 8.2. Deuxièmement, vérifiez si des extensions de votre installation ont été retirées du répertoire WordPress. Plus de 150 extensions ont été retirées du répertoire fin 2025 seulement en raison de failles de sécurité non corrigées ou de l'inactivité des développeurs. Il est impossible de mettre à jour une extension retirée ; son remplacement est la seule solution.
Pourquoi cliquer sur « Tout mettre à jour » est-il dangereux sur un site négligé ?
Face à une file d'attente de mises à jour qui s'allonge, le réflexe est de tout supprimer d'un coup. C'est l'une des causes les plus fréquentes de dysfonctionnements sur les sites WordPress.
Pourquoi cliquer sur « Tout mettre à jour » empire-t-il les choses ?
Lorsque les mises à jour s'accumulent pendant des semaines ou des mois, leur exécution simultanée engendre plusieurs problèmes :
Aucune isolation. Lorsqu'une mise à jour groupée provoque un dysfonctionnement, il est impossible de déterminer quelle mise à jour du lot est à l'origine du problème. La restauration nécessite l'annulation de toutes les mises à jour, et non pas seulement de la mise à jour problématique.
Incompatibilités en cascade. Vingt plugins mis à jour simultanément peuvent être individuellement sûrs, mais certaines combinaisons engendrent des conflits qui n'apparaîtraient pas si les mises à jour étaient appliquées progressivement. Plus le nombre de mises à jour dans un même lot est élevé, plus les combinaisons potentielles d'interactions inattendues sont nombreuses.
Les migrations de base de données s'exécutent séquentiellement sans test préalable. Les plugins qui modifient la structure de la base de données lors des mises à jour appliquent ces modifications automatiquement. Lors d'une mise à jour groupée, plusieurs plugins peuvent exécuter des migrations successivement, chacune supposant un état de base de données spécifique que la migration précédente n'a pas pu reproduire correctement.
Aucune procédure de récupération par étapes. Si une restauration de fichier est nécessaire, le site est rétabli à son état antérieur à toute mise à jour du lot. Il reste à identifier la mise à jour à l'origine du problème, mais cette opération doit désormais être effectuée sur un site restauré, donc à nouveau obsolète.
Comment gérer en toute sécurité les mises à jour en attente ?
La méthode appropriée pour gérer un backlog de mises à jour accumulées est incrémentale, par étapes et s'appuie sur un point de restauration vérifié à chaque étape.
Pour un site ayant quelques semaines de retard, effectuez les mises à jour une par une, en commençant par les correctifs de sécurité pour les extensions à faible risque, puis en passant aux extensions plus complexes, et en réservant les extensions gourmandes en ressources (WooCommerce, systèmes d'adhésion) pour la fin. Vérifiez le bon fonctionnement après chaque mise à jour avant de poursuivre.
Pour un site ayant trois à six mois de retard, répliquez l'environnement de production dans l'environnement de test, appliquez les mises à jour progressivement dans cet environnement, vérifiez la fonctionnalité à chaque étape et déployez en production uniquement après une exécution réussie dans l'environnement de test.
Pour un site ayant six mois ou plus de retard de mise à jour, il s'agit d'une intervention professionnelle. Les problèmes de compatibilité, les plugins potentiellement abandonnés et la complexité de l'état de la base de données exigent une expertise particulière. Tenter cette opération sans environnement de test, sans méthode rigoureuse et sans l'aide d'un développeur risque fortement de provoquer le problème même que la mise à jour est censée éviter.
Comment s'assurer que votre sauvegarde fonctionne réellement ?
Une sauvegarde non testée est une hypothèse, pas une garantie. Avant d'appliquer des mises à jour à un site présentant un important retard de traitement, vérifiez que votre sauvegarde la plus récente peut être restaurée avec succès dans un environnement de test ou local.
Vérifiez que la base de données se restaure correctement, que le site se charge sans erreur et que les fonctionnalités essentielles (paiement, connexion, formulaires) fonctionnent correctement après la restauration. Une sauvegarde irrécupérable n'est pas une sauvegarde : elle procure une fausse impression de sécurité.
Que faire si vos mises à jour WordPress sont déjà en retard ?
Chaque situation de mise à jour différée n'exige pas la même réponse. Voici une évaluation objective en fonction de la taille du backlog.
Quelques semaines de retard. Appliquez les mises à jour une par une. Commencez par les extensions les moins risquées. Effectuez une sauvegarde avant chaque mise à jour. Évitez de mettre à jour WooCommerce ou les extensions de gestion des abonnements sans les avoir testées au préalable en environnement de test. Vous pouvez gérer cela vous-même avec précaution.
Un à trois mois de retard. L'écart de compatibilité est significatif. Certaines de vos mises à jour en attente contiennent probablement des vulnérabilités activement exploitées. Il est recommandé d'utiliser un environnement de test avant de déployer les mises à jour en production. Si votre site intègre WooCommerce, des paiements récurrents ou un système d'adhésion, il est conseillé de faire appel à un professionnel.
Un retard de trois à six mois est à prévoir. Le risque qu'une simple mise à jour engendre un problème est bien réel. Les mises à jour en attente contiennent probablement des vulnérabilités que les outils automatisés recherchent activement. N'essayez pas cette opération sans préparation préalable. Faites appel à un professionnel si vous n'êtes pas à l'aise avec les mises à jour progressives et par étapes.
Prévoir un retard de six à douze mois. Il s'agit d'un projet de rattrapage. Prévoir un budget pour le temps d'un professionnel. Prévoir également un budget pour la possibilité que certains plugins doivent être remplacés plutôt que mis à jour. Prévoir un budget pour les tests de compatibilité de l'ensemble de votre parc de plugins.
Plus de douze mois de retard. Les exigences en matière de version PHP ont très probablement évolué. Le noyau WordPress a subi au moins une refonte majeure. Certains plugins de votre installation actuelle peuvent avoir été abandonnés ou supprimés du dépôt. Toute mise à jour nécessite l'intervention d'un professionnel, un environnement de test, un audit de compatibilité et une planification rigoureuse avant d'être appliquée.
Dernières réflexions sur la mise à jour de votre site WordPress
Le report des travaux d'entretien ne permet pas de réaliser des économies. Il s'agit d'un coût différé qui génère des intérêts.
Les organisations qui bénéficient de la meilleure expérience avec WordPress sont celles qui veillent à ce que les mises à jour ne s'accumulent jamais. Une maintenance hebdomadaire garantit des modifications mineures et réversibles. Ainsi, la fenêtre d'exploitation de 5 heures disparaît en quelques jours. Enfin, un écart de compatibilité ne risque jamais de s'aggraver.
La comparaison des coûts ne nécessite pas d'analyse approfondie. Quelques centaines de dollars par mois en maintenance permettent d'éviter plusieurs milliers de dollars de frais de récupération, sans compter les pertes de revenus pendant les interruptions de service, les mois nécessaires pour retrouver un bon positionnement après un signalement de logiciel malveillant par Google, et les risques réglementaires liés au traitement des données utilisateur par tout site web.
Si votre site accuse actuellement un retard, le moment idéal pour y remédier était le mois dernier. Le deuxième meilleur moment, c'est maintenant, avant que le retard ne s'aggrave et qu'un imprévu ne vienne perturber le processus au pire moment.
Seahawk assure la maintenance WordPress de centaines de sites. Le constat est clair : les sites nécessitant une intervention urgente sont ceux qui ont reporté leurs mises à jour. À l’inverse, les sites fonctionnant correctement sont ceux qui ne les ont pas reportées.
Questions fréquentes concernant les mises à jour différées de WordPress
Que se passe-t-il si vous ne mettez pas à jour les plugins WordPress ?
Les extensions WordPress non mises à jour accumulent des failles de sécurité connues que les pirates recherchent et exploitent activement. L'écosystème des extensions WordPress a enregistré 11 334 nouvelles vulnérabilités rien qu'en 2025. Chaque correctif de sécurité différé prolonge la période pendant laquelle votre site est exposé à une faille documentée et exploitable. Outre les problèmes de sécurité, les extensions obsolètes sont de plus en plus incompatibles avec le noyau de WordPress et PHP, ce qui creuse l'écart de compatibilité et rend les mises à jour ultérieures plus risquées.
Combien coûte la récupération d'un site WordPress négligé ?
Les coûts de récupération dépendent de la durée de la négligence et de la nature des problèmes. Un incident de sécurité sur un site web dont les mises à jour ont été reportées pendant six mois coûte généralement entre 2 500 et 7 500 $ en interventions professionnelles. Les sites restés plus d'un an sans mises à jour nécessitent souvent entre 30 et 50 heures de travail, voire plus, pour une récupération sécurisée. Ce coût inclut la mise en place d'un environnement de test, les mises à jour progressives, les audits de compatibilité et les tests fonctionnels. Ces chiffres n'incluent pas les pertes de revenus pendant l'indisponibilité du site ni les coûts de récupération du référencement naturel après une alerte de Google concernant un logiciel malveillant.
Pourquoi cliquer sur « Tout mettre à jour » sur WordPress est-il dangereux ?
L'exécution simultanée de toutes les mises à jour en attente sur un site présentant un important retard de traitement empêche d'identifier la mise à jour responsable d'un problème en cas de dysfonctionnement. Les extensions modifiant la structure de la base de données exécutent ces migrations automatiquement et de manière irréversible. La mise à jour simultanée de plusieurs extensions peut engendrer des incompatibilités qu'aucune mise à jour individuelle n'aurait provoquées. Pour les sites utilisant WooCommerce, des systèmes d'adhésion ou d'autres extensions gourmandes en ressources de base de données, une mise à jour massive déclenchant des migrations de base de données et provoquant une panne du site peut nécessiter une restauration complète de la base de données plutôt qu'une simple restauration de fichiers.
Quel est l'impact du report de la maintenance WordPress sur le référencement (SEO) ?
Le principal risque pour le référencement naturel lié à une maintenance différée est le signalement du site comme malveillant par Google. Lorsqu'un site WordPress est compromis par une faille de sécurité non corrigée, Google détecte souvent l'infection et signale le site comme contenant des éléments nuisibles. Cela déclenche l'affichage d'avertissements interstitiels dans le navigateur, empêchant les visiteurs d'accéder au site, provoquant une chute immédiate du classement dans les résultats de recherche organiques et nécessitant une vérification manuelle par Google avant la levée du signalement. Le rétablissement du classement après un tel signalement prend généralement plusieurs mois. Google signale environ 10 000 sites web par jour, et la majorité de ces infections proviennent de failles de sécurité non corrigées dans des extensions.
L'assurance cyber couvre-t-elle les failles de sécurité de WordPress dues à des vulnérabilités non corrigées ?
Pas toujours. Le taux de rejet des demandes d'indemnisation en cyberassurance dépasse 40 %, et l'un des motifs de refus les plus fréquents est la perte imputable à des vulnérabilités connues mais non corrigées. Les assureurs examinent l'historique des correctifs dans le cadre de l'analyse standard des sinistres. Une violation exploitant une vulnérabilité pour laquelle un correctif était disponible publiquement des semaines ou des mois avant l'incident est souvent exclue de la couverture. Les organisations utilisant des installations WordPress obsolètes et disposant de polices d'assurance cyber en vigueur peuvent ainsi se retrouver sans assurance pour le type de sinistre auquel elles sont le plus exposées.
Quelle est la meilleure façon de résorber le retard accumulé dans les mises à jour WordPress ?
L'approche la plus sûre consiste à procéder par étapes. Appliquez les mises à jour une par une plutôt que toutes en même temps. Commencez par les correctifs de sécurité pour les extensions à faible risque. Réservez les extensions gourmandes en ressources, comme WooCommerce et les systèmes d'adhésion, pour la fin. Effectuez une sauvegarde vérifiée avant chaque mise à jour. Pour les mises à jour datant de trois mois ou plus, répliquez votre site de production dans un environnement de test, effectuez les mises à jour progressivement dans cet environnement, vérifiez le bon fonctionnement à chaque étape et déployez en production uniquement après un test complet et sans erreur dans l'environnement de test.
À quelle fréquence WordPress doit-il être mis à jour ?
Les correctifs de sécurité doivent être appliqués dans les 24 à 48 heures suivant leur publication, sachant que le délai médian entre la divulgation publique d'une vulnérabilité et son exploitation massive est de cinq heures. Les mises à jour de fonctionnalités et les mises à niveau majeures doivent être testées en environnement de test avant leur déploiement en production et déployées chaque semaine dans le cadre de la maintenance régulière. Aucun plugin sur un site critique ne doit rester non corrigé plus de sept jours après la publication d'une mise à jour de sécurité.
