Votre hébergeur fait des sauvegardes. Vous le savez parce que c'est écrit dans la description de votre offre, quelque part entre "espace disque illimité" et "support 24h/24". Vous avez coché cette case mentalement et vous n'y avez plus pensé.
C'est exactement ce que font la plupart des propriétaires de sites WordPress. Et c'est exactement là que le problème commence.
Parce qu'une sauvegarde qui existe et une sauvegarde qui fonctionne, ce n'est pas la même chose. Et le jour où vous en avez vraiment besoin (piratage, fausse manipulation, mise à jour qui casse tout) c'est trop tard pour vérifier.
TL;DR – Ce qu'il faut retenir en 30 secondes
Les sauvegardes de votre hébergeur existent, mais elles ont des limites que personne ne vous explique : fréquence insuffisante, stockage sur le même serveur que votre site, impossibilité de restaurer une seule page ou un seul fichier. Une sauvegarde sérieuse est externalisée, fréquente, testée régulièrement, et couvre à la fois les fichiers et la base de données. Sans ça, vous avez l'illusion d'une protection, pas une protection réelle.
Table des matières
C'est quoi une vraie sauvegarde ?
Une sauvegarde WordPress, c'est une copie complète de votre site à un instant précis. Elle contient deux choses distinctes : les fichiers de votre site (thème, plugins, images, code) et la base de données (vos articles, vos pages, vos réglages, vos commandes si vous avez une boutique).
Ces deux éléments doivent être sauvegardés ensemble, au même moment, pour que la restauration soit cohérente. Une sauvegarde des fichiers sans la base de données, ou l'inverse, ne permet pas de remettre votre site dans son état d'origine.
Ce qu'une sauvegarde n'est pas : une garantie automatique de pouvoir tout récupérer. Elle n'a de valeur que si elle est complète, récente, stockée ailleurs que sur votre serveur principal, et testée.
Les sauvegardes de votre hébergeur : que couvrent-elles ?
La plupart des hébergeurs mutualisés proposent des sauvegardes automatiques. C'est réel. Mais lisez les conditions en détail et vous découvrez plusieurs limites importantes.
La fréquence est souvent insuffisante. Une sauvegarde hebdomadaire, c'est la norme sur les offres d'entrée de gamme. Si votre site est piraté un jeudi et que la dernière sauvegarde date du dimanche précédent, vous perdez cinq jours de contenu. Pour un blog actif ou un site qui reçoit des demandes de contact, c'est significatif.
Les sauvegardes sont stockées sur le même serveur. C'est le point le plus critique. Si votre serveur tombe en panne, est compromis ou subit un incident matériel grave, vos sauvegardes disparaissent avec votre site. L'incendie du data-center OVH à Strasbourg en 2021 a détruit des milliers de sites et leurs sauvegardes en même temps : précisément parce qu'elles étaient stockées au même endroit.
La restauration n'est pas toujours granulaire. Certains hébergeurs ne permettent de restaurer que l'intégralité du site, pas un fichier ou une page en particulier. Si vous avez supprimé accidentellement un article ou modifié un réglage important, vous devez tout restaurer ou vous débrouiller autrement.
La durée de rétention est limitée. Selon les offres, les sauvegardes sont conservées 7, 14 ou 30 jours. Si vous découvrez un piratage qui s'est installé discrètement il y a six semaines (ce qui arrive fréquemment, j'ai expliqué comment ça fonctionne dans cet article sur les vraies causes d'un piratage WordPress) toutes vos sauvegardes sont déjà corrompues.
Les trois questions à poser sur n'importe quelle sauvegarde
Avant de considérer que vous êtes protégé, posez-vous ces trois questions.
Où est-elle stockée ? Si la réponse est "sur le même serveur que mon site", vous n'êtes pas vraiment protégé contre les incidents graves. Une sauvegarde sérieuse est externalisée sur un service indépendant de votre hébergeur : Google Drive, Dropbox, Amazon S3, ou un serveur cloud dédié.
À quelle fréquence ? Pour un site vitrine avec peu d'évolutions, une sauvegarde hebdomadaire est acceptable. Pour un site qui publie du contenu régulièrement ou reçoit des demandes de contact, une sauvegarde quotidienne est le minimum. La fréquence doit être proportionnelle à la valeur de ce que vous pourriez perdre.
A-t-elle déjà été testée ? C'est la question que personne ne pose et la plus importante. Une sauvegarde qu'on n'a jamais tenté de restaurer n'existe pas vraiment. Elle peut être corrompue, incomplète ou dans un format que votre hébergeur ne sait plus lire. Tester une restauration sur un environnement de test une fois par an, c'est la seule façon de savoir que votre filet de sécurité tiendra le jour où vous en aurez besoin.
Ce qui arrive quand une sauvegarde existe mais qu'elle ne fonctionne pas
Ce scénario est plus fréquent qu'on ne le pense. Voici trois situations réelles que je rencontre régulièrement.
La sauvegarde est corrompue. Le processus de sauvegarde s'est interrompu à mi-chemin, les fichiers sont incomplets, ou la base de données n'a pas été incluse. Le fichier existe, il a une taille raisonnable, mais il ne permet pas de restaurer le site.
La sauvegarde date de trop longtemps. Le piratage s'est installé progressivement, en injectant du code malveillant dans les fichiers semaine après semaine. Toutes les sauvegardes disponibles contiennent déjà le code malveillant. Revenir en arrière ne résout rien.
La restauration crée de nouveaux problèmes. La version de PHP a changé depuis la sauvegarde, un plugin n'est plus compatible, ou la structure de la base de données a évolué. La restauration réussit techniquement mais le site ne fonctionne plus correctement.
Dans tous ces cas, la sauvegarde existe mais elle est inutile.
Comment faire une sauvegarde sérieuse ?
Une sauvegarde WordPress digne de ce nom repose sur quatre critères non négociables.
Elle couvre les fichiers et la base de données ensemble. Pas l'un sans l'autre, et pas décalés dans le temps. Les deux doivent être sauvegardés simultanément pour que la restauration soit cohérente.
Elle est externalisée. Stockée sur un service indépendant de votre hébergeur, avec une copie qui survivrait à la perte totale de votre serveur.
Elle est fréquente. Quotidienne pour la plupart des sites actifs, avec une rétention d'au moins 30 jours pour avoir une marge de manœuvre si un problème est détecté tardivement.
Elle est testée. Pas nécessairement tous les mois, mais vérifiée régulièrement pour s'assurer que les fichiers sont complets et que la restauration fonctionne réellement sur un environnement de test.
Sur WordPress, des plugins comme UpdraftPlus ou BlogVault permettent de mettre en place ce type de sauvegarde externalisée.
Dans mes forfaits de maintenance, c'est intégré par défaut, avec une vérification mensuelle que les sauvegardes sont bien présentes et restaurables. Si vous voulez savoir exactement ce qu'un forfait sérieux couvre chaque mois, j'ai détaillé ça dans un article dédié.
Les questions que vous vous posez
Mon hébergeur propose des sauvegardes quotidiennes. Est-ce suffisant ?
La fréquence est un bon point, mais ce n'est pas le seul critère. Vérifiez où elles sont stockées, combien de temps elles sont conservées, et si vous pouvez restaurer facilement en cas de besoin. Si les sauvegardes sont sur le même serveur que votre site, un incident grave peut les emporter avec lui.
Puis-je faire mes sauvegardes moi-même sans plugin dédié ?
Techniquement oui, via votre panneau d'hébergement (cPanel, Plesk). Mais c'est un processus manuel, facile à oublier, et qui ne couvre pas toujours la base de données correctement. Un plugin comme UpdraftPlus automatise et externalise le processus : c'est beaucoup plus fiable sur la durée.
Combien de sauvegardes faut-il conserver ?
Au minimum 30 jours de rétention. Idéalement davantage si votre site publie du contenu régulièrement. Plus la fenêtre de rétention est large, plus vous avez de chances de pouvoir revenir à un état sain si un problème est détecté tardivement.
Que faire si je réalise que mes sauvegardes actuelles ne sont pas fiables ?
Commencez par installer UpdraftPlus (version gratuite suffisante pour un site vitrine), configurez une destination externe (Google Drive ou Dropbox), et lancez une première sauvegarde manuelle pour vérifier que tout fonctionne. Ensuite, programmez des sauvegardes automatiques quotidiennes ou hebdomadaires selon la fréquence d'évolution de votre site.
Une sauvegarde protège-t-elle contre le piratage ?
Indirectement. Elle ne vous protège pas d'être piraté, mais elle vous permet de restaurer un état sain de votre site après le nettoyage. Sans sauvegarde récente et saine, un piratage peut nécessiter une reconstruction partielle ou totale du site.
La sauvegarde, c'est l'assurance habitation du site web. Tout le monde sait qu'il faut en avoir une, personne ne vérifie vraiment ce qu'elle couvre tant qu'il ne se passe rien.
Ce que j'observe régulièrement : des clients qui arrivent après un incident et qui découvrent que leur sauvegarde ne couvre pas ce qu'ils pensaient. Soit elle est trop ancienne, soit elle est incomplète, soit elle est sur le même serveur que le site compromis.
Ce que je fais sur chaque site en maintenance : une sauvegarde externalisée quotidienne, une vérification mensuelle que les fichiers sont bien là et complets, et un test de restauration sur environnement de test une fois par an. Ce n'est pas spectaculaire comme travail. Mais c'est ce qui fait la différence entre "j'ai une sauvegarde" et "je suis vraiment protégé".
Vous n'êtes pas sûr de ce que couvrent vos sauvegardes actuelles ?
Découvrez comment je sécurise les sites de mes clients chaque mois.
