Skip to content
#561 / WORDPRESS

Comment activer les mises à jour majeurs automatiques dans WordPress

En 2025, il ne s'écoulait en moyenne que 5 heures entre la divulgation publique d'une faille WordPress et sa première exploitation de masse, d'après le rapport annuel de Patchstack. Autant dire qu'un correctif appliqué

10 min Adrien
Comment activer les mises à jour mineures automatiques dans WordPress

En 2025, il ne s’écoulait en moyenne que 5 heures entre la divulgation publique d’une faille WordPress et sa première exploitation de masse, d’après le rapport annuel de Patchstack. Autant dire qu’un correctif appliqué le lendemain arrive déjà trop tard. C’est précisément le rôle des mises à jour mineures, ces versions comme 6.7.1 ou 6.7.2 qui ne contiennent que des correctifs de sécurité et de bugs.

Bonne nouvelle, WordPress sait installer ces correctifs tout seul, en arrière-plan, le jour même de leur sortie. Vous pouvez même aller plus loin et confier au cœur l’intégralité de ses mises à jour, versions majeures comprises. On vous montre plusieurs méthodes pour activer les mises à jour automatiques du cœur WordPress, de la vérification en un clic depuis l’administration au réglage complet par le code pour les administrateurs exigeants.

L’essentiel à retenir

  • Les mises à jour mineures sont actives par défaut depuis WordPress 3.7, l’interface ne permet pas de les désactiver.
  • L’écran des mises à jour sert surtout à ajouter ou retirer les versions majeures automatiques.
  • La constante WP_AUTO_UPDATE_CORE dans wp-config.php verrouille le comportement et prime sur tout le reste.
  • Il ne s’écoulait que 5 heures en médiane entre la divulgation d’une faille et son exploitation de masse, d’où l’intérêt d’automatiser.

La différence entre une mise à jour mineure et une mise à jour majeure

Une mise à jour mineure est une version de correction, numérotée sur le dernier chiffre, comme le passage de 6.7 à 6.7.1. Elle n’apporte aucune nouvelle fonctionnalité, uniquement des correctifs de sécurité et de bugs. Une mise à jour majeure, comme 6.7 vers 6.8, change en revanche le cœur du logiciel et peut affecter vos extensions ou votre thème.

Cette distinction guide toute la stratégie de maintenance. Les versions mineures suivent une règle stricte, aucun changement cassant, ce qui rend leur installation silencieuse sans risque réel. Les versions majeures demandent au contraire de la prudence, un test de non-régression étant recommandé avant chaque saut de version. WordPress traite donc les deux séparément, et c’est une bonne chose.

Les mises à jour automatiques en arrière-plan existent depuis WordPress 3.7, sorti en 2013 pour renforcer la sécurité de l’écosystème. Depuis la version 5.6, les nouvelles installations reçoivent par défaut les versions mineures comme majeures, sauf si un gestionnaire de versions est détecté. Ce socle explique pourquoi 92,1 % des sites WordPress tournent aujourd’hui sur une version 6.x récente, un taux d’adoption bien plus sain qu’on ne l’imagine.

Le risque de ne rien automatiser est pourtant bien réel. D’après les analyses de Sucuri sur les sites qu’elle nettoie, la moitié des sites WordPress infectés faisaient tourner un cœur obsolète au moment de la compromission. Garder au minimum les mises à jour mineures actives, c’est fermer la porte la plus souvent utilisée par les attaques automatisées.

Repartition des vulnerabilites WordPress 2025 par composant Sur les 11334 vulnerabilites decouvertes dans l’ecosysteme WordPress en 2025, les extensions concentrent 91 pour cent, les themes 9 pour cent, et le coeur moins de 1 pour cent avec seulement 6 vulnerabilites. Source Patchstack, etat de la securite WordPress 2025. Ou se cachent les failles de WordPress en 2025 Part des 11 334 vulnerabilites de l’ecosysteme, par composant 25% 50% 75% 100% Extensions 91% Themes 9% Coeur WordPress < 1% (6 failles) Source, Patchstack, etat de la securite WordPress 2025

Ce déséquilibre est frappant. Le cœur de WordPress n’a compté que 6 vulnérabilités sur les 11 334 de l’année, tandis que les extensions en concentrent 91 % et les thèmes 9 %. Automatiser le cœur reste indispensable, mais l’essentiel du risque se joue ailleurs. Pensez donc aussi à mettre à jour vos extensions et thèmes automatiquement.

Vérifier l’état des mises à jour depuis le tableau de bord

C’est la méthode la plus simple et elle ne demande aucune ligne de code. Il faut d’abord comprendre une chose essentielle. Sur une installation standard, les mises à jour mineures sont déjà actives par défaut, et l’écran des mises à jour ne permet pas de les couper. Ce que vous réglez ici, c’est uniquement l’ajout ou non des versions majeures.

Pour le vérifier, connectez-vous à votre administration WordPress, puis ouvrez le menu Tableau de bord et cliquez sur Mises à jour. En haut de la page, sous la version actuelle, WordPress indique l’état des mises à jour automatiques du cœur. Le message affiché dépend de votre configuration, et le lien proposé bascule d’un mode à l’autre.

  • Si le site est mis à jour avec uniquement les versions de maintenance et de sécurité, le lien propose d’activer les mises à jour pour toutes les nouvelles versions, majeures comprises.
activer les mises à jours automatiques majeures wordpress
  • Si le site est mis à jour avec chaque nouvelle version, le lien propose au contraire de revenir aux seules versions de maintenance et de sécurité.

Pour tout automatiser, cliquez sur le lien Activer les mises à jour automatiques pour toutes les nouvelles versions. WordPress installera alors seul aussi bien les correctifs de sécurité que les versions majeures, c’est le réglage le plus tranquille au quotidien. Si vous préférez tester les majeures avant, laissez le réglage sur les versions de maintenance et de sécurité, les mineures restant de toute façon actives dans les deux cas.

Un réflexe d’expérience à adopter. Sur les sites que nous reprenons en maintenance, ce mécanisme a parfois été coupé par une ancienne extension de sécurité ou une constante posée par un hébergeur. Vérifier cet écran en premier donne l’état du site en un coup d’œil, avant même de chercher plus loin dans la configuration.

Verrouiller le comportement avec la constante dans wp-config.php

Cette méthode s’adresse à ceux qui veulent un réglage durable, indépendant de l’interface. En ajoutant une constante dans le fichier wp-config.php, vous forcez le comportement des mises à jour du cœur. Ce réglage prend le dessus sur l’option affichée dans l’administration et sur les filtres, ce qui en fait l’endroit le plus fiable pour imposer une politique sur un site en production.

La constante s’appelle WP_AUTO_UPDATE_CORE et accepte trois valeurs. Chacune décrit ce que WordPress installe automatiquement, du blocage total à l’activation complète. Pour activer toutes les mises à jour du cœur, majeures comprises, la valeur à utiliser est true.

Valeur de la constanteMises à jour de développementMises à jour mineuresMises à jour majeures
trueActivéesActivéesActivées
'minor'DésactivéesActivéesDésactivées
falseDésactivéesDésactivéesDésactivées
Source, documentation officielle WordPress, développeur avancé, 2026

Pour appliquer ce réglage, ouvrez le fichier wp-config.php situé à la racine de votre installation, via votre gestionnaire de fichiers ou en FTP. Ajoutez la ligne suivante avant le commentaire qui marque l’arrêt des modifications, la mention connue sur la fin de l’édition.

/* Active toutes les mises a jour automatiques du coeur, majeures comprises */
define( 'WP_AUTO_UPDATE_CORE', true );

Enregistrez le fichier, et le tour est joué. La valeur true confie à WordPress l’ensemble des mises à jour du cœur, des correctifs de sécurité aux nouvelles versions majeures. C’est le réglage le plus tranquille pour un site que vous ne surveillez pas au quotidien, puisque vous n’avez plus jamais à lancer une mise à jour à la main.

Si vous préférez tester chaque version majeure avant de la déployer, remplacez simplement true par 'minor'. Cette valeur n’autorise alors que les correctifs de sécurité et de maintenance, en laissant les sauts de version majeure sous votre contrôle. C’est aussi le comportement par défaut historique de WordPress, un bon compromis pour les sites professionnels sensibles aux régressions.

Avertissement
Une simple faute de frappe dans wp-config.php peut rendre tout le site inaccessible, car il est chargé à chaque requête. Faites systématiquement une copie de sauvegarde du fichier original avant de le modifier, pour revenir en arrière en cas d’erreur.

Contrôler finement les mises à jour avec les filtres WordPress

Cette méthode est réservé aux développeurs et administrateurs à l’aise avec le code. WordPress expose des filtres, de petits points d’entrée qui permettent d’activer ou de couper chaque type de mise à jour de façon indépendante. Ils offrent le contrôle le plus fin, plus souple que la constante, mais demandent aussi le plus de rigueur.

Le filtre qui nous intéresse pour les correctifs de sécurité est allow_minor_auto_core_updates. En le renvoyant à vrai, vous forcez l’activation des mises à jour mineures. À l’inverse, le filtre automatic_updater_disabled désactive l’ensemble des mises à jour automatiques d’un seul geste, tandis que allow_major_auto_core_updates gère spécifiquement les versions majeures.

// Active les mises a jour mineures automatiques du coeur
add_filter( 'allow_minor_auto_core_updates', '__return_true' );

Ces filtres ne doivent pas aller dans wp-config.php, mais dans une extension mu-plugin. Il s’agit d’un simple fichier PHP déposé dans le dossier wp-content/mu-plugins, que WordPress charge automatiquement et que personne ne peut désactiver par accident depuis l’administration.

Placer ces filtres dans un mu-plugin garantit qu’ils survivent aux changements de thème et aux mises à jour d’extensions. C’est l’approche la plus robuste pour un site professionnel, car le réglage devient un morceau d’infrastructure à part entière, versionné et documenté. Pour aller plus loin, notre rubrique dédiée à WordPress regroupe nos autres guides d’administration.

Source préférée Google Ne subissez pas l’algorithme

Ajoutez Assistouest à vos sources préférées sur Google pour retrouver nos guides plus vite quand vous cherchez une solution informatique.

Mettre en favori

Désactiver les mises à jour mineures sur un site de test

Il existe des cas où couper les mises à jour automatiques a du sens, typiquement un site de préproduction où l’on veut figer les versions pour reproduire un bug. Comme l’interface ne le permet pas, cette désactivation passe obligatoirement par le code. C’est le pendant logique de tout ce qui précède, et il vaut mieux savoir le faire proprement.

Pour ne bloquer que les mineures tout en gardant la main sur le reste, le filtre allow_minor_auto_core_updates renvoyé à faux suffit. Pour couper l’ensemble des mises à jour automatiques d’un coup, la constante WP_AUTO_UPDATE_CORE réglée sur false dans wp-config.php reste la plus radicale et la plus fiable.

// Desactive uniquement les mises a jour mineures (a reserver au staging)
add_filter( 'allow_minor_auto_core_updates', '__return_false' );

Gardez cette désactivation pour les environnements de test et jamais pour un site en production. Un site vitrine ou une boutique laissés sans correctifs de sécurité deviennent une cible facile, surtout au vu du délai très court entre la découverte d’une faille et son exploitation. Sur ces environnements figés, pensez aussi à la constante DISALLOW_FILE_MODS, qui verrouille en plus l’installation et l’édition des extensions et des thèmes.

Vérifier que les mises à jour automatiques fonctionnent

Activer un réglage ne suffit pas, encore faut-il confirmer qu’il produit son effet. WordPress fournit plusieurs signaux pour vérifier l’état des mises à jour automatiques, du plus visible dans l’administration au plus technique côté serveur. Prendre 30 secondes pour ce contrôle évite les mauvaises surprises.

Le premier endroit à consulter est l’outil Santé du site, accessible depuis le menu Outils de l’administration. Son onglet des informations indique si les mises à jour automatiques du cœur sont actives et quelle portée elles couvrent. C’est le diagnostic officiel, celui qui reflète l’ensemble des réglages combinés, constante, filtres et option d’interface.

  • WordPress envoie un courriel de confirmation à l’adresse d’administration après chaque mise à jour automatique réussie ou échouée.
  • Pendant l’installation, un fichier temporaire nommé .maintenance apparaît brièvement à la racine du site.
  • La vérification des nouvelles versions repose sur le planificateur interne de WordPress, qui la déclenche environ toutes les 12 heures.

Gardez enfin en tête que ce système dépend du bon fonctionnement du planificateur interne, le wp-cron. Sur un site à très faible trafic, ce planificateur se déclenche rarement, faute de visiteurs pour l’activer. Si vos mises à jour semblent en retard malgré un réglage correct, c’est la piste du cron qu’il faut creuser en premier. Les courriels de notification, eux, se coupent au besoin avec le filtre auto_core_update_send_email.

Quelle méthode choisir pour votre site

Le choix dépend surtout de votre rapport au code et du niveau de contrôle recherché. Pour un site personnel ou une petite vitrine que vous ne surveillez pas de près, activer toutes les mises à jour du cœur est le réglage le plus serein, que ce soit par le lien du tableau de bord ou par la constante réglée sur true. Vous n’avez alors plus jamais à y penser.

Pour un site professionnel ou tenu par une agence, la constante dans wp-config.php ou les filtres dans un mu-plugin offrent un réglage durable, à l’abri des manipulations accidentelles. Quelle que soit l’option retenue, l’important est de ne jamais laisser un site en production sans mises à jour mineures, car ce sont elles qui portent les correctifs de sécurité les plus urgents. Pour sécuriser plus largement votre installation, consultez notre rubrique cybersécurité.