Toutes les prises de position
TechMars 2026 9 min

Pourquoi on ne fait plus de WordPress en 2026

WordPress a été génial pendant 15 ans. Aujourd'hui, c'est un piège à dette technique pour la plupart des PME. Voilà pourquoi on a arrêté, et ce qu'on utilise à la place.

KR

Kévin Richard

Fondateur, Hubblot

Notre position en une phrase

WordPress propulse 43% du web mais concentre 80% des failles de sécurité. Plugin-fatigue, lenteur, dette tech permanente. Next.js + headless CMS offre mieux sur tous les plans : perf, sécu, maintenabilité, coût long terme.

On va se mettre d'accord sur un truc : WordPress a changé le web. C'est grâce à lui qu'un prof des écoles peut lancer son blog, qu'une PME familiale peut avoir une vitrine, qu'un restaurateur peut afficher son menu en ligne sans coder. Pour ça, respect total. Chapeau.

Mais en 2026, pour un projet professionnel qui doit durer, performer et évoluer, on refuse de faire du WordPress. Et on va expliquer pourquoi sans enjoliver.

Les chiffres qui font mal

43%

Du web en WordPress

80%

Des failles CMS

60 000+

Plugins (chaos)

x3

Plus lent en moyenne

WordPress propulse 43% des sites web dans le monde. C'est colossal. Mais c'est aussi ça qui en fait la cible n°1 des hackers. Selon Sucuri (2024), 80% des sites CMS hackés sont sous WordPress.

Les raisons sont connues : écosystème de plugins tiers non contrôlés, versions obsolètes jamais mises à jour, hébergeurs à 3€/mois mal configurés. Le cocktail parfait.

Les 5 raisons pour lesquelles on a arrêté

1. La plugin-fatigue

Un site WordPress « basique » en 2026 a entre 15 et 30 plugins installés : Yoast SEO, WooCommerce, Elementor, WPForms, Akismet, UpdraftPlus, Wordfence, Smush, WP Rocket, Redirection, etc.

Chaque plugin est un code tiers qui :

  • Ralentit votre site (chargement de scripts JS + CSS)
  • Peut contenir des failles de sécurité
  • Devient payant sans prévenir (Elementor Pro est passé de 49€ à 199€/an)
  • Peut être abandonné par son développeur (= site cassé)
  • Entre en conflit avec les autres plugins

Vous n'installez pas un site WordPress. Vous installez une dette technique avec interface.

2. Les performances catastrophiques

Testez n'importe quel site WordPress sur PageSpeed Insights. Vous verrez rarement du vert sur mobile.

En cause : le thème de base qui charge tout même si vous n'utilisez que 10%, les plugins qui injectent leurs propres scripts, la base MySQL pas optimisée, l'hébergement mutualisé lent.

Conséquence directe : Google déclasse votre site. Les Core Web Vitals (LCP, CLS, INP) sont désormais un critère de ranking. Un site WordPress « pas optimisé » perd 20-30% de trafic SEO par rapport à un site moderne équivalent.

3. La sécurité impossible à garantir

Maintenir un WordPress sécurisé, ce n'est pas « installer des mises à jour ». C'est un métier. Il faut :

  • Surveiller les failles annoncées (WPScan Database)
  • Tester les MAJ en staging avant production (sinon c'est Russian roulette)
  • Configurer correctement un pare-feu applicatif (WAF)
  • Backuper avant chaque MAJ
  • Monitorer les logs d'accès suspects

La plupart des PME n'ont ni le temps ni les compétences. Résultat : le site prend la poussière, les plugins restent en version 2022, et un jour, crac, défacement, vol de données, redirection vers du porno. Classique.

4. Le SEO handicapé par défaut

WordPress n'est pas « mauvais pour le SEO ». Il est mauvais par défaut. Pour être optimal, il faut :

  • Installer Yoast ou Rank Math (+ plugin)
  • Configurer manuellement les balises schema.org
  • Optimiser les images (plugin supplémentaire)
  • Mettre en place du lazy loading (plugin supplémentaire)
  • Gérer le sitemap (plugin supplémentaire)
  • Bloquer les URL indésirables (plugin supplémentaire)

Avec Next.js, tout ça est natif. Balises dynamiques, schema.org, sitemap auto-généré, images optimisées Next/Image. Zéro configuration, zéro plugin, zéro faille.

5. La dette technique qui s'accumule

Un site WordPress après 3 ans de vie, c'est un champ de mines :

  • Le développeur original est parti, personne ne comprend son code custom
  • Les plugins custom codés pour des besoins spécifiques cassent à chaque MAJ PHP
  • Les thèmes type Divi / Elementor ne peuvent plus être migrés sans tout refaire
  • La base de données est remplie de révisions, meta orphelines, transients expirés

Vous voulez ajouter une simple fonctionnalité ? Un mois de dev, parce qu'il faut d'abord comprendre l'existant, mettre à jour PHP, tester les plugins. On appelle ça se faire prendre en otage par son propre site.

Ce qu'on utilise à la place (et pourquoi)

Depuis 2023, notre stack standard est :

Notre stack moderne 2026

  • Next.js 16 (React) : framework moderne, ultra-performant, maintenu par Vercel
  • TypeScript : fini les bugs JS classiques, code robuste
  • PostgreSQL + Prisma : base de données relationnelle sérieuse
  • Tailwind CSS : design cohérent, sans CSS custom qui part en vrille
  • Sanity / Contentful / Payload (headless CMS) : interface d'admin moderne sans couplage au front
  • Vercel / OVH : déploiement en 1 clic, scaling auto

Les bénéfices concrets

  • Performance x3 : Lighthouse ≥ 90 par défaut, même sans optimisation
  • Sécurité par design : pas d'écosystème plugins, pas de surface d'attaque
  • Pas de plugins payants : tout est open-source ou inclus
  • Scalabilité : passer de 1000 à 100 000 visiteurs sans rien changer
  • Code propre et documenté : n'importe quel dev React peut reprendre
  • SEO-first : balises, sitemap, structured data = natifs

« Mais ma secrétaire gère le site elle-même sur WordPress ! »

Argument classique. Et légitime. Mais un headless CMS moderne (Sanity, Contentful, Payload, Strapi) offre une interface d'édition au moins aussi simple que WordPress, souvent plus. Sans les casseroles.

Votre équipe édite des contenus depuis un back-office propre. Les pages se mettent à jour en 2 secondes. Pas de formation complexe, pas de plugins à choisir, pas de peur de « casser » le site.

WordPress c'est comme avoir une Twingo des années 2000. Ça roule, c'est sympa, mais quand vous voulez faire Lille-Marseille chargé, vous regrettez.

, Kévin Richard

Dans quels cas on accepterait encore de faire du WordPress

On n'est pas fanatiques. WordPress reste pertinent pour :

  • Un blog perso / associatif sans enjeu business, petit trafic
  • Une reprise d'existant avec contraintes budgétaires fortes et site qui tourne bien
  • Un client qui a déjà toute son équipe formée WordPress et ne peut pas rebasculer

Pour tout le reste, vitrine professionnelle, e-commerce, application, site à enjeu SEO, on refuse. Ce n'est pas par snobisme technique, c'est par respect pour votre investissement.

Notre recommandation si vous êtes actuellement sur WordPress

Deux cas de figure :

Cas 1 : votre site a moins de 3 ans et tourne correctement. Ne changez rien tout de suite. Faites les MAJ, surveillez la sécurité, préparez doucement une migration vers du moderne quand il faudra refondre pour raisons business.

Cas 2 : votre site rame, se fait hacker, ou vous freine dans vos projets. Ne tentez pas de « réparer ». Refondez sur une stack moderne. L'investissement initial (6-15k€) se rembourse en 12-18 mois sur les gains de perf SEO + tranquillité sécurité.

Si vous hésitez, envoyez-nous votre site, on vous fait un diagnostic honnête gratuit. Sans obligation.

KR

Kévin Richard

Fondateur, Hubblot · Lille, France

Je construis Hubblot pour être le partenaire digital que j'aurais voulu avoir quand je lançais mes premières entreprises. 10 ans à faire du web, du conseil, de l'ADS. Un seul visage, toutes les casquettes, la confiance comme seule monnaie.

Échanger avec Kévin kevin@hubblot.fr

Autres prises de position

IA & Web

L'IA va-t-elle tuer les agences web ?

11 min
E-commerce

Shopify vs sur-mesure : le vrai match

10 min
Transparence

Le vrai prix d'un site web en France

12 min

Prêt à quitter WordPress ?

Refonte moderne sans plugins lourds ni dette technique.

Démarrer ma refonteEn discuter
Hubbly, Mascotte Hubblot