Savoir si un site web tourne sous WordPress, ce n’est pas juste une curiosité de geek. Pour un commerçant, une TPE ou une collectivité, cette information change la manière de préparer une refonte, de choisir un prestataire ou d’estimer un futur budget de maintenance. Comme WordPress reste le CMS dominant du marché, repérer sa présence derrière une belle vitrine en ligne permet aussi de mieux analyser la concurrence et de piocher des idées de design, de navigation ou de fonctionnalités facilement réutilisables sur son propre site.
Sur le terrain, beaucoup de dirigeants se retrouvent devant un site inspirant et se demandent simplement : « Est-ce que ce site est faisable avec WordPress, un thème WordPress bien choisi et quelques plugins ? ». La bonne nouvelle, c’est qu’il existe des méthodes rapides pour le vérifier, du simple coup d’œil au footer WordPress jusqu’à l’analyse détaillée du code source ou l’utilisation d’un outil détection spécialisé. Certaines sont à portée de n’importe quel utilisateur un peu curieux, d’autres parleront davantage aux profils techniques qui n’ont pas peur d’ouvrir la source HTML d’une page.
En parallèle, de plus en plus de propriétaires masquent volontairement le fait que leur site repose sur WordPress, pour des raisons d’image ou de cybersécurité. Résultat : on ne peut plus se contenter d’un seul indice. Il faut recouper plusieurs signaux, accepter qu’un doute subsiste parfois, et comprendre aussi comment ces techniques de dissimulation fonctionnent pour protéger son propre site. L’enjeu derrière tout ça reste très concret : prendre de meilleures décisions pour son projet web, que ce soit pour lancer une boutique, un site de réservation ou une refonte complète.
En bref
- WordPress reste le CMS le plus utilisé au monde, ce qui en fait une cible logique à identifier, mais aussi à sécuriser.
- Plusieurs indices visibles permettent de repérer un site WordPress sans être développeur : pied de page, URL de connexion, structure des médias.
- L’analyse du code source HTML et la recherche de l’URL wp-content donnent des signaux bien plus fiables.
- Des outils en ligne et extensions navigateur automatisent la détection et donnent parfois la liste des plugins et du thème utilisés.
- Certains propriétaires masquent volontairement WordPress avec des plugins spécialisés, ce qui oblige à recouper les méthodes.
- Comprendre si un site est fait avec WordPress aide à préparer une refonte, choisir un CMS adapté et anticiper les coûts de maintenance.
Comment savoir si un site est fait avec WordPress avec des indices visibles
L’exemple type, c’est Clara, gérante d’une maison d’hôtes qui tombe sur un site de réservation très bien pensé. Elle s’imagine déjà un design similaire pour son prochain site web, mais elle ne sait pas si ce qu’elle voit est réaliste avec WordPress ou si cela demande un développement sur mesure. Avant de se lancer dans un audit complet ou d’appeler une agence, quelques vérifications simples peuvent déjà lui donner une bonne idée.
Le premier réflexe consiste à observer la page comme un visiteur attentif. Certains sites affichent encore un discret « Propulsé par WordPress » dans le bas de page. Ce footer WordPress par défaut, présent sur beaucoup de thèmes gratuits, est un indice clair, même si la majorité des entreprises l’ont fait disparaître pour une question d’image. Quand il est là, inutile d’aller plus loin, la question est réglée.
Deuxième piste rapide : tenter d’accéder à la page de connexion. Sur un site WordPress standard, il suffit d’ajouter /wp-admin ou /wp-login.php à la fin du nom de domaine. Si l’on tombe sur un formulaire de connexion avec un logo WordPress ou une mise en page familière, on tient quasiment la preuve. Attention toutefois, beaucoup de sites pros personnalisent cette page, voire la déplacent : un formulaire très sobre avec deux champs « identifiant » et « mot de passe » peut très bien être une connexion WordPress relookée.
Les médias donnent aussi des indices. Un clic droit sur une image, puis « ouvrir l’image dans un nouvel onglet », permet de regarder l’URL du fichier. Quand elle contient /wp-content/uploads/année/mois/nom-du-fichier, on a affaire à la structure typique d’un site WordPress. Cette fameuse URL wp-content n’apparaît pas par hasard : c’est le dossier dans lequel WordPress stocke les thèmes, les plugins et les fichiers téléversés.
Pour un site vitrine local, ces quelques signaux suffisent souvent. Sur une boutique plus sophistiquée ou un portail institutionnel, l’éditeur aura parfois pris la peine de tout masquer. Dans ce cas, il faut passer au niveau supérieur avec le code source et les outils d’analyse, histoire de trancher sans passer des heures à deviner.
Analyser le code source HTML pour repérer WordPress comme un pro
Dès qu’un site commence à brouiller les pistes en surface, l’étape logique consiste à regarder ce qui se cache dans la source HTML. Même un propriétaire très soucieux de sa confidentialité laisse souvent échapper un détail dans le code source. Pour Clara, cela revient à faire un clic droit sur la page puis « afficher le code source de la page ». L’écran se remplit alors de balises, de liens, de scripts. C’est un peu intimidant au début, mais quelques recherches ciblées suffisent.
Le réflexe à prendre, c’est le raccourci de recherche du navigateur (Ctrl + F ou Cmd + F) et quelques mots clés bien choisis. Le plus évident reste « WordPress ». Lorsqu’il apparaît dans une balise meta du type , on a un indice très clair. Cette balise est parfois supprimée pour limiter l’exposition de la version exacte utilisée, mais une bonne partie des sites l’affichent encore par défaut.
Autre chaîne à chercher : « wp-content ». Si le développeur n’a pas renommé ce dossier, il ressortira presque à coup sûr, que ce soit dans l’URL d’une feuille de style, d’un script JavaScript ou d’une image. Cette présence de l’URL wp-content dans le code ne laisse, en général, pas beaucoup de doute sur le CMS employé. On peut compléter avec une recherche sur « wp-includes », autre dossier standard de WordPress qui contient le cœur technique du système.
Plus discret encore, certains fichiers typiques trahissent une installation WordPress. On peut tester par exemple l’accès à /readme.html, un fichier installé automatiquement sur de nombreux sites et qui contient parfois « WordPress » en toutes lettres, voire la version. De plus en plus de professionnels le suppriment pour des raisons de sécurité, mais sur des sites plus anciens ou moins entretenus, il reste encore accessible.
Pour aller franchement plus loin, les profils techniques peuvent aussi jeter un œil aux classes CSS, aux noms de scripts ou aux attributs data. Des classes comme wp-block-image ou wp-block-heading sont liées à Gutenberg, l’éditeur de blocs de WordPress. Leur présence indique très clairement que l’on se trouve face à une page construite avec cet éditeur, et donc à un site WordPress. De la même façon, des scripts appelés wp-emoji-release.min.js ou wp-embed.min.js sont des signatures très parlantes.
Ce regard dans les coulisses, en plus de répondre à la question « WordPress ou pas WordPress ? », donne souvent des idées concrètes. On voit par exemple qu’un plugin WordPress de réservation est utilisé, ce qui peut inspirer pour un futur projet. Pour ceux qui souhaitent creuser ce sujet en détail, un détour par un guide spécialisé comme ce tour d’horizon des plugins de réservation WordPress aide à faire le lien entre ce que l’on voit côté visiteur et les briques techniques sous le capot.
À ce stade, on dispose déjà d’un faisceau d’indices. Quand ils convergent tous, on peut avancer sans trop de risque que le site est construit avec WordPress. Quand ils se contredisent ou restent silencieux, la suite logique consiste à confier le travail d’enquête à des services conçus pour ça.
Utiliser des outils de détection pour identifier un site WordPress automatiquement
Tout le monde n’a pas envie de fouiller dans des balises meta ou des chemins de fichiers. C’est là que les services en ligne spécialisés dans l’outil détection de CMS deviennent pratiques. Leur principe est simple : on colle l’URL du site à analyser, le service scanne la page et renvoie une fiche technique qui mentionne le CMS utilisé, les frameworks, parfois même la liste des plugins et du thème WordPress quand c’est pertinent.
Des plateformes comme BuiltWith, Wappalyzer ou WhatCMS réalisent ce travail en quelques secondes. Elles recherchent les mêmes indices que ceux vus auparavant, mais à grande vitesse et avec des règles mises à jour régulièrement. L’avantage, c’est que ces outils repèrent parfois des détails moins évidents, comme une signature dans un fichier JavaScript ou un header HTTP particulier qui indique WordPress en arrière-plan.
Pour un entrepreneur, ces résultats ne servent pas qu’à satisfaire une curiosité technique. Ils permettent par exemple de voir que le site concurrent qui sort premier sur « camping Dordogne » tourne lui aussi sur WordPress, utilise un plugin de SEO reconnu et un constructeur de pages moderne. Cela donne une base de comparaison plus saine au moment de cadrer son propre projet ou de valider un devis d’agence.
Certains détecteurs vont encore plus loin et reconnaissent le thème WordPress ou les grandes familles de plugins installés. On peut en tirer des pistes concrètes de travail, à condition de garder en tête une règle simple : copier une structure ou une logique d’interface peut être une bonne idée, copier le design pixel par pixel l’est beaucoup moins. L’enjeu reste d’identifier ce qui fonctionne pour l’adapter à sa marque, pas de cloner un site entier.
Pour ceux qui aiment tout avoir sous la main dans leur navigateur, des extensions comme Wappalyzer, Library Sniff ou le module BuiltWith pour Firefox affichent directement les résultats pendant la navigation. On visite un site, on clique sur l’icône, et l’on voit aussitôt si WordPress est détecté, avec quelle version de PHP, quel serveur, quels principaux scripts. Une fois qu’on a pris l’habitude, on finit par faire ce check presque automatiquement sur chaque nouveau site intéressant.
À noter aussi que la logique de détection s’applique à d’autres plateformes. Quand un commerçant se demande, par exemple, si un concurrent exploite Shopify ou un autre moteur e-commerce, il peut s’appuyer sur des tutoriels dédiés, un peu sur le même principe que cet article. C’est le cas par exemple de ce guide pour identifier le thème d’un site Shopify, qui montre bien comment les outils de repérage aident à décoder une vitrine en ligne sans accès au back-office.
Ces services automatisés ne sont pas infaillibles, surtout quand le propriétaire a pris soin de masquer les traces du CMS. Mais utilisés en complément des vérifications visuelles et de l’analyse du code, ils permettent de se faire une idée solide, suffisamment fiable pour prendre des décisions stratégiques sans se tromper de technologie.
Cacher ou brouiller les traces de WordPress sur un site web
Une fois la mécanique de repérage comprise, une autre question se pose souvent à l’envers : comment font ces sites qui ne laissent presque aucune trace de WordPress, même dans la source HTML ? Là encore, ce n’est pas qu’une question de style. Beaucoup de propriétaires cherchent à limiter leur exposition aux attaques automatisées ciblant spécifiquement ce CMS.
Les robots malveillants connaissent par cœur les emplacements standards d’un site WordPress. Ils scannent /wp-login.php, /wp-admin, les fichiers de configuration fréquents, les dossiers wp-content et wp-includes. Ce comportement explique pourquoi certains développeurs décident de renommer ces chemins, de masquer les balises generator, ou d’utiliser un plugin WordPress dédié à l’obfuscation comme Hide My WP ou ses équivalents.
Ce type d’extension permet par exemple de remplacer les chemins /wp-content/ par un nom plus neutre, de renommer le dossier des thèmes, de cacher la page de connexion derrière une URL personnalisée et de filtrer certains en-têtes de réponse HTTP. Pour un outil de détection automatisé, le site finit alors par ressembler à un projet PHP générique, sans signature claire de CMS. Les robots qui ne ciblent que WordPress passent à côté.
Il ne faut pas se raconter d’histoire : masquer le CMS améliore la discrétion, mais ne remplace pas une vraie stratégie de sécurité. Les failles les plus sérieuses viennent souvent d’extensions non mises à jour, de thèmes abandonnés ou de mots de passe trop faibles. Le camouflage réduit la surface d’attaque visible, il ne corrige pas une mauvaise hygiène technique. On le voit bien dans les cas d’erreur critique WordPress qui bloquent un site entier : l’origine se trouve bien plus souvent dans un plugin cassé que dans un détecteur trop curieux.
Autre limite importante, certains réglages trop agressifs peuvent dégrader l’expérience utilisateur ou perturber le référencement naturel. Renommer des URLs sans redirections propres, désactiver complètement certains flux ou masquer des pages d’archives sans logique SEO, tout cela peut coûter cher en visibilité. Chaque bascule doit donc être réfléchie, testée sur un environnement de préproduction, puis surveillée après mise en ligne.
En pratique, la plupart des sites de TPE ou de structures locales gagnent davantage à maintenir une installation WordPress propre, bien mise à jour, avec un hébergement sérieux, plutôt qu’à multiplier les couches de camouflage. Les réglages de base d’une bonne extension de sécurité, le verrouillage de l’accès admin et une gestion rigoureuse des comptes suffisent déjà à écarter une grande partie des menaces, sans casser la compatibilité avec les extensions ou les services tiers.
On peut retenir une ligne simple : cacher WordPress peut se justifier pour limiter la casse en cas de scan massif ou pour soigner une image de marque haut de gamme, mais ce n’est jamais un substitut à la maintenance, aux sauvegardes et au bon sens dans le choix des plugins. À l’inverse, pour l’internaute curieux qui enquête, il faut accepter que certains sites resteront mystérieux, même après plusieurs tentatives de détection.
Pourquoi savoir si un site est fait avec WordPress change vos décisions digitales
Toutes ces techniques ne servent à rien si elles ne débouchent pas sur des décisions concrètes. Reprenons l’exemple de Clara, notre gérante de maison d’hôtes. Après quelques tests, elle découvre que le site qu’elle admirait est bel et bien construit avec WordPress, un thème premium bien optimisé et un plugin de réservation dédié. Cette information pose aussitôt un cadre beaucoup plus clair à son futur projet.
D’abord, elle comprend que le type de site qu’elle vise est accessible sans recourir à un développement sur mesure complet. Un bon thème WordPress, quelques extensions de qualité, un travail sérieux sur le contenu et des réglages fins lui permettront d’obtenir une expérience utilisateur proche de ce qu’elle a vu. La question se déplace alors sur le choix des outils et du prestataire, plutôt que sur un changement d’écosystème entier.
Ensuite, identifier le CMS permet d’anticiper les implications à moyen terme. Un site WordPress demande une vraie gestion de maintenance, des sauvegardes régulières, une surveillance de la sécurité et un suivi de performance. Avant même de lancer son projet, Clara peut se renseigner sur les tarifs de maintenance WordPress pratiqués par les agences ou les freelancers et intégrer ce coût dans son business plan, plutôt que de le découvrir un an après la mise en ligne.
Cette connaissance sert aussi lors d’une refonte. Lorsque l’on sait déjà que l’ancien site tourne sur WordPress, la discussion avec l’agence part sur de meilleures bases. On peut décider de conserver le CMS pour limiter les coûts, ou au contraire profiter de la refonte pour comparer avec d’autres solutions, comme expliqué dans des analyses Joomla vs WordPress ou Webflow vs WordPress. Le débat ne se fait plus à l’aveugle, mais à partir d’un existant connu.
Enfin, cela aide à clarifier les compétences nécessaires en interne. Un site sur WordPress ne se pilote pas comme un mini-site figé livré par un prestataire clé en main. Même si une agence s’occupe des aspects techniques, il reste toute la partie édition de contenu, gestion des médias, mise à jour des pages, configuration basique de certains plugins. Identifier le CMS dès le départ permet de prévoir, par exemple, une petite formation à WordPress pour la personne qui gérera le contenu au quotidien.
Au bout du compte, qu’il s’agisse d’un petit blog local ou d’un gros portail d’inscription, savoir si un site est fait avec WordPress n’est pas un simple détail technique. C’est un levier pour cadrer un projet, ajuster un budget, choisir ses batailles et se positionner de façon plus lucide dans son environnement numérique.
Méthodes principales de détection d’un site WordPress : synthèse pratique
Pour finir, rassembler toutes ces pistes dans une vue d’ensemble aide à construire son propre petit protocole de vérification. Certains préféreront commencer par le visuel, d’autres par l’outil en ligne, d’autres encore par un tour dans le code source. L’essentiel est de disposer d’une démarche claire, reproductible, que l’on pourra appliquer à chaque nouvelle découverte de site inspirant.
Une façon simple de s’organiser consiste à enchaîner toujours les mêmes étapes, de la plus légère à la plus technique. On commence par ce qui ne demande aucun effort ni compétence particulière, puis on ne sort la loupe que si le doute persiste. Avec un peu d’habitude, il devient possible de qualifier la majorité des sites en moins d’une minute, tout en sachant quand s’arrêter quand la situation devient trop brouillée.
Le tableau ci-dessous récapitule les méthodes les plus courantes, leur niveau de difficulté et ce qu’elles permettent d’apprendre.
| Méthode | Niveau | Indice recherché | Fiabilité globale |
|---|---|---|---|
| Observer le footer WordPress et les mentions légales | Débutant | Texte « Propulsé par WordPress » ou mentions claires du CMS | Moyenne, souvent supprimée sur les sites pros |
| Tester /wp-admin ou /wp-login.php | Débutant | Page de connexion WordPress standard ou personnalisée | Bonne, mais dépend des mesures de sécurité appliquées |
| Analyser la source HTML et chercher wp-content | Intermédiaire | Chemins contenant wp-content ou wp-includes dans le code source | Élevée, sauf masquage avancé |
| Utiliser un outil détection comme BuiltWith ou Wappalyzer | Débutant | Identification du CMS, parfois des plugins et du thème WordPress | Bonne, avec quelques faux négatifs possibles |
| Rechercher des classes Gutenberg et scripts WordPress spécifiques | Avancé | Présence de wp-block-*, wp-embed, wp-emoji, etc. | Très élevée sur les sites non camouflés |
Pour garder ces réflexes vivants, l’idéal reste de les appliquer régulièrement, par exemple à chaque fois qu’un nouveau site retient l’attention. En quelques semaines, le repérage de WordPress devient aussi naturel que vérifier le nom de domaine ou la sécurité HTTPS.
Comment reconnaître rapidement un site WordPress sans être technique ?
Le plus simple consiste à regarder le bas de page pour repérer une mention WordPress, puis à tester l’URL /wp-admin ou /wp-login.php. Si tu obtiens une page de connexion typique de WordPress ou une URL d’image contenant /wp-content/uploads, tu as déjà de bons indices sans toucher au code source.
Un outil de détection peut-il se tromper sur le CMS d’un site web ?
Oui, surtout si le propriétaire a masqué les chemins classiques de WordPress ou supprimé les balises meta qui l’annoncent. Les outils s’appuient sur des signatures connues, et certains sites les effacent volontairement. Pour une réponse fiable, mieux vaut toujours croiser les résultats de l’outil avec un coup d’œil à la source HTML et aux URLs des médias.
Cacher que mon site utilise WordPress le rend-il vraiment plus sécurisé ?
Cela peut réduire la quantité d’attaques automatiques ciblées sur WordPress, mais ce n’est qu’une couche additionnelle. La sécurité repose surtout sur les mises à jour régulières, le choix des plugins, la qualité de l’hébergement et la gestion des comptes administrateurs. Masquer WordPress ne compense pas un site laissé sans maintenance pendant des mois.
Pourquoi certains sites gardent-ils volontairement la mention WordPress visible ?
Sur des blogs personnels ou des projets associatifs, afficher « Propulsé par WordPress » reste un clin d’œil à la communauté open source et une forme de reconnaissance. Sur des sites très institutionnels ou haut de gamme, cette mention disparaît presque toujours pour des raisons d’image de marque et de cohérence graphique.
Savoir si un site utilise WordPress suffit-il pour choisir ce CMS pour mon projet ?
Pas forcément. Voir qu’un site inspirant tourne sous WordPress montre que ce CMS peut répondre à ton besoin, mais le choix final doit aussi prendre en compte ton budget, tes contraintes internes, la disponibilité d’un prestataire de confiance et les coûts de maintenance à long terme. Le repérage est un point de départ, pas une décision définitive.
