✨ Up to
-70%
on the 1st year
Days
Hours
Minutes
Seconds
Multicolored switch icon.
en_US EN
en_US EN fr_FR FR es_ES ES
Start 15 Days Trial

Comment Webdeclic utilise WPMasterToolKit pour gérer ses sites clients WordPress

Chez Webdeclic, nous travaillons quotidiennement sur des sites WordPress : création de sites vitrines, refontes, maintenance, optimisation, sécurisation, WooCommerce, développements spécifiques, reprises de sites existants…

Et avec le temps, nous avons constaté quelque chose de très simple : sur presque chaque projet WordPress, nous répétions les mêmes actions.

Sécuriser quelques points sensibles.
Nettoyer certaines fonctionnalités inutiles.
Préparer le site pour le client.
Optimiser les médias.
Éviter certains comportements natifs de WordPress.
Installer un thème enfant.
Ajouter des petits outils pratiques pour gagner du temps.

Le problème, c’est qu’avant WPMasterToolKit, chaque petit besoin finissait souvent avec son petit plugin dédié.

Un plugin pour les SVG.
Un plugin pour désactiver XML-RPC.
Un plugin pour limiter les tentatives de connexion.
Un plugin pour gérer les médias.
Un plugin pour dupliquer du contenu.
Un plugin pour sécuriser certains fichiers sensibles.
Et ainsi de suite.

Pris séparément, chacun de ces plugins peut sembler anodin. Mais sur la durée, cela complexifie la maintenance, augmente les dépendances, multiplie les interfaces, et rend chaque site un peu plus difficile à contrôler.

C’est exactement pour cette raison que nous avons créé WPMasterToolKit.

Pas pour ajouter “un plugin de plus”.
Mais pour éviter d’en empiler plusieurs inutilement.

Read also:
WPMasterToolKit 2.14.0 - New modules, better integrations and optimized user experience →

Notre logique chez Webdeclic

Chez Webdeclic, nous n’activons pas tous les modules de WPMasterToolKit par défaut.

C’est un point important.

WPMasterToolKit est une boîte à outils modulaire. L’objectif n’est pas de tout activer partout, mais d’activer uniquement ce qui a du sens selon le site, le client, le contexte technique et les besoins du projet.

Sur nos installations standards, nous utilisons une configuration de base qui nous permet de préparer rapidement un site WordPress propre, plus sécurisé, plus simple à maintenir et mieux adapté à un usage professionnel.

Cette configuration évolue selon les projets, mais elle repose généralement sur plusieurs grandes familles de modules.

1. Garder une trace des actions importantes

Update Logs

Sur les sites clients, nous activons généralement le module Update Logs.

Pourquoi ?

Parce qu’une mise à jour WordPress peut parfois avoir des conséquences visibles plusieurs heures ou plusieurs jours plus tard : bug d’affichage, conflit entre plugins, problème WooCommerce, formulaire qui ne fonctionne plus, changement dans l’administration…

Avoir un historique des mises à jour permet de comprendre plus rapidement ce qui a pu changer sur le site.

Et plus récemment ce module permet également de logguer qui à enclencher la mise à jour ce qui est très pratique parfois face à des clients qui « nie en bloc » le fait d’avoir mis à jour 😉.

Nous avons aussi inclus dans ce module les logs d’activation / désactivation de plugins.

Ce n’est pas un module spectaculaire, mais en maintenance, c’est typiquement le genre de détail qui peut faire gagner beaucoup de temps.

Discover the module :
Free
Multiple user roles

2. Autoriser certains usages utiles sans ajouter un plugin dédié

SVG Upload

Nous activons systématiquement le module SVG Upload.

Sur de nombreux sites professionnels, les logos, pictogrammes ou éléments graphiques sont fournis en SVG. WordPress ne permet pas toujours leur upload nativement selon la configuration, ce qui pousse beaucoup d’utilisateurs à installer un plugin dédié uniquement pour ça.

Avec WPMasterToolKit, nous pouvons gérer ce besoin directement depuis la même boîte à outils.

L’intérêt est simple : répondre à un besoin courant sans alourdir la stack du site avec une extension supplémentaire.

3. Appliquer une base de sécurisation WordPress

Une grande partie de notre configuration par défaut concerne la sécurité.

L’objectif n’est pas de prétendre qu’un plugin remplace une vraie stratégie de sécurité complète. La sécurité WordPress dépend aussi de l’hébergement, des mises à jour, des mots de passe, des sauvegardes, des droits utilisateurs, du code du thème, des plugins installés, etc.

Mais il existe plusieurs réglages simples que nous aimons appliquer rapidement sur un site client.

Hide WordPress version

Nous activons le module Hide WordPress Version.

Cela permet d’éviter d’exposer inutilement la version exacte de WordPress dans certaines sorties du site.

Ce n’est pas une protection magique, mais c’est une mesure simple d’hygiène.

Désactiver l’édition de fichiers depuis l’administration

Nous activons Disallow WP File Edit.

Par défaut, WordPress peut permettre l’édition de fichiers de thème ou de plugin depuis l’administration. Sur un site client, nous préférons généralement désactiver cette possibilité.

Cela réduit les risques d’erreur humaine et limite certains dégâts possibles en cas de compte administrateur compromis.

Disable XML-RPC

Nous activons Disable XML-RPC lorsque le site n’en a pas besoin.

XML-RPC est rarement utile sur les sites modernes que nous livrons, sauf cas particulier. Lorsqu’il n’est pas nécessaire, nous préférons le désactiver afin de réduire une surface d’attaque souvent ciblée.

Verrouiller l’e-mail administrateur

Nous activons Lock Admin Email.

L’e-mail administrateur du site est une information sensible. Sur un site client, nous voulons éviter qu’il soit modifié trop facilement ou par erreur.

Désactiver l’inscription utilisateur

Nous activons Disallow Register User sur les sites qui n’ont pas besoin d’inscription publique.

Pour un site vitrine classique, un site institutionnel ou beaucoup de sites d’entreprise, l’inscription utilisateur n’a aucune raison d’être ouverte.

Déplacer l’URL de connexion

Nous activons généralement Move Login URL.

Cela permet de modifier l’URL de connexion par défaut de WordPress. Là encore, ce n’est pas une protection absolue, mais cela réduit une partie des tentatives automatisées les plus basiques.

Une fois activé on se rend sur la page de configuration pour changer l’URL :

Hide connection errors

Nous activons Hide Login Errors.

Par défaut, certaines erreurs de connexion peuvent donner des indications inutiles, par exemple si l’identifiant existe ou non. Nous préférons rendre ces messages moins explicites.

Protéger les fichiers sensibles

Nous activons Disallow Access WP Sensible Files.

Certains fichiers WordPress ou fichiers liés à des plugins/thèmes ne devraient pas être accessibles publiquement. Ce module permet d’ajouter une couche de protection supplémentaire.

Désactiver le listing des répertoires

Nous activons Disallow Dir Listing.

Lorsqu’un serveur est mal configuré, certains répertoires peuvent lister leur contenu publiquement. C’est rarement souhaitable sur un site de production.

Bloquer l’accès à des fichiers malveillants dans uploads

Nous activons Disallow Malicious File Access In Upload.

Le dossier uploads est censé contenir des médias : images, PDF, documents, etc. Il ne devrait pas servir à exécuter des fichiers suspects.

Ce module permet de renforcer ce point.

Régénération automatique des clés de sécurité

Nous activons Auto Regenerate Salt Keys.

Les clés de sécurité WordPress jouent un rôle dans la gestion des cookies et des sessions. Les renouveler périodiquement peut être utile dans une logique de durcissement.

Généralement on règle ça sur mensuel :

Hide PHP versions

Nous activons Hide PHP Versions.

Comme pour la version WordPress, l’idée est d’éviter d’exposer inutilement des informations techniques sur l’environnement serveur.

Limit connection attempts

Nous activons Limit Login Attempts.

C’est un classique, mais c’est indispensable. Limiter les tentatives de connexion aide à réduire les attaques automatisées par force brute.

Nous recommandons d’augmenter la limite à 10 si vous avez des utilisateurs sur le site pour éviter d’avoir trop de SAV sur cela :

Prévenir l’énumération des utilisateurs

Nous activons Prevent User Enumeration.

WordPress peut parfois permettre de deviner des identifiants utilisateurs via certaines URL ou requêtes. Sur un site client, nous préférons limiter ce comportement.

Forcer le SSL

Nous activons Force SSL.

Un site professionnel doit fonctionner correctement en HTTPS. Ce module nous aide à forcer l’usage du SSL lorsque la configuration du site le permet.

Better Password Hash

Nous activons Better Password Hash.

L’objectif est d’améliorer la manière dont les mots de passe sont protégés côté WordPress, dans une logique de sécurité renforcée.

Read also:
WPMasterToolKit 2.4.0: Strengthen your site's security with the Force SSL module and improved Move Login URL →

4. Réduire certains éléments inutiles dans le code source

Sur beaucoup de sites clients, nous aimons aussi nettoyer certains éléments natifs de WordPress qui ne sont pas toujours nécessaires.

Disable Shortlink Tag

Nous activons Disable Shortlink Tag.

WordPress ajoute parfois une balise shortlink dans le code source. Dans notre usage, elle est rarement utile.

Disable Really Simple Discovery Tag

Nous activons Disable Really Simple Discovery Tag.

Cette balise est liée à d’anciens mécanismes de découverte et n’est généralement pas nécessaire sur les sites modernes que nous livrons.

Disable Windows Live Writer Tag

Nous activons Disable Windows Live Writer Tag.

Même logique : c’est un vestige historique rarement utile aujourd’hui.

Head Sorter

Nous activons Head Sorter.

The module Head Sorter est utile pour :

  1. Booster la vitesse : Il réorganise le code du header (méthode Capo.js) pour que les éléments prioritaires chargent en premier.
  2. Améliorer le SEO : Un site plus rapide favorise de meilleurs scores Core Web Vitals et un meilleur classement Google.
  3. Tout automatiser : Il range proprement les scripts et styles de vos plugins sans risque de casser le site.

En bref : c’est un rangement intelligent pour un site plus rapide et mieux référencé.

Read also:
Comment Webdeclic utilise WPMasterToolKit pour gérer ses sites clients WordPress →

5. Garder le sitemap sous contrôle

Disable WP Sitemap

Nous activons parfois Disable WP Sitemap, notamment lorsque le site utilise déjà une solution SEO dédiée qui génère son propre sitemap.

Sur les sites clients, il est important d’éviter les doublons, les incohérences ou les sitemaps qui ne correspondent pas à la stratégie SEO retenue.

Ce module n’est donc pas activé “contre le SEO”, au contraire. Il sert à garder une configuration propre lorsque le sitemap natif de WordPress n’est pas celui que nous voulons utiliser.

6. Gérer les révisions pour éviter l’accumulation inutile

Revisions Control

Nous activons Revisions Control.

Les révisions WordPress sont utiles, mais elles peuvent vite s’accumuler, surtout sur des sites avec beaucoup de contenus ou plusieurs contributeurs.

Nous préférons conserver un historique raisonnable plutôt que de laisser la base de données se remplir inutilement.

Discover the module :
Free
Disable block-based widget settings screen

7. Faciliter la gestion du contenu

Content Duplication

Nous activons Content Duplication.

Sur un site en construction ou en maintenance, la duplication de pages, d’articles ou de contenus personnalisés est un vrai gain de temps.

C’est typiquement une fonctionnalité pour laquelle beaucoup de sites installent un plugin dédié. Avec WPMasterToolKit, nous pouvons l’avoir dans notre boîte à outils globale.

8. Mieux gérer les images et les médias

Les médias sont un sujet important sur les sites WordPress.

Images trop lourdes, formats mal adaptés, médiathèque désorganisée, fichiers inutilisés… Sur certains sites, la médiathèque devient rapidement un vrai problème.

Chez Webdeclic, nous activons généralement plusieurs modules liés aux médias.

Image Upload Control

Nous activons Image Upload Control.

Cela permet de mettre un garde fou sur la taille maximal autorisé pour une image (en pixel).

Media Encoder

Nous activons Media Encoder.

L’objectif est d’optimiser les images et de les convertir dans des formats modernes comme WebP ou AVIF selon la configuration.

C’est un module important, car les images sont souvent l’une des premières causes de lenteur sur un site WordPress.

Voici la conf que l’on recommande sur un site tout nouveau :

Pour un site avec déjà beaucoup d’image nous recommandons cette configuration :

Media Cleaner

Nous activons Media Cleaner.

Ce module aide à identifier ou nettoyer certains médias inutiles, selon le contexte. C’est particulièrement utile sur des sites anciens, migrés, ou ayant connu plusieurs refontes.

Paste Image In Media

Nous activons Paste Image In Media.

C’est un petit module de confort, mais très pratique en production de contenu. Il permet de gagner du temps lorsqu’on travaille régulièrement avec des captures ou des images copiées/collées.

Discover the module :
Free
Disable emoji support

9. Fiabiliser l’envoi des e-mails

SMTP Mailer

Nous activons systématiquement SMTP Mailer.

Sur un site professionnel, les e-mails WordPress sont importants : formulaires de contact, notifications WooCommerce, création de compte, récupération de mot de passe, alertes administrateur…

L’envoi natif via PHP mail est rarement la meilleure solution.

Configurer un SMTP permet d’améliorer la délivrabilité et de mieux contrôler les envois.

10. Surveiller les vulnérabilités

Vulnerabilities Scan

Nous activons Vulnerabilities Scan.

Dans une logique de maintenance, il est essentiel d’avoir une visibilité sur les extensions, thèmes ou composants potentiellement vulnérables.

Cela ne remplace pas une veille complète ni une maintenance active, mais c’est un signal utile dans le tableau de bord.

Voici à quoi cela ressemble :

WordPress vulnerability scan with plugin results.

11. Générer un thème enfant, puis désactiver le module

Nous utilisons aussi le module Child Theme Generator.

Mais particularité importante : nous désactivons une fois le thème généré.

Dans notre workflow, ce module sert ponctuellement au démarrage d’un projet ou lors d’une reprise de site.

Nous générons le thème enfant, nous vérifions que tout est propre, puis nous pouvons désactiver le module.

C’est exactement l’intérêt d’une boîte à outils modulaire : certains modules sont utiles en permanence, d’autres uniquement à un moment précis du projet.

12. Ce que nous ne activons pas par défaut

Un point essentiel dans notre usage de WPMasterToolKit : beaucoup de modules restent désactivés par défaut.

Non pas parce que ces modules ne sont pas utiles.

Mais parce qu’ils dépendent fortement du contexte.

Par exemple, désactiver Gutenberg peut être pertinent sur certains sites, mais pas sur tous. Désactiver la REST API peut poser problème avec certains plugins ou usages modernes. Un File Manager ou Adminer peut être très pratique en développement ou en dépannage, mais ce n’est pas forcément quelque chose que nous voulons garder actif en permanence sur un site client.

Notre règle est simple :

Activer uniquement ce qui répond à un vrai besoin sur le site concerné.

Pourquoi cette approche nous fait gagner du temps

Cette configuration nous permet de partir d’une base plus propre sur les projets WordPress.

Elle nous aide à :

  • réduire le nombre de petits plugins installés ;
  • standardiser certains réglages entre nos sites clients ;
  • améliorer la sécurité de base ;
  • gagner du temps lors des livraisons ;
  • garder une meilleure lisibilité sur les fonctionnalités actives ;
  • éviter de multiplier les interfaces d’administration ;
  • désactiver facilement ce qui n’est plus utile.

Le plus important, ce n’est pas seulement le nombre de modules disponibles dans WPMasterToolKit.

C’est le fait de pouvoir choisir précisément lesquels sont actifs.

Un plugin tout-en-un peut vite devenir lourd s’il charge tout partout.

WPMasterToolKit repose sur une logique différente : chaque module peut être activé ou désactivé selon les besoins.

Version gratuite et version PRO : comment nous les voyons

La version gratuite de WPMasterToolKit permet déjà de répondre à de nombreux besoins courants.

C’est volontaire.

Nous voulons que la version gratuite soit réellement utile, notamment pour les freelances, agences, administrateurs WordPress et propriétaires de sites qui veulent simplifier leur stack.

La version PRO va plus loin pour les utilisateurs qui veulent accéder à des modules avancés, gagner du temps sur des usages plus spécifiques ou professionnaliser davantage leur workflow WordPress.

Chez Webdeclic, WPMasterToolKit est né d’un besoin terrain : gérer plus efficacement nos propres sites clients.

C’est cette logique que nous continuons à suivre dans le développement du plugin.

Application icons near a digital recycle garbage can.
Starter
3.50$
/Month
Business
6.70$
/Month
Freelance
11.00$
/Month
Agency
28.00$
/Month

Conclusion

WPMasterToolKit n’a pas été créé pour remplacer une vraie expertise WordPress.

Il a été créé pour éviter de perdre du temps sur des tâches répétitives, éviter d’empiler inutilement des petits plugins, et centraliser dans une seule interface des fonctionnalités que nous utilisons réellement en agence.

Chez Webdeclic, nous l’utilisons comme une boîte à outils modulaire.

Certains modules sont activés sur presque tous les sites.
D’autres sont utilisés ponctuellement.
D’autres restent désactivés tant qu’ils ne répondent pas à un besoin précis.

C’est cette flexibilité qui fait, selon nous, la vraie force de WPMasterToolKit.

Un seul plugin.
Des modules activables à la carte.
Moins de dépendances.
Plus de contrôle.

Et surtout : une approche pensée pour les usages réels du terrain.