Comment installer WordPress : Le guide technique complet

WordPress propulse plus de 43 % de tous les sites web sur internet — une statistique qui reflète à la fois sa flexibilité et la maturité de son écosystème d’installation. Que vous déployiez un blog personnel, un site d’entreprise à fort trafic ou une boutique WooCommerce, le processus d’installation suit un ensemble d’étapes prévisibles qui peuvent être réalisées en moins de 15 minutes lorsqu’elles sont effectuées correctement.

La condition de base pour toute installation WordPress est une pile LAMP ou LEMP : un serveur web (Apache ou Nginx), PHP 7.4 ou supérieur (8.1+ recommandé pour les performances), et une base de données MySQL 5.7+ ou MariaDB 10.4+. Chaque méthode décrite dans ce guide — en un clic, cPanel ou FTP — configure en fin de compte ces trois mêmes composants.

Prérequis : Ce dont vous avez besoin avant de commencer

Avant de toucher à un installateur ou à un client FTP, confirmez que les éléments suivants sont en place :

• Un compte d’hébergement avec accès SSH, cPanel ou FTP — l’Hébergement VPS vous donne un accès root complet pour la configuration la plus flexible
• Un nom de domaine enregistré pointant vers l’IP de votre serveur via un enregistrement A — consultez l’Enregistrement de Domaine si vous en avez besoin
• Un certificat SSL valide — WordPress ne devrait jamais fonctionner en HTTP simple en production ; installez un certificat SSL avant ou immédiatement après la configuration de WordPress via les Certificats SSL
• PHP 8.1 ou supérieur avec les extensions mysqli, curl, gd, mbstring, xml, zip et imagick activées
• MySQL 5.7+ ou MariaDB 10.4+ avec une base de données et un utilisateur dédiés pour WordPress (n’utilisez jamais l’utilisateur root de la base de données)

Un écueil courant que les débutants manquent : installer WordPress sur un domaine qui affiche encore la page de remplacement par défaut de l’hébergement. Videz le répertoire public_html de tout fichier stub index.html ou index.php avant de téléverser les fichiers WordPress, sinon l’installateur ne se déclenchera jamais.

Méthode 1 : Installation en un clic via Softaculous (Recommandée pour les débutants)

La plupart des environnements d’hébergement géré — y compris les plans VPS avec cPanel et Hébergement Web Mutualisé — incluent Softaculous, l’auto-installateur standard de l’industrie. Cette méthode gère automatiquement la création de la base de données, l’extraction des fichiers et la génération de wp-config.php.

Étape 1 : Accéder à l’installateur Softaculous

Connectez-vous à cPanel et localisez la section Softaculous Apps Installer. Cliquez sur l’icône WordPress. Vous pouvez également naviguer directement vers la section WordPress Tools ou Website Installers si votre hébergeur utilise un tableau de bord personnalisé.

Étape 2 : Configurer les paramètres d’installation

Cliquez sur Install Now et remplissez soigneusement les champs suivants :

• Choisir le protocole : Sélectionnez https:// — jamais http://. Si votre certificat SSL n’est pas encore actif, installez-le d’abord.
• Choisir le domaine : Sélectionnez le domaine cible dans la liste déroulante.
• Dans le répertoire : Laissez ce champ vide pour installer WordPress à la racine (yourdomain.com). Saisir un sous-répertoire comme blog l’installe à l’adresse yourdomain.com/blog.
• Nom et description du site : Ces valeurs renseignent blogname et blogdescription dans wp-options et peuvent être modifiées ultérieurement depuis le tableau de bord.
• Nom d’utilisateur administrateur : N’utilisez pas admin — c’est le premier nom d’utilisateur que les bots de force brute essaient. Utilisez quelque chose d’unique.
• Mot de passe administrateur : Utilisez un mot de passe d’au moins 16 caractères avec des majuscules, des minuscules, des chiffres et des symboles.
• Email administrateur : Utilisez une adresse réelle et surveillée. WordPress envoie des notifications critiques de sécurité et de mises à jour à cette adresse.
• Sélectionner la langue : Choisissez votre langue préférée pour l’interface d’administration WordPress.
• Sélectionner les plugins : Softaculous peut proposer de pré-installer des plugins. Refusez sauf si vous en avez spécifiquement besoin — une installation propre est plus facile à auditer.

Étape 3 : Options avancées (Ne pas ignorer)

Développez le panneau Advanced Options :

• Nom de la base de données et préfixe des tables : Changez le préfixe de table par défaut wp_ pour quelque chose d’aléatoire comme xk7_. Il s’agit d’une étape de renforcement significative contre les attaques par injection SQL qui ciblent les noms de tables prévisibles.
• Sauvegardes automatisées : Activez cette option si votre hébergeur la prend en charge.
• Désactiver WordPress Cron : Si vous êtes sur un VPS à fort trafic, envisagez de désactiver le WP-Cron intégré et de le remplacer par une vraie tâche cron système ultérieurement.

Étape 4 : Finaliser et accéder au tableau de bord

Cliquez sur Install. Softaculous créera la base de données, extraira les fichiers WordPress dans le répertoire cible, configurera wp-config.php et exécutera l’installation du schéma de base de données. L’ensemble du processus prend 30 à 90 secondes.

Accédez à votre tableau de bord à l’adresse https://yourdomain.com/wp-admin/ en utilisant les identifiants que vous avez définis.

Méthode 2 : Installation manuelle via cPanel (Intermédiaire)

L’installation manuelle vous donne un contrôle explicite sur chaque paramètre de configuration et est l’approche recommandée lorsque vous avez besoin de paramètres non standard — collation de base de données personnalisée, une version PHP spécifique, ou une installation dans un sous-répertoire avec des règles de réécriture personnalisées.

Étape 1 : Télécharger WordPress

Téléchargez toujours depuis la source officielle :

wget https://wordpress.org/latest.tar.gz
tar -xzf latest.tar.gz

Si vous travaillez localement, téléchargez depuis wordpress.org/download et extrayez le fichier zip. Le résultat est un dossier nommé wordpress contenant tous les fichiers principaux.

Étape 2 : Créer une base de données MySQL et un utilisateur

Dans cPanel, naviguez vers MySQL Databases :

1. Sous Create New Database, saisissez un nom tel que wp_production et cliquez sur Create Database.
2. Sous MySQL Users, créez un nouvel utilisateur avec un mot de passe fort et unique. Ne réutilisez pas les mots de passe d’autres services.
3. Sous Add User to Database, sélectionnez l’utilisateur et la base de données, cliquez sur Add, et sur l’écran suivant accordez All Privileges.

Note critique : L’utilisateur de la base de données n’a besoin que des privilèges suivants pour le fonctionnement normal de WordPress : SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, INDEX, ALTER. Accorder ALL PRIVILEGES est pratique mais donne plus d’accès que nécessaire. Sur un serveur de production avec plusieurs sites, utilisez l’ensemble de privilèges minimal.

Étape 3 : Téléverser les fichiers WordPress

Dans le File Manager de cPanel, naviguez vers public_html (ou la racine des documents de votre domaine). Téléversez le contenu du dossier wordpress — pas le dossier lui-même — directement dans public_html. Après le téléversement, le répertoire doit contenir wp-login.php, wp-config-sample.php, et les répertoires wp-content, wp-admin et wp-includes à la racine.

Étape 4 : Configurer wp-config.php

Dans le File Manager, localisez wp-config-sample.php, faites un clic droit dessus et renommez-le en wp-config.php. Ouvrez-le pour le modifier et mettez à jour les valeurs suivantes :

define( 'DB_NAME',     'your_database_name' );
define( 'DB_USER',     'your_database_user' );
define( 'DB_PASSWORD', 'your_database_password' );
define( 'DB_HOST',     'localhost' );
define( 'DB_CHARSET',  'utf8mb4' );
define( 'DB_COLLATE',  '' );

De plus, remplacez les clés d’authentification et les salts de remplacement en visitant https://api.wordpress.org/secret-key/1.1/salt/ et en collant le bloc généré dans wp-config.php. Ces salts sécurisent les cookies de session et sont fréquemment négligés lors des installations manuelles.

Ajoutez ces constantes de renforcement pendant que le fichier est ouvert :

define( 'DISALLOW_FILE_EDIT', true );     // Disables the theme/plugin editor in the dashboard
define( 'WP_DEBUG',           false );    // Set to true only during development
define( 'FORCE_SSL_ADMIN',    true );     // Forces HTTPS for all admin sessions

Changez également le préfixe de table par défaut de $table_prefix = 'wp_'; vers une valeur aléatoire :

$table_prefix = 'xk7_';

Étape 5 : Exécuter l’installateur web

Naviguez vers https://yourdomain.com dans un navigateur. WordPress détectera le wp-config.php configuré et lancera l’assistant d’installation. Remplissez les champs suivants :

• Titre du site
• Nom d’utilisateur (évitez admin)
• Mot de passe
• Votre email
• Visibilité pour les moteurs de recherche : Cochez « Demander aux moteurs de recherche de ne pas indexer ce site » uniquement si le site n’est pas encore prêt pour l’indexation publique. Oublier de décocher cette option plus tard est l’une des causes les plus courantes de nouveaux sites WordPress n’apparaissant pas dans Google.

Cliquez sur Install WordPress. L’installateur crée toutes les tables de la base de données et insère les données par défaut. Vous verrez un écran de succès avec un bouton Log In.

Méthode 3 : Installation manuelle via SSH et FTP (Avancé)

Cette méthode est préférée par les administrateurs système déployant WordPress sur un Serveur Dédié ou un VPS nu sans panneau de contrôle. L’accès SSH vous permet d’effectuer l’intégralité de l’installation depuis la ligne de commande, ce qui est plus rapide et scriptable.

Installation complète via SSH

# Navigate to the web root
cd /var/www/html

# Download and extract WordPress
wget https://wordpress.org/latest.tar.gz
tar -xzf latest.tar.gz
mv wordpress/* .
rm -rf wordpress latest.tar.gz

# Set correct ownership and permissions
chown -R www-data:www-data /var/www/html
find /var/www/html -type d -exec chmod 755 {} ;
find /var/www/html -type f -exec chmod 644 {} ;

# Create the database (run as root or a MySQL admin user)
mysql -u root -p <<EOF
CREATE DATABASE wp_production CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
CREATE USER 'wp_user'@'localhost' IDENTIFIED BY 'StrongPassword123!';
GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, INDEX, ALTER ON wp_production.* TO 'wp_user'@'localhost';
FLUSH PRIVILEGES;
EOF

# Configure wp-config.php
cp wp-config-sample.php wp-config.php
sed -i "s/database_name_here/wp_production/" wp-config.php
sed -i "s/username_here/wp_user/" wp-config.php
sed -i "s/password_here/StrongPassword123!/" wp-config.php

Après avoir exécuté ces commandes, terminez l’installation via le navigateur comme décrit dans la Méthode 2, Étape 5.

Téléversement via FTP (Lorsque SSH n’est pas disponible)

Si SSH n’est pas disponible, utilisez un client FTP tel que FileZilla :

1. Connectez-vous en utilisant les identifiants FTP de votre panneau de contrôle d’hébergement. Utilisez SFTP (SSH File Transfer Protocol) ou FTPS (FTP over TLS) — jamais le FTP simple, qui transmet les identifiants en clair.
2. Naviguez vers le répertoire public_html distant.
3. Faites glisser le contenu du dossier wordpress local dans public_html.
4. Modifiez wp-config-sample.php localement, ajoutez vos identifiants de base de données, enregistrez-le sous wp-config.php et téléversez-le.
5. Terminez l’installateur via le navigateur.

Référence des permissions de fichiers

Des permissions de fichiers incorrectes sont l’une des principales causes d’incidents de sécurité WordPress et d’échecs d’installation de plugins/thèmes. Utilisez cette référence :

Ne définissez jamais les permissions 777 sur un répertoire. Cela rend chaque fichier de ce répertoire accessible en écriture par tout processus sur le serveur — une vulnérabilité critique dans les environnements d’hébergement mutualisé.

Comparaison des méthodes

Renforcement et configuration post-installation

Une nouvelle installation WordPress est fonctionnelle mais pas prête pour la production. Les tâches suivantes doivent être effectuées avant que le site reçoive du trafic public.

Renforcement de la sécurité

• Changer l’URL de connexion : Le chemin par défaut wp-admin est constamment ciblé par des bots automatisés. Utilisez un plugin comme WPS Hide Login pour le déplacer vers un chemin personnalisé.
• Installer un pare-feu d’application web : Wordfence ou Sucuri Security fournissent des règles de pare-feu, une analyse des logiciels malveillants et une protection de connexion.
• Désactiver XML-RPC si vous n’utilisez pas l’application mobile WordPress ou Jetpack : ajoutez add_filter('xmlrpc_enabled', '__return_false'); à functions.php ou bloquez-le au niveau du serveur.
• Limiter les tentatives de connexion : Utilisez un plugin ou configurez Fail2Ban au niveau du serveur pour bloquer les IP après des tentatives de connexion répétées et échouées.
• Configurer l’authentification à deux facteurs pour tous les comptes administrateurs en utilisant un plugin comme WP 2FA ou Google Authenticator.

Configuration des performances

• Configurer une couche de cache : W3 Total Cache, WP Super Cache ou LiteSpeed Cache (si votre serveur utilise LiteSpeed) réduisent considérablement le Time to First Byte.
• Configurer un CDN : Le niveau gratuit de Cloudflare ou un CDN dédié décharge les ressources statiques et réduit la charge du serveur.
• Remplacer WP-Cron par une vraie tâche cron : Le pseudo-cron intégré de WordPress ne se déclenche que lors des chargements de page, ce qui est peu fiable sur les sites à faible trafic et inefficace sur les sites à fort trafic.

# Add to server crontab (run as the web server user)
*/5 * * * * php /var/www/html/wp-cron.php --allow-root > /dev/null 2>&1

Ensuite, désactivez le cron intégré dans wp-config.php :

define( 'DISABLE_WP_CRON', true );

Plugins essentiels à installer

Configuration des permaliens et du SEO

Naviguez vers Réglages > Permaliens et sélectionnez Nom de l’article (/%postname%/). Cette structure est à la fois lisible par l’homme et optimale pour le SEO. Après l’enregistrement, WordPress réécrit le fichier .htaccess (sur Apache) ou met à jour les règles de configuration Nginx.

Si vous utilisez Nginx, WordPress ne peut pas mettre à jour automatiquement la configuration du serveur. Vous devez ajouter manuellement les règles de réécriture à votre bloc serveur Nginx :

location / {
    try_files $uri $uri/ /index.php?$args;
}

Configuration de l’email WordPress

Par défaut, WordPress utilise la fonction mail() de PHP pour envoyer des emails, qui est fréquemment bloquée par les hébergeurs ou signalée comme spam. Configurez la livraison SMTP en utilisant un plugin comme WP Mail SMTP avec les identifiants d’un service de messagerie dédié. Pour un email transactionnel professionnel, envisagez une solution d’Hébergement Email dédiée pour garantir une livraison fiable des réinitialisations de mot de passe, des confirmations de commande et des notifications d’administration.

Matrice de décision pratique : Quelle méthode d’installation utiliser

Utilisez les critères suivants pour sélectionner la bonne approche pour votre situation :

• Vous êtes débutant ou vous construisez un site personnel sur un hébergement mutualisé — utilisez l’installation en un clic Softaculous via cPanel.
• Vous avez besoin d’une installation propre avec des paramètres de base de données personnalisés sur un serveur cPanel — utilisez la méthode cPanel manuelle.
• Vous déployez sur un VPS ou un serveur dédié sans panneau de contrôle — utilisez la méthode SSH ; elle est plus rapide, auditable et scriptable.
• Vous n’avez qu’un accès FTP et pas de SSH — utilisez la méthode FTP, mais assurez-vous d’utiliser SFTP ou FTPS.
• Vous déployez plusieurs instances WordPress — utilisez WP-CLI avec un script shell ; cela dépasse le cadre de ce guide mais constitue la norme professionnelle pour les déploiements multi-sites.
• Vous avez besoin d’un contrôle maximal du serveur, de versions PHP personnalisées ou d’une infrastructure à fort trafic — un Serveur Dédié avec une installation SSH manuelle est l’architecture appropriée.

Liste de vérification technique avant la mise en ligne

Avant de diriger le trafic de production vers une nouvelle installation WordPress, vérifiez chaque élément :

• [ ] Certificat SSL installé et FORCE_SSL_ADMIN défini sur true dans wp-config.php
• [ ] Permissions wp-config.php définies sur 440
• [ ] Clés d’authentification et salts générés depuis l’API WordPress et insérés dans wp-config.php
• [ ] Préfixe de table wp_ par défaut changé en une chaîne aléatoire
• [ ] Nom d’utilisateur admin non utilisé pour le compte administrateur
• [ ] « Demander aux moteurs de recherche de ne pas indexer ce site » décoché dans Réglages > Lecture (si le site est en ligne)
• [ ] Structure des permaliens définie sur Nom de l’article
• [ ] Email SMTP configuré et testé
• [ ] Au moins un plugin de sauvegarde configuré avec un stockage distant
• [ ] Plugin de sécurité installé et règles de pare-feu actives
• [ ] DISALLOW_FILE_EDIT défini sur true dans wp-config.php
• [ ] XML-RPC désactivé si non requis
• [ ] WP-Cron remplacé par une tâche cron système sur les environnements VPS/dédiés

FAQ

Quelles sont les versions minimales de PHP et MySQL requises pour installer WordPress ?

WordPress 6.x nécessite PHP 7.4 comme minimum absolu, mais PHP 8.1 ou 8.2 est fortement recommandé pour les performances et la sécurité. MySQL 5.7 ou MariaDB 10.4 sont les versions minimales de base de données. Utiliser des versions inférieures entraînera des échecs d’installation ou des problèmes de compatibilité silencieux avec les plugins modernes.

Pourquoi l’installateur WordPress affiche-t-il une page blanche ou une erreur de connexion à la base de données ?

Un écran blanc vide indique généralement une erreur fatale PHP — vérifiez le journal d’erreurs PHP du serveur. Un message « Error establishing a database connection » signifie que les identifiants dans wp-config.php sont incorrects, que la base de données n’existe pas, ou que l’utilisateur de la base de données n’a pas reçu les privilèges. Vérifiez ces trois points dans votre interface de gestion MySQL.

Puis-je installer WordPress dans un sous-répertoire tout en le servant depuis le domaine racine ?

Oui. Installez WordPress dans un sous-répertoire tel que /wordpress, puis dans Réglages > Général définissez l’Adresse WordPress sur https://yourdomain.com/wordpress et l’Adresse du site sur https://yourdomain.com. Copiez index.php du sous-répertoire vers la racine et modifiez-le pour mettre à jour le chemin require. Il s’agit d’une configuration légitime et largement utilisée.

Quelle est la bonne façon de passer WordPress de HTTP à HTTPS après l’installation ?

Mettez à jour l’Adresse WordPress et l’Adresse du site dans Réglages > Général pour utiliser https://. Ajoutez define('FORCE_SSL_ADMIN', true); à wp-config.php. Effectuez une recherche et un remplacement dans la base de données pour mettre à jour les URL http:// codées en dur — utilisez la commande WP-CLI wp search-replace 'http://yourdomain.com' 'https://yourdomain.com' --all-tables ou un plugin comme Better Search Replace. Enfin, configurez une redirection 301 dans .htaccess ou votre bloc serveur Nginx.

Est-il sûr d’installer WordPress sur un hébergement mutualisé pour un site d’entreprise ?

L’hébergement mutualisé est acceptable pour les sites d’entreprise à faible trafic, mais présente des limitations inhérentes : processus PHP partagés, configuration serveur restreinte et exposition aux comptes voisins. Pour les sites gérant du e-commerce, des données utilisateurs ou un trafic important, un environnement d’Hébergement VPS offre une isolation des processus, des ressources dédiées et la possibilité d’appliquer des règles de sécurité au niveau du serveur que l’hébergement mutualisé ne peut pas offrir.