La sauvegarde, c’est ce qui sépare une catastrophe d’un retour en ligne en 2 heures. Un piratage, une mise à jour qui casse tout, une erreur de manipulation, ou même un datacenter qui prend feu (ça arrive, j’y reviens) : sans sauvegarde testée, c’est la reconstruction complète. Avec une sauvegarde sérieuse, c’est un clic.
Pourtant, sur les sites WordPress que je vois en presta, la grande majorité n’ont pas de sauvegarde correcte. Soit aucune sauvegarde, soit une sauvegarde hébergeur jamais testée, soit un plugin installé mais qui sauvegarde dans un dossier du site lui-même (donc inutile en cas de piratage). Ce guide vous donne la méthode pratique pour mettre en place une sauvegarde qui marche vraiment : la règle 3-2-1, le plugin recommandé, l’étape critique souvent oubliée (tester que ça restaure), et savoir comment réagir le jour où vous en aurez besoin.
1. Pourquoi sauvegarder son site WordPress
Pas de paranoia, juste les cas concrets où la sauvegarde sauve la mise.
Piratage. Le scénario le plus fréquent. Votre site se met à rediriger vers un site russe, ou affiche du spam, ou disparaît. Avec une sauvegarde antérieure à l’attaque, vous restaurez une version saine en quelques minutes. Sans : reconstruction complète, perte d’historique, et beaucoup de stress. Pour limiter les risques en amont : voir ma méthode pour sécuriser un site WordPress.
Mise à jour qui casse le site. Vous mettez à jour un plugin ou WordPress lui-même, et la page d’accueil affiche soudainement une erreur. Avec sauvegarde : retour arrière immédiat. Sans : il faut comprendre ce qui a cassé, parfois réinstaller les fichiers manuellement.
Erreur humaine. Vous avez supprimé sans le vouloir une page importante, un produit, un article. Vous avez cliqué sur « Vider la corbeille » trop vite. La sauvegarde de la veille vous remet tout en place.
Hébergeur qui plante ou disparait. Ça arrive : un compte fermé par erreur, un datacenter qui prend feu (incident OVH SBG2 en mars 2021, j’y reviens en H2 4), un hébergeur qui met la clé sous la porte. Si vos sauvegardes sont uniquement hébergées chez le même prestataire que votre site, vous risquez de tout perdre en même temps.
Sans sauvegarde testée : reconstruction complète, 2-3 semaines de travail, données définitivement perdues. C’est ce qui m’arrive de devoir gérer en presta, et c’est toujours désagréable.
2. Que faut-il sauvegarder exactement ?
Un site WordPress, ce n’est pas une boîte unique. Il est composé de deux briques distinctes, qu’il faut sauvegarder ensemble. Une sauvegarde qui n’inclut qu’une seule des deux briques est inutile.
Les fichiers. C’est le code WordPress lui-même, vos thèmes installés, vos plugins, et surtout le dossier wp-content/uploads qui contient toutes vos images, photos, documents PDF, vidéos. Sans les fichiers, vous récupérez vos textes mais plus aucune image. Toute votre médiathèque est par terre.
La base de données. C’est là que WordPress stocke réellement votre site : tous vos articles, pages, produits, paramètres, utilisateurs, commentaires, métadonnées de chaque image. Une base de données (souvent appelée SQL ou MySQL), c’est techniquement un ensemble de tableaux structurés qui contiennent vos contenus. Sans la base de données, vous récupérez les fichiers (donc les images) mais plus aucun texte ni structure de site.
Les deux briques ensemble = votre site complet. Les bons plugins de sauvegarde font une sauvegarde complète des deux par défaut, ce qui est ce qu’il faut. Méfiez-vous des « sauvegardes de la base de données uniquement » (sauf usage très spécifique) : vous serez bien embarrassé le jour où vous en aurez besoin.
3. La règle 3-2-1 : la base de toute sauvegarde sérieuse
Cette règle vient du monde de l’informatique professionnelle (popularisée par les agences de cybersécurité comme la CISA américaine, l’équivalent US de l’ANSSI). Elle est universelle, simple, et ce que je recommande à tous mes clients.
3 copies de vos données : votre site en ligne + 2 sauvegardes indépendantes.
2 supports différents : par exemple le serveur de votre hébergeur ET un cloud externe (Google Drive, Dropbox, Amazon S3). Pas deux fois sur le même serveur.
1 copie hors site : au moins une sauvegarde sur un système physiquement et logiquement séparé de votre hébergeur. C’est cette copie qui vous sauve le jour où il y a un problème chez l’hébergeur principal.
Application concrète pour la cible artisan ou praticien :
- Niveau 1 : la sauvegarde automatique proposée par votre hébergeur (PlanetHoster, O2Switch, OVH en proposent tous à des fréquences variées).
- Niveau 2 : une sauvegarde plugin sur cloud externe (UpdraftPlus + Google Drive, par exemple).
- Niveau 3 (optionnel mais recommandé si vous avez un webmaster ou un développeur) : une sauvegarde locale ou sur un autre cloud, totalement isolée du compte hébergeur et du compte cloud principal. C’est la couche la plus protectrice parce que même un piratage qui compromettrait votre hébergeur ET votre cloud n’atteindrait pas cette troisième copie.
Ces 3 niveaux ne s’opposent pas, ils s’additionnent. Plus on monte les couches, plus on est protégé contre des incidents qui touchent plusieurs couches en même temps.
4. Les sauvegardes côté hébergeur : utiles mais pas suffisantes seules
Tous les hébergeurs sérieux proposent des sauvegardes incluses dans leurs offres. Chez PlanetHoster, O2Switch, OVH (les 3 que je couvre dans mon guide d’installation WordPress), les fréquences varient selon l’offre : quotidiennes, hebdomadaires ou mensuelles. C’est automatique, gratuit avec votre hébergement, et accessible depuis votre panneau d’administration hébergeur (N0C, cPanel ou Manager OVH selon le cas).
L’avantage : vous n’avez rien à faire. La sauvegarde tourne, et vous pouvez restaurer une version précédente en quelques clics depuis votre panneau hébergeur.
La limite critique, en revanche, est qu’une sauvegarde uniquement côté hébergeur n’est pas une vraie sauvegarde au sens de la règle 3-2-1. Si votre compte hébergeur est compromis (mot de passe volé), un attaquant peut effacer vos sauvegardes en même temps que votre site. Pire : si le datacenter lui-même a un incident physique, les deux disparaissent ensemble.
L’exemple le plus marquant en France : le 10 mars 2021, le datacenter SBG2 d’OVH à Strasbourg est entièrement détruit par un incendie (source : Datacenter Dynamics, document d’enregistrement OVHCloud déposé en septembre 2021). Coût pour OVH : environ 105 millions d’euros. Coût pour les clients qui n’avaient que des sauvegardes « sur le même serveur » : tout perdu. Pas de bashing OVH ici, juste un fait : si votre seule sauvegarde est dans le même datacenter que votre site, un incident physique vous met à nu.
Conclusion : une sauvegarde hébergeur, c’est mieux que rien. Mais ne JAMAIS s’en contenter seule. Toujours doubler avec une copie ailleurs, c’est ce que la suite de l’article décrit.
5. Choisir un plugin de sauvegarde
Le plugin de sauvegarde, c’est le moyen le plus simple d’obtenir le niveau 2 de la règle 3-2-1 : une copie sur cloud externe, automatique, indépendante de l’hébergeur. Quatre acteurs dominent le marché.
| Critère | UpdraftPlus | BackWPup | WPvivid | BlogVault |
|---|---|---|---|---|
| Installations actives | 3M+ | 600k+ | 200k+ | (Premium) |
| Version Free | Très généreuse | Robuste | Très généreuse | Aucune |
| Cloud directs en Free | 8+ services | 7+ services | 5+ services | Stockage propre |
| Restauration 1 clic | Oui | Oui | Oui | Oui (auto) |
| Migration entre serveurs | Premium | Non | Free | Premium |
| Tarif Pro 2026 | ~70 $/an | ~70 €/an | ~99 $/an | ~89 $/an |
Ma recommandation : UpdraftPlus, en gratuit. C’est le plus installé du marché (plus de 3 millions de sites WordPress), entièrement traduit en français, et la version gratuite couvre 95 % des besoins d’un site d’artisan ou de praticien. La configuration est assistée : install, choix du cloud (Google Drive est le plus accessible pour la majorité), planification automatique, premier test. 5 minutes de mise en place.
Les alternatives : BackWPup (par Inpsyde, équipe allemande, robuste mais configuration plus technique) si vous voulez un plugin plus traditionnel. WPvivid, qui a un gros avantage en gratuit : la migration intégrée entre serveurs, très pratique si vous changez d’hébergeur. BlogVault (uniquement payant, ~89 $/an) pour qui veut le plus « hands-off » du marché, avec sauvegardes incrémentales et stockage cloud propre, plutôt pour multi-sites pro.
Checklist pour une sauvegarde fiable. À passer en revue après installation du plugin.
- Sauvegarde complète activée : fichiers + base de données, pas seulement l’un des deux.
- Destination cloud externe configurée (Google Drive, Dropbox, Amazon S3…). Pas dans un dossier du site lui-même.
- Planification automatique activée, fréquence adaptée à votre rythme de mise à jour.
- Notifications email sur succès et échec, pour être averti si un backup échoue.
- Rétention réglée (combien d’anciennes sauvegardes garder). 5-10 backups récents suffisent dans la majorité des cas.
- Premier backup manuel testé, avec vérification que le fichier apparaît bien dans le cloud cible.
6. Tester que la sauvegarde fonctionne (l’étape oubliée)
C’est la partie systématiquement sautée par 99 % des sites. Et c’est pourtant la plus importante : une sauvegarde non testée n’existe pas. J’ai vu des cas où la sauvegarde se créait bien chaque semaine pendant 18 mois, mais le fichier était corrompu, ou la base de données absente, ou le mot de passe cloud expiré sans alerte.
Comment tester concrètement :
Option A : restauration sur staging. Si votre hébergeur propose un environnement de pré-production (PlanetHoster et O2Switch ont des options de staging), c’est l’idéal : vous restaurez votre sauvegarde sur le staging, vous vérifiez que tout fonctionne, sans toucher au site en production. C’est aussi l’environnement parfait pour tester en parallèle des optimisations de performance WordPress avant de les passer en prod.
Option B : restauration sur site de test local. Avec des outils gratuits comme LocalWP ou MAMP, vous installez WordPress sur votre ordinateur, et vous y restaurez votre sauvegarde. Plus technique mais 100 % gratuit. Cela vous demande aussi de comprendre quelques notions, mais une fois fait c’est un acquis.
Option C : restauration partielle. Vous restaurez juste un élément (un article, une page) sur votre site en production, à partir d’une sauvegarde. Si ça marche pour un élément, c’est bon signe pour une restauration complète à l’avenir. Moins protecteur que les deux options précédentes mais plus accessible.
Fréquence du test : tous les 6 mois minimum. Mettez-le dans votre agenda comme un rendez-vous fixe. Ce sera 30 minutes 2 fois par an pour avoir la garantie que votre filet de sécurité tient.
7. Restaurer un site depuis une sauvegarde
Trois cas de figure selon l’état de votre site et la source de votre sauvegarde.
Cas 1, restauration via votre plugin de sauvegarde (le plus courant). Avec UpdraftPlus : depuis l’admin, allez dans UpdraftPlus > onglet « Restaurations existantes », cliquez sur le backup à restaurer, choisissez les composantes à restaurer (fichiers, base de données, plugins, thèmes, uploads), confirmez. Comptez 5 à 15 minutes selon la taille du site. Cette option fonctionne tant que vous pouvez encore accéder à votre admin WordPress.
Cas 2, restauration via votre hébergeur. PlanetHoster, O2Switch, OVH proposent tous une option de restauration depuis leur panneau d’administration. Vous choisissez une date, vous validez, l’hébergeur remet le site dans l’état de cette date. Utile en particulier si l’admin WordPress lui-même n’est plus accessible (compromission, plugin qui a tout cassé). Selon l’hébergeur, vous pouvez parfois aussi demander cette restauration via une demande au support.
Cas 3, site complètement HS (page blanche, erreur 500 persistante, sans accès admin ni accès au panneau hébergeur). Il faut reprendre la main au niveau FTP + base de données pour réinstaller WordPress proprement et réimporter le contenu. C’est nettement plus technique. Si vous n’êtes pas à l’aise, faites appel à un professionnel : un freelance peut faire la restauration en 1-2 heures pour quelques centaines d’euros. C’est très souvent l’investissement le plus rentable du monde.
En cas de piratage : restaurez une version antérieure à l’attaque (donc plus ancienne que la date de compromission), pas la sauvegarde de la veille qui peut déjà être contaminée. Si vous ne savez pas exactement quand l’attaque a eu lieu : remontez plus loin dans le temps, sauvegarde par sauvegarde, jusqu’à trouver une version saine.
8. FAQ rapide
À quelle fréquence sauvegarder ?
Site vitrine peu modifié : hebdomadaire. Blog actif (1 article par semaine ou plus) : quotidien. E-commerce : 2 fois par jour minimum, voire en temps réel sur les commandes pour les plus gros sites.
Combien de temps garder les anciennes sauvegardes ?
Garder 5 à 10 backups récents convient dans la majorité des cas. Si vous voulez pouvoir remonter plusieurs mois en arrière (au cas où), gardez 1 sauvegarde mensuelle sur les 6 derniers mois en plus.
Les sauvegardes prennent-elles beaucoup de place ?
Généralement entre 100 Mo et 2 Go pour un site vitrine artisan, selon le nombre d’images. Google Drive offre 15 Go gratuits, ce qui suffit largement pour stocker plusieurs versions historiques.
Faut-il chiffrer les sauvegardes ?
Pas obligatoire pour un site sans données sensibles. Recommandé si le site contient des données clients ou prospects (formulaires, comptes utilisateurs, CRM intégré, e-commerce). C’est aussi cohérent avec une logique RGPD : les sauvegardes contiennent les données personnelles, elles doivent être protégées au même niveau que la base en production. UpdraftPlus Premium et BackWPup Pro proposent le chiffrement natif.
Faire seul ou déléguer ?
Mise en place initiale faisable seul si vous avez 1-2 heures et que vous suivez ce guide. Pour un suivi plus pro avec sauvegardes locales additionnelles et tests réguliers, c’est un service souvent inclus dans une presta de création ou de maintenance complète. Sinon, mise en place ponctuelle accessible. Pour le contexte budgétaire global, voir mon analyse complète du coût d’un site WordPress en 2026, ou parlons-en directement.
En résumé
La sauvegarde WordPress en 2026, ce sont 5 principes : sauvegarde complète (fichiers + base de données), règle 3-2-1 (3 copies, 2 supports, 1 hors site), automatisation via plugin, tests réguliers, et préparation mentale au scénario de restauration.
Ma stack par défaut pour un artisan ou un praticien : UpdraftPlus en gratuit + Google Drive comme cloud externe, sauvegarde quotidienne ou hebdo selon votre rythme, planification + notifications email, et test de restauration tous les 6 mois. Si vous êtes chez PlanetHoster, O2Switch ou OVH, vous avez déjà le niveau 1 (sauvegardes hébergeur) en bonus, ce qui constitue une couche additionnelle bienvenue.
Mon conseil de fin : la sauvegarde, c’est l’assurance-vie qui ne se voit jamais sauf le jour où elle vous sauve. Et ce jour-là, vous serez très content de l’avoir mise en place. Le scénario inverse, sans sauvegarde, je l’ai vu plusieurs fois en presta : 3 semaines de reconstruction et beaucoup de regrets. Si vous voulez déléguer cette mise en place ou avoir un suivi récurrent sur la sécurité et les sauvegardes de votre site, parlons-en.
