Comment Découvrir Quel Thème WordPress un Site Utilise

Identifier le thème WordPress utilisé sur un site web repose sur un principe fondamental : WordPress stocke tous les fichiers du thème dans un chemin de répertoire prévisible — /wp-content/themes/[theme-slug]/ — et ce chemin apparaît dans le HTML rendu, les références CSS et les réponses HTTP à plusieurs endroits. Une fois que vous savez où chercher, la détection prend moins de deux minutes sans outils spéciaux.

Ce guide couvre toutes les méthodes de détection fiables, des détecteurs en ligne automatisés à l’inspection brute des en-têtes HTTP, y compris les cas particuliers où les thèmes sont délibérément masqués et ce que vous pouvez encore extraire dans ces scénarios.

Pourquoi identifier un thème WordPress est important

Au-delà de la simple curiosité, l’identification d’un thème répond à plusieurs objectifs professionnels légitimes :

• Recherche de design : Reproduire une mise en page ou un modèle d’interface en trouvant le thème exact plutôt qu’en le reconstruisant de zéro.
• Analyse concurrentielle : Comprendre la pile technologique des concurrents dans votre secteur.
• Audit de sécurité : Vérifier si un site que vous gérez ou évaluez utilise une version de thème obsolète ou vulnérable.
• Intégration client : Lors de la reprise d’un site WordPress sans documentation, la détection du thème est souvent le moyen le plus rapide de reconstituer la pile.
• Vérifications de compatibilité des plugins : De nombreux thèmes premium intègrent des plugins spécifiques ; connaître le thème permet de prévoir l’arbre de dépendances complet.

Si vous créez ou migrez un site WordPress — que ce soit sur un Hébergement Web Mutualisé ou un environnement VPS Hosting entièrement géré — connaître le slug exact du thème est indispensable avant de pouvoir reproduire un design ou auditer une installation héritée.

Méthode 1 : Détecteurs de thèmes en ligne automatisés

Les outils automatisés sont le point de départ le plus rapide. Ils analysent le code source de la page, résolvent les URL des ressources CSS et JavaScript, et les comparent à des bases de données de thèmes connus pour retourner des résultats structurés en quelques secondes.

What WordPress Theme Is That (whatwpthemeisthat.com)

C’est le détecteur le plus souvent cité. Il retourne le nom du thème, la version, l’auteur, l’URI du thème, ainsi qu’une liste des plugins actifs détectés à partir des scripts et feuilles de style mis en file d’attente.

Comment l’utiliser :

1. Accédez à whatwpthemeisthat.com.
2. Collez l’URL complète du site cible dans le champ de saisie.
3. Cliquez sur Search.
4. Consultez la fiche du thème retournée — elle inclut un lien direct vers le dépôt ou la page d’achat du thème.

Limitation : Si le site utilise un thème enfant fortement personnalisé ou si le répertoire du thème a été renommé, l’outil peut retourner le nom du thème parent ou échouer complètement.

WPThemeDetector (wpthemedetector.com)

WPThemeDetector va plus loin en répertoriant également les plugins actifs en plus du thème. Il est particulièrement utile lorsque vous souhaitez comprendre l’écosystème complet des plugins, pas seulement le thème.

Comment l’utiliser :

1. Accédez à wpthemedetector.com.
2. Saisissez l’URL du site cible.
3. Cliquez sur Experience the magic of WPTD.
4. La page de résultats liste le thème actif et jusqu’à 20 plugins détectés avec des liens vers leurs entrées sur WordPress.org.

Limitation : Le niveau gratuit limite le nombre de requêtes. Pour une analyse en masse, l’inspection manuelle est plus pratique.

IsItWP (isitwp.com)

IsItWP combine la détection de thème avec une analyse d’empreinte technologique plus large. Il confirme si le site fonctionne sous WordPress avant de tenter l’identification du thème — utile lorsque vous n’êtes pas sûr que la cible est bien une installation WordPress.

Méthode 2 : Inspection directe du code source de la page

Lorsque les outils automatisés échouent ou retournent des résultats ambigus, le code source de la page est la vérité absolue. WordPress injecte la feuille de style du thème actif sous forme de balise <link> dans la section <head> de chaque page par défaut.

Afficher le code source brut de la page

1. Ouvrez le site cible dans n’importe quel navigateur.
2. Appuyez sur Ctrl+U sous Windows/Linux ou Cmd+U sous macOS pour ouvrir le code source brut dans un nouvel onglet.
3. Appuyez sur Ctrl+F (Windows/Linux) ou Cmd+F (macOS) pour ouvrir la barre de recherche.
4. Recherchez la chaîne wp-content/themes/.

Vous cherchez une ligne structurée comme ceci :

<link rel='stylesheet' id='theme-name-css'
      href='https://example.com/wp-content/themes/theme-slug/style.css?ver=3.2.1'
      type='text/css' media='all' />

Le segment entre /wp-content/themes/ et le prochain / est le nom du répertoire du thème (également appelé slug du thème). C’est l’identifiant canonique utilisé dans le dépôt de thèmes WordPress et par les développeurs de thèmes.

Conseil pro : Le paramètre de requête ?ver= révèle souvent le numéro de version du thème, ce qui est essentiel pour les audits de sécurité. Comparez cette version avec le journal des modifications du thème pour déterminer si elle est à jour.

Ce que l’en-tête style.css vous indique

Une fois que vous avez le slug du thème, vous pouvez accéder directement à son en-tête de feuille de style en construisant l’URL manuellement :

https://example.com/wp-content/themes/theme-slug/style.css

Le haut d’une feuille de style de thème WordPress bien formée contient un bloc de commentaires structuré qui fonctionne comme le manifeste de métadonnées du thème :

/*
Theme Name:  Astra
Theme URI:   https://wpastra.com/
Author:      Brainstorm Force
Author URI:  https://www.brainstormforce.com/
Description: Astra is fast, fully customizable & beautiful WordPress theme...
Version:     4.6.11
License:     GNU General Public License v2 or later
License URI: http://www.gnu.org/licenses/gpl-2.0.html
Text Domain: astra
Tags:        custom-background, custom-logo, custom-menu, ...
*/

Ce bloc vous donne le nom exact du thème, la version, l’auteur et la licence — tout ce dont vous avez besoin pour localiser la source officielle du thème.

Note de sécurité : Certaines configurations WordPress renforcées bloquent l’accès direct aux fichiers du thème via des règles .htaccess ou des blocs de localisation NGINX. Si vous recevez une réponse 403 Forbidden, l’administrateur du site a explicitement restreint la navigation dans les répertoires — une bonne pratique de sécurité.

Méthode 3 : Outils de développement du navigateur pour une inspection approfondie

Les DevTools du navigateur offrent un contrôle plus granulaire que la visualisation du code source brut, surtout lorsqu’une page est assemblée dynamiquement ou que les ressources sont chargées de manière asynchrone.

Utiliser le panneau Elements

1. Faites un clic droit n’importe où sur la page cible et sélectionnez Inspecter (Chrome, Firefox, Edge).
2. Dans l’onglet Elements, appuyez sur Ctrl+F pour effectuer une recherche dans le DOM.
3. Recherchez wp-content/themes pour mettre en évidence tous les nœuds correspondants.
4. Examinez les attributs href des balises <link> et les attributs src des balises <script> — les deux contiendront le slug du thème.

Utiliser le panneau Network

Le panneau Network est la méthode la plus fiable lorsqu’un site utilise du contenu rendu par JavaScript ou diffère le chargement des feuilles de style :

1. Ouvrez les DevTools et passez à l’onglet Network.
2. Filtrez par CSS ou All.
3. Rechargez la page en forçant le rechargement avec Ctrl+Shift+R (Windows/Linux) ou Cmd+Shift+R (macOS).
4. Recherchez toute requête dont le chemin URL contient /wp-content/themes/.
5. Cliquez sur la requête pour inspecter les en-têtes de réponse — l’en-tête Last-Modified peut également donner des indications sur l’historique des mises à jour du thème.

Lecture des en-têtes de réponse HTTP

Certaines configurations WordPress exposent le X-Powered-By ou des en-têtes personnalisés qui font référence au thème ou au framework. Dans le panneau Network, cliquez sur n’importe quelle requête de page et examinez la section Response Headers. Bien que cela soit rarement concluant en soi, cela peut corroborer les résultats d’autres méthodes.

Méthode 4 : Vérifier le pied de page pour les crédits du thème

De nombreux thèmes WordPress gratuits et freemium incluent un lien d’attribution « Powered by » dans le pied de page comme condition de leur licence gratuite. C’est la méthode de détection la moins contraignante lorsqu’elle s’applique.

Faites défiler jusqu’au bas de la page cible et recherchez des modèles de texte tels que :

• Powered by [Theme Name]
• WordPress Theme by [Developer Name]
• [Theme Name] by [Author]

Ces crédits renvoient généralement directement à la page officielle du thème. Cependant, les thèmes premium et tout site dont le propriétaire a supprimé les crédits de pied de page — ce qui est autorisé sous GPL et la plupart des licences commerciales — n’afficheront pas cela.

Cas particulier : Certains développeurs de thèmes exigent la conservation du crédit de pied de page comme condition de la licence gratuite. Le supprimer sans acheter une licence premium constitue techniquement une violation des termes de la licence. Si vous ne voyez aucun crédit de pied de page, le site utilise soit un thème premium, soit le propriétaire a payé pour supprimer l’attribution.

Méthode 5 : Détecter les thèmes enfants et les relations avec les thèmes parents

Une nuance critique que la plupart des guides de détection omettent : les thèmes enfants sont extrêmement courants dans les sites WordPress en production, et ils changent fondamentalement ce que vous trouvez dans le code source.

Lorsqu’un site utilise un thème enfant :

• La feuille de style active href pointe vers le répertoire du thème enfant (par exemple, /wp-content/themes/astra-child/style.css).
• L’en-tête style.css du thème enfant contient un champ Template: qui identifie le thème parent.
• Les deux répertoires existent simultanément sur le serveur.

Exemple d’en-tête de thème enfant :

/*
Theme Name:  Astra Child
Template:    astra
Version:     1.0.0
*/

La ligne Template: astra est l’indicateur définitif. Le thème parent — astra dans ce cas — est celui qui contient les fonctionnalités principales et le système de design. Le thème enfant ne remplace que des modèles ou des styles spécifiques.

Ce que cela signifie pour vous : Si vous souhaitez reproduire le design, vous avez besoin du thème parent, pas de l’enfant. Si vous souhaitez comprendre les personnalisations, vous avez besoin des deux.

Méthode 6 : Utiliser WP-CLI sur des serveurs accessibles

Si vous avez un accès SSH à l’installation WordPress — par exemple, sur votre propre environnement VPS Hosting ou un Serveur Dédié — WP-CLI fournit les informations de thème les plus fiables disponibles :

wp theme list --path=/var/www/html/wordpress

Exemple de sortie :

+------------------+----------+-----------+---------+
| name             | status   | update    | version |
+------------------+----------+-----------+---------+
| astra            | active   | none      | 4.6.11  |
| astra-child      | active   | none      | 1.0.0   |
| twentytwentyfour | inactive | available | 1.1     |
+------------------+----------+-----------+---------+

Pour un site que vous auditez à distance sans accès SSH, cette méthode n’est pas disponible — mais pour vos propres installations, c’est la source de vérité définitive et elle révèle également les thèmes inactifs qui peuvent représenter une surface d’attaque s’ils ne sont pas corrigés.

Méthode 7 : Interroger l’API REST WordPress

WordPress expose une API REST par défaut. Sur de nombreuses installations non modifiées, le point de terminaison suivant retourne des données liées au thème intégrées dans les informations générales du site :

https://example.com/wp-json/wp/v2/themes

Mise en garde importante : Depuis WordPress 5.7, ce point de terminaison nécessite une authentification — les requêtes non authentifiées retournent une réponse 401 Unauthorized. Cependant, le point de terminaison d’informations générales du site expose parfois des données de thème :

https://example.com/wp-json/

Recherchez gmt_offset, timezone_string, et parfois des métadonnées liées au thème dans le JSON de réponse. C’est une méthode inconsistante mais qui vaut la peine d’être vérifiée sur des installations anciennes ou mal configurées.

Gérer les sites masqués ou renforcés

Certaines installations WordPress sont délibérément configurées pour masquer l’identité du thème. Voici à quoi ressemble chaque contre-mesure et ce que vous pouvez encore déterminer :

Aucune contre-mesure unique ne bloque simultanément tous les vecteurs de détection. Un site devrait mettre en œuvre toutes les mesures ci-dessus pour être effectivement opaque — ce qui est impraticable sur le plan opérationnel et briserait des fonctionnalités légitimes.

Comparaison : Méthodes de détection de thème en un coup d’œil

Considérations pratiques lors de l’utilisation d’un thème détecté

Une fois le thème identifié, plusieurs décisions en découlent :

Licence : La plupart des thèmes WordPress sont sous licence GPL, ce qui permet la redistribution gratuite. Cependant, les thèmes premium vendus sur des marketplaces comme ThemeForest utilisent une licence fractionnée — le code PHP est GPL, mais les ressources intégrées (images, polices, bibliothèques JavaScript) peuvent être soumises à des licences commerciales. L’achat d’une licence légitime est la bonne démarche.

Correspondance de version : Si vous reproduisez un design, faites correspondre la version exacte que vous avez détectée. Les versions plus récentes peuvent avoir des mises en page significativement différentes ou des fonctionnalités supprimées.

Dépendances de plugins : Les thèmes comme Divi, Avada et les thèmes basés sur Elementor dépendent fortement de plugins complémentaires. Le thème seul ne reproduira pas le design sans le constructeur de pages correspondant et ses modèles sauvegardés.

Implications de performance : Si vous déployez le thème identifié sur votre propre infrastructure — que ce soit sur un VPS avec cPanel ou une instance VPS Hosting nue — évaluez le poids des ressources du thème avant de vous engager. Certains thèmes populaires chargent par défaut plus de 500 Ko de CSS et JavaScript non optimisés.

SSL et contenu mixte : Lors du déplacement d’un thème détecté vers un nouveau domaine, assurez-vous que votre nouvel environnement dispose d’un Certificat SSL valide configuré. Les thèmes qui codent en dur des chemins de ressources http:// déclencheront des avertissements de contenu mixte sur les sites HTTPS.

Matrice de décision : Quelle méthode utiliser

Utilisez cette matrice pour sélectionner la méthode de détection appropriée en fonction de votre situation :

• Vous avez besoin d’une réponse rapide sans configuration technique : Utilisez un détecteur en ligne (whatwpthemeisthat.com ou wpthemedetector.com).
• L’outil en ligne ne retourne aucun résultat ou un résultat incorrect : Revenez à l’inspection du code source de la page et recherchez wp-content/themes/.
• Le code source affiche un thème enfant mais vous avez besoin du parent : Accédez directement au style.css du thème enfant et lisez le champ Template:.
• Vous avez besoin de la version exacte pour un audit de sécurité : Combinez le paramètre ?ver= de l’URL de la feuille de style mise en file d’attente avec l’inspection directe de l’en-tête style.css.
• Vous avez un accès SSH au serveur : Exécutez wp theme list via WP-CLI pour des résultats complets et fiables, y compris les thèmes inactifs.
• Tous les chemins CSS sont masqués ou bloqués : Vérifiez dans le panneau Network toute URL de ressource contenant un slug de thème reconnaissable, puis vérifiez via l’API REST si le point de terminaison est ouvert.
• Vous auditez votre propre installation WordPress : Utilisez WP-CLI sur votre environnement Panneau de Contrôle VPS pour une vue la plus complète possible, y compris le statut de disponibilité des mises à jour.

Points techniques clés à retenir

• Le signal de détection canonique est le chemin /wp-content/themes/[slug]/style.css intégré dans les balises <link> du code source de la page.
• Les thèmes enfants sont identifiés par un champ Template: dans leur en-tête style.css pointant vers le slug du thème parent.
• Le paramètre de requête ?ver= sur les feuilles de style mises en file d’attente expose fréquemment le numéro de version du thème.
• La commande wp theme list de WP-CLI est la seule méthode qui révèle les thèmes installés inactifs (et potentiellement vulnérables).
• Renommer le répertoire du thème contourne les outils automatisés mais pas l’inspection manuelle du code source si le fichier CSS reste accessible.
• Aucune technique d’obscurcissement unique ne prévient tous les vecteurs de détection ; un analyste déterminé avec les DevTools du navigateur trouvera le slug du thème dans la plupart des cas.
• Vérifiez toujours la licence avant de déployer un thème détecté sur un site en production — la liberté du code GPL ne s’étend pas à toutes les ressources commerciales intégrées.

Foire aux questions

Un site WordPress peut-il masquer complètement son thème à la détection ?

Pas pratiquement. Même avec le renommage de répertoire, l’accès aux fichiers bloqué et le proxying CDN, le slug du thème apparaît généralement dans au moins une URL de ressource mise en file d’attente dans le code source de la page. Une obscurcissement complet nécessiterait de servir tout le CSS en ligne et de supprimer toutes les références aux chemins de fichiers — ce qui briserait l’architecture standard des thèmes WordPress.

Quelle est la différence entre un slug de thème et un nom de thème ?

Le nom du thème est l’étiquette lisible par l’homme définie dans l’en-tête style.css (par exemple, « Astra »). Le slug du thème est le nom du répertoire sur le serveur (par exemple, astra). Ils sont généralement similaires mais pas toujours identiques — les thèmes premium utilisent parfois des slugs qui diffèrent de leurs noms d’affichage. Le slug est ce qui compte pour les commandes WP-CLI et l’accès direct aux fichiers.

Pourquoi les détecteurs de thèmes en ligne retournent-ils parfois le mauvais thème ?

La plupart des détecteurs analysent la première référence /wp-content/themes/ dans le code source de la page. Si un thème enfant est actif, ils retournent le nom du thème enfant plutôt que celui du parent. De plus, si un site utilise un CDN qui réécrit les URL des ressources, le détecteur peut ne trouver aucun chemin spécifique à WordPress.

La détection de thème fonctionne-t-elle sur les configurations WordPress headless ?

Non. Dans une architecture WordPress headless, le front-end est découplé de WordPress — il s’agit généralement d’une application React, Next.js ou Vue servie depuis une origine séparée. Le thème WordPress n’est utilisé que dans le backend d’administration et ne se rend pas dans le HTML public. La détection de thème via l’inspection du code source trouvera le framework front-end, pas le thème WordPress.

Est-il légal d’utiliser un thème identifié sur un autre site ?

Cela dépend de la licence. Les thèmes gratuits sur WordPress.org sont sous licence GPL et peuvent être utilisés librement. Les thèmes premium nécessitent une licence d’achat valide selon les conditions du développeur. Utiliser un thème premium sans licence — même si vous avez obtenu les fichiers par d’autres moyens — viole les conditions d’utilisation du développeur et, dans certaines juridictions, le droit d’auteur couvrant les ressources non-PHP intégrées au thème.