Ce que tu dois retenir (sans le bruit)

On va faire simple. Aujourd’hui, mercredi 20 mai, WordPress 7.0 est officiellement sorti. Et autour de cette release, il s’est passé pas mal de choses ces derniers jours qui méritent qu’on s’y arrête trente secondes.

Ce qui sort vraiment dans WordPress 7.0

D’abord, le contexte. WordPress 7.0, c’est la première des trois grandes mises à jour prévues pour 2026.

Le rythme des trois releases majeures par an, abandonné en 2024-2025, est restauré. Ce qui veut dire que tu vas devoir t’habituer à un cycle de mises à jour plus rapide qu’avant.

Côté contenu, la version embarque deux choses importantes pour nous qui écrivons.

Une nouvelle API « WP AI Client ». En clair, WordPress propose maintenant une interface unifiée pour brancher OpenAI, Anthropic, Google et d’autres modèles directement sur ton site.

Une nouvelle page « Connectors » apparaît dans les réglages, et un écran « AI Experiments » permet de générer du contenu — extraits, textes alternatifs d’image, résumés — sans installer dix plugins différents.

C’est une infrastructure, pas une fonctionnalité finie : attends-toi à voir une vague de plugins se brancher dessus dans les semaines qui viennent.

Un éditeur plus stable. Le bloc Grid est stabilisé, l’éditeur est forcé en iframe par défaut, la validation des blocs a été sérieusement renforcée. Le fameux message « ce bloc est cassé » qui faisait sauter ta mise en page sans prévenir devrait se faire beaucoup plus rare.

React passe en version 19. L’admin a été repensée. Et fait intéressant : les blocs PHP-only sont introduits, ce qui veut dire qu’on peut désormais créer des blocs sans toucher à React. Pour beaucoup de petits sites, ça change la donne.

Le grand absent : la collaboration en temps réel

La grande promesse de la Phase 3 du projet Gutenberg, c’était l’édition multi-utilisateurs façon Google Docs. Eh bien, douze jours avant la release, Matt Mullenweg a tranché : le code a été supprimé, pas juste désactivé. Trop de failles potentielles, trop de fuites mémoire détectées en fuzz testing.

À la place, WordPress 7.0 introduit des Notes au niveau bloc : tu peux commenter un bloc, mentionner un autre utilisateur avec @, recevoir des notifications.

C’est mono-utilisateur, donc pas de curseurs qui dansent en simultané — mais pour la grande majorité des blogs francophones, c’est probablement amplement suffisant. Si tu travailles seul ou à deux sur ton site, tu ne verras quasiment pas la différence avec ce qui était promis.

Côté sécurité : trois alertes cette semaine

Et là, on passe en mode pragmatique. Trois vulnérabilités critiques sont en exploitation active en ce moment. Si tu utilises l’un de ces plugins, mets à jour aujourd’hui, pas dans deux semaines.

Burst Statistics (CVE-2026-8181, score 9.8/10). C’est le plugin d’analytics axé RGPD que beaucoup de blogueurs francophones utilisent comme alternative à Google Analytics. Un attaquant non authentifié peut se faire passer pour un admin. Wordfence a bloqué plus de 7 400 tentatives en 24 heures juste après la divulgation. Si tu n’utilises plus activement Burst, désinstalle-le carrément plutôt que de juste le désactiver.

Avada Builder (CVE-2026-4798, score 7.5/10). Builder commercial avec environ un million d’installations actives. Deux patches successifs en avril et mai. Si tu as un site Avada en jachère, c’est exactement la porte d’entrée que cherchent les attaquants automatisés.

WPForms (CVE-2026-4633). Faille d’upload de fichier qui nécessite d’être authentifié avec la capability upload_files. C’est moins critique en absolu, mais si tu as un site multi-auteurs — magazine, blog collectif, marketplace — c’est typiquement le scénario où ça peut faire mal.

Tendance générale du mois : trois des quatre failles haut risque concernent de l’authentification ou de l’autorisation. Et plus de la moitié des développeurs de plugins ne corrigent pas avant la divulgation publique. Conclusion : moins tu as de plugins installés, mieux tu te portes.

L’écosystème : le bras de fer continue

Pour la culture, parce que ça aura un impact à moyen terme. Le procès fédéral entre WP Engine et Automattic (la société de Matt Mullenweg) continue. Audience prévue en 2027. En attendant, WP Engine a racheté WPackagist en mars — le miroir Composer de wordpress.org que beaucoup d’agences utilisent dans leurs déploiements. WordPress.org a qualifié l’opération de « parasite ».

Pourquoi je t’en parle ?

Parce que ce conflit dessine en filigrane deux écosystèmes WordPress qui divergent doucement.

Tant que tu es sur du WordPress classique avec un hébergeur grand public, ça ne change rien pour toi. Mais si tu fais appel à une agence ou à un développeur, c’est une conversation à avoir.

Ce que je te conseille de faire cette semaine

Trois choses, dans cet ordre.

Un. Ne mets pas à jour vers WordPress 7.0 aujourd’hui sur ton site de production. Attends une semaine, dix jours. Historiquement, presque toutes les versions « .0 » reçoivent une « .0.1 » rapide pour corriger des régressions. Laisse les autres essuyer les plâtres. Si tu as un environnement de staging, teste-le là.

Deux. Si tu utilises Burst Statistics, Avada Builder ou WPForms, va vérifier la version installée maintenant. Pas demain. Mets à jour ou désinstalle.

Trois. Profite de cette release pour faire le ménage. Combien de plugins as-tu installés ? Combien sont vraiment indispensables ? Chaque plugin que tu supprimes, c’est une surface d’attaque en moins et une page qui se charge plus vite. WordPress 7.0 t’offre une bonne occasion de reposer la question.

Le reste — l’IA dans le core, les nouveaux blocs, l’admin repensée — viendra en son temps. Ce qui compte cette semaine, c’est de ne rien casser et de ne laisser aucune faille ouverte.