Quels plugins WordPress installer par défaut sur un site ?

Ma stack par défaut tient en 9 plugins gratuits : SEOpress (SEO), SecuPress (sécurité), Block Visibility, Icon Block et Advanced Query Loop (édition Gutenberg), Safe SVG (médias), Duplicate Post (productivité), Burst Statistics (statistiques sans cookies) et Favicon by RealFaviconGenerator (livraison).

SEOpress ou Yoast SEO : lequel choisir pour WordPress ?

Je recommande SEOpress. Yoast fait le job mais devient envahissant : l'interface d'édition est saturée de promos pour la version Premium, et certaines fonctionnalités basiques sont devenues payantes. SEOpress est plus sobre, édité en France, et la version gratuite couvre l'essentiel pour la plupart des sites vitrines.

Faut-il acheter WP Rocket pour un site WordPress ?

Pas systématiquement. WP Rocket est un excellent plugin de cache, mais il est payant. Sur un site sans contrat de maintenance, les versions gratuites de WP Super Cache ou W3 Total Cache suffisent souvent. Je n'installe WP Rocket que dans le cadre d'un pack performance, ou si le client souhaite acheter et conserver la licence à son nom.

Quels plugins WordPress éviter absolument ?

Les page builders (Elementor, Divi, WPBakery) génèrent du code illisible et rendent toute migration coûteuse. Jetpack et les usines à gaz du même genre veulent tout faire moyennement et s'enchevêtrent dans le site. Et tous les plugins zombies du repository WordPress : pas mis à jour depuis 18 mois, développeur absent, dernière review utilisateur très ancienne.

Combien de plugins WordPress installer sur un site ?

Le nombre compte moins que la qualité, mais l'expérience montre qu'au-delà d'une quinzaine de plugins actifs, on commence à cumuler les conflits, les ralentissements et les failles potentielles. Ma stack par défaut tient en 9 plugins, plus 1 à 4 plugins premium selon le projet. Mieux vaut plusieurs petits plugins spécialisés qu'un seul gros plugin tout-en-un.

8 mai 2026 10 min de lecture

Les plugins WordPress que j'installe sur tous mes sites (et ceux que j'évite systématiquement)

La plupart des articles « Top 10 des plugins WordPress » sont des listes d'affiliation. On y retrouve les mêmes 25 plugins recyclés depuis 2018, avec les liens d'achat qui vont bien. Ce n'est pas ça que je veux écrire.

Sur la trentaine de sites WordPress que je maintiens ou que j'ai livrés, les mêmes plugins reviennent presque à chaque fois. Pas par paresse. Par conviction. Chaque plugin de cette liste a été pesé contre ses concurrents avant d'atterrir là, et chacun fait une chose précise. Le résultat tient en 9 lignes de composer.json, et c'est délibéré.

Voici ma stack par défaut, regroupée par fonction, puis les plugins premium que j'ajoute quand le projet le justifie, et à la fin ce que je refuse d'installer même si un client insiste.

Ma stack par défaut : 9 plugins gratuits

SEO : SEOpress

Avant SEOpress, j'ai utilisé Yoast SEO pendant des années. Yoast fait le job, c'est un classique, mais il devient envahissant. La page d'édition d'un article finit par ressembler à un tableau de bord publicitaire, avec des promos pour la version Premium toutes les deux sections. Le code injecté est lourd, l'interface pousse à acheter, et certaines fonctionnalités basiques sont passées payantes au fil des versions.

SEOpress est l'alternative française. Plus sobre, moins promotionnel, l'interface laisse l'éditeur respirer. Les fonctions essentielles (méta-titres, descriptions, sitemap XML, données structurées de base, intégration Search Console) sont dans la version gratuite, et ça suffit pour la majorité des sites vitrines.

Je croise régulièrement l'équipe SEOpress sur les WordCamps français. Savoir que je peux parler directement aux personnes qui codent l'outil que j'installe sur mes sites, ça compte. Quand un client a un besoin spécifique ou qu'un bug remonte, je sais à qui écrire.

Sécurité : SecuPress

Le marché de la sécurité WordPress est dominé par Wordfence. C'est l'outil de référence depuis des années, mais c'est aussi une usine à gaz. Le scan tourne en permanence, l'interface est touffue, la version gratuite affiche en boucle des incitations à passer Premium pour avoir les vraies fonctionnalités.

SecuPress prend l'angle inverse. Installation guidée, scan one-shot avec un rapport clair, options de durcissement clairement étiquetées (changer l'URL de connexion, désactiver XML-RPC, bloquer les User-Agents malveillants, protéger wp-config.php). On comprend ce qu'on active, et on peut désactiver sans casser le site.

Comme SEOpress, c'est un produit français. Je croise régulièrement l'équipe SecuPress aux WordCamps. Encore une fois, ça compte de pouvoir poser une question à des gens qu'on a déjà rencontrés en vrai.

Édition Gutenberg : Block Visibility, Icon Block, Advanced Query Loop

Gutenberg est puissant à l'usage, mais il a quelques trous dans la raquette qu'il faut combler avec trois plugins.

Block Visibility ajoute ce qui aurait dû être natif : des conditions d'affichage sur chaque bloc. Afficher un bouton uniquement aux utilisateurs connectés, masquer une section sur mobile, planifier une promo entre deux dates, n'afficher un message qu'aux nouveaux visiteurs. Tout passe par une interface dans la sidebar du bloc, sans toucher au code. Indispensable dès qu'un site dépasse la simple vitrine.

Icon Block ajoute un bloc Icône avec une bibliothèque d'icônes prêtes à l'emploi et la possibilité d'uploader son propre SVG. Avant, je passais par des hacks (image SVG injectée à la main, shortcode, custom block) ou j'attendais d'avoir le temps de coder un bloc dédié. C'est un détail mais ça revient à toutes les livraisons. À surveiller : WordPress 7.0 prévoit d'intégrer une bibliothèque d'icônes native, ce qui pourrait rendre Icon Block redondant. On verra.

Advanced Query Loop étend le bloc Query Loop natif avec tout ce qui lui manque : filtrer par taxonomie multiple, par champ ACF, par date relative, ordonner aléatoirement, exclure les articles déjà affichés sur la page. Le bloc natif est restrictif, et sans cette extension on retombe vite dans le PHP custom. Avec, on reste sur du Gutenberg pur pour la plupart des grilles d'articles ou de projets.

Médias : Safe SVG

Par défaut, WordPress refuse l'upload de SVG. La raison est valable : un fichier SVG peut contenir du JavaScript exécutable, donc une faille XSS potentielle. Sauf qu'on a besoin de SVG en permanence, à commencer par les logos clients.

Safe SVG résout le problème proprement. Le plugin nettoie le SVG à l'upload (suppression des balises script, des handlers JavaScript, des références externes), accepte les uploads en fonction du rôle utilisateur, et affiche les vignettes correctement dans la médiathèque. Pas de configuration nécessaire, ça marche.

C'est typiquement le plugin qu'on oublie jusqu'à ce qu'on essaie d'uploader un logo et qu'on se prenne le refus de WordPress en pleine figure.

Productivité éditeur : Duplicate Post

Quand on livre un site, le client doit pouvoir le faire vivre. Et la plupart du temps, faire vivre un site, c'est dupliquer une page existante pour en créer une nouvelle similaire, plutôt que de partir de zéro.

Duplicate Post ajoute un lien « Dupliquer » dans la liste des articles, pages, et tout type de contenu personnalisé. Le client clone une fiche projet, change les éléments différenciants, publie. Trente secondes au lieu de vingt minutes.

C'est aussi le plugin qui m'aide à remplir rapidement les sites pendant le développement : je duplique des exemples de contenu pour tester les templates avec des données réalistes, sans avoir à recréer manuellement chaque champ.

Statistiques sans cookies : Burst Statistics

J'ai déjà expliqué dans un autre article pourquoi je n'installe pas Google Analytics par défaut sur les sites que je livre. Le résumé : trop lourd, bandeau cookie obligatoire, données qui partent hors UE, et au final un client qui ne consulte jamais le tableau de bord.

Burst Statistics, c'est l'alternative que j'installe à la place. Plugin néerlandais, mesure côté serveur, pas de cookie, pas de bandeau RGPD à afficher. L'interface est lisible, on a les visites, les pages les plus consultées, les sources de trafic. C'est suffisant pour 95 % des sites que je livre, et le client comprend les chiffres sans formation.

Pour les besoins plus avancés (entonnoirs de conversion, segmentation fine), c'est Matomo auto-hébergé. Mais c'est rare à mon échelle.

Livraison propre : Favicon by RealFaviconGenerator

Ce plugin ne sert qu'à une chose, mais il la fait parfaitement : générer tous les formats de favicon nécessaires (PNG multiples tailles, manifest pour Android, fichier pour iOS, etc.) à partir d'un seul fichier source.

C'est typiquement le genre de tâche qu'on bâcle à la fin du projet quand on a déjà la tête ailleurs. Avec ce plugin, on upload un PNG carré, on coche deux ou trois cases, et le favicon est correct sur tous les supports. Petit plugin, gros gain de temps à la livraison.

Les plugins premium que j'ajoute selon le projet

Les 9 plugins ci-dessus suffisent pour livrer un site WordPress propre. Mais certains projets demandent des fonctions que seuls des plugins payants couvrent vraiment. Dans ce cas, deux scénarios : soit la licence est incluse dans le pack de maintenance que je propose au client, soit le client souhaite acheter et conserver la licence à son nom. Pas de plugin premium installé sans en parler explicitement avec le client.

SEOpress Pro : si pack SEO pris

SEOpress Pro débloque le Schema avancé, les redirections gérées dans l'interface, l'audit SEO interne et l'analyse de contenu. Inclus quand le pack SEO est intégré au contrat de TMA. Sur un site vitrine sans gros enjeu de référencement, la version gratuite suffit largement.

WP Rocket + Imagify : pack performance

WP Rocket fait tout ce que WP Super Cache et W3 Total Cache savent faire, mieux, avec une configuration qui marche par défaut. Cache statique, minification CSS/JS, lazy loading natif, preload du sitemap, intégration Cloudflare native. La case à cocher fait ce qu'elle promet, c'est suffisamment rare dans WordPress pour être souligné.

Imagify compresse les images en WebP et AVIF en arrière-plan, sans intervention manuelle. J'ai testé ShortPixel et EWWW avant de me fixer dessus : ShortPixel a une facturation au crédit illisible quand le client veut comprendre sa note, EWWW compresse en local mais avec une qualité moins fine. Les deux plugins WP Media s'intègrent proprement entre eux, ce qui évite les conflits classiques entre plugin de cache et plugin d'images.

SecuPress Pro : si le site est sensible

« Sensible » ne veut pas dire seulement « technique exposée ». Le sujet du site compte autant que sa stack. Un site à caractère religieux, politique, militant ou simplement médiatisé sera beaucoup plus ciblé par des attaques qu'un site vitrine d'artisan, à fonctionnalités équivalentes. Côté technique, j'ajoute aussi SecuPress Pro sur les e-commerces, espaces membres, intranets et formulaires qui collectent des données personnelles.

La version Pro débloque les pare-feux applicatifs, la protection anti-brute-force avancée, la double authentification et la détection des malwares. Sur un site vitrine sans donnée sensible ni audience exposée, la version gratuite suffit pour le durcissement de base.

WP Grid Builder : si le site a besoin de filtres à facettes

C'est le cas typique du blog avec beaucoup d'articles, du catalogue produit, d'un store locator, ou d'un annuaire. WP Grid Builder est cher mais il fait quelque chose qu'aucun équivalent gratuit ne fait correctement : des filtres à facettes performants, en AJAX, avec une vraie gestion des cas tordus (filtres combinés, URL partageables, pagination). En face, il y a des heures de développement custom à coder ses propres filtres. À l'usage, le plugin se rentabilise vite.

La question des plugins français

Plusieurs plugins de cette liste sont français : SEOpress, SecuPress, et WP Rocket et Imagify édités par WP Media basée à Lyon. Burst Statistics est néerlandais, ce qui reste dans le cadre européen. Ce n'est pas un hasard.

Quand un client me demande « pourquoi celui-là plutôt qu'un autre », la réponse technique passe en premier, mais la souveraineté compte aussi. Tous ces plugins manipulent des données du site ou de ses visiteurs : configurations SEO, journaux de sécurité, statistiques de fréquentation, images uploadées. Autant qu'elles restent traitées sous un cadre légal européen, sous une juridiction qu'on partage avec le client. C'est plus simple à expliquer et plus simple à défendre quand le client pose la question.

Et puis il y a le côté humain. Je croise les développeurs aux WordCamps, je peux écrire un mail en français qui sera lu, et le support n'est pas un chatbot anglophone à 9000 km. Surtout, je peux leur soumettre directement des suggestions d'amélioration ou des correctifs de bug, en sachant que ce sera lu par la personne qui maintient le code. Sur cinq ans de TMA, ça compte.

Ce que j'évite systématiquement

Les page builders : Elementor, Divi, WPBakery. J'ai déjà détaillé dans un autre article pourquoi j'ai arrêté Elementor et Divi. Résumé : code généré illisible, dépendance totale au plugin, performances dégradées, migration impossible sans tout refaire. Sur les sites que je livre, c'est non. Sur les sites que je reprends en maintenance, c'est le premier candidat à la dépose dès qu'on planifie une refonte.

Le risque de dépendance n'est pas qu'une question de code. Elementor a déjà connu une grosse hausse tarifaire en 2021. Rebelote entre février 2025 et janvier 2026, et cette fois sur trois fronts en parallèle : hausse sur tous les plans, suppression des paliers intermédiaires, et quota de crédits AI imposé à tout le monde.

L'ancien plan Advanced (3 sites pour 99 $/an) a tout simplement disparu : qui n'avait besoin que de quelques sites doit maintenant prendre Expert à 204 $/an. L'ancien plan Agency (1 000 sites pour 399 $/an) est remplacé par un plan « sites illimités » à 540 $/an. Pour une agence qui a une centaine de sites construits dessus, il faut payer ce nouveau plan, qu'on en ait l'usage ou pas. Et toute la grille s'articule désormais autour d'une fonctionnalité AI imposée, dont les implications de confidentialité méritent qu'on s'y attarde : le contenu des sites construits avec Elementor sert-il à entraîner ces modèles ? Les CGU mériteraient d'être lues attentivement avant de cocher la case.

Côté utilisateurs, les premiers retours sont à l'avenant, entre crédits qui partent en fumée et bugs récurrents. C'est la logique d'un écosystème fermé. Avec Gutenberg, qui fait partie du cœur de WordPress, la question ne se pose pas.

Les usines à gaz : Jetpack en tête. Jetpack veut tout faire : sécurité, performance, statistiques, formulaire de contact, intégration sociale, sauvegarde, CDN d'images. Le résultat est un plugin lourd, qui appelle WordPress.com en permanence, qui consomme des ressources serveur pour des fonctions qu'on a déjà ailleurs, et qui devient indispensable une fois installé parce qu'il s'enchevêtre dans tout. Je préfère plusieurs plugins spécialisés qu'un seul qui fait dix choses moyennement.

Les plugins zombies du repository. Ceux qui n'ont pas été mis à jour depuis 18 mois, ceux dont la dernière review utilisateur date de 2021, ceux dont le développeur a disparu. Quand on reprend un site, c'est souvent par là qu'on découvre l'origine d'une lenteur ou d'une faille. Avant d'installer un plugin, je regarde la date de la dernière mise à jour, le nombre d'installations actives et la réactivité du développeur aux tickets de support.

Pour finir

Neuf plugins par défaut, quatre premium en option selon le projet. Pas quarante. Pas un mega-plugin tout-en-un qui prétend tout faire. Chaque outil de cette liste fait une chose, a été choisi contre ses alternatives, et peut être désinstallé proprement sans casser le reste du site.

La règle derrière tout ça tient en une phrase : un plugin = une fonctionnalité, un métier à couvrir. En respectant ce principe, on diminue mécaniquement les risques de conflit entre plugins, et on isole proprement chaque brique le jour où il faut la remplacer. Et tant qu'à faire, autant choisir un éditeur français à dimension humaine à qualité technique égale.

C'est moins glamour qu'une liste de 25 outils. Mais c'est ce qui tient sur la durée. Et c'est aussi pour ça qu'une stack courte facilite la maintenance : moins de plugins, c'est moins de surface d'attaque et moins de dette technique à payer le jour où un client nous rappelle parce que son site n'a pas été maintenu depuis un an.

Vous voulez un audit de l'état actuel de votre site WordPress (plugins installés, dette technique, sécurité, performance) ? Écrivez-moi en quelques lignes, je propose un audit gratuit de prise de contact, sans engagement. Et si vous démarrez un projet WordPress et hésitez sur votre stack, on en parle directement plutôt que de cocher des cases au hasard sur un comparatif Google.