Sauvegardes WordPress : stratégie 3-2-1 (local, cloud, externalisé)

La stratégie 3-2-1 : la seule “assurance” qui fonctionne quand ça implose

La stratégie 3-2-1 ne te demande pas d’être admin système, ni de prier le dieu des plugins. Elle te demande juste de penser “scénarios de galère” au lieu de penser “tout va bien”. Oui, c’est moins fun, mais c’est le principe d’une sauvegarde : elle sert quand tout va mal.

3 copies :

• ton site en prod (l’original) ;
• une sauvegarde automatisée ;
• une sauvegarde secondaire.

2 supports différents :

• par exemple : disque serveur + stockage cloud ;
• ou : cloud + stockage externe.

1 copie hors site :

• un endroit qui n’est pas “dans le même panier” : pas le même hébergeur, pas le même serveur, pas le même compte.

Pourquoi c’est vital sur WordPress ? Parce que WordPress est un empilement : noyau + thème + plugins + base de données + médias. Et quand ça casse, ça casse rarement “proprement”. Une infection peut chiffrer des fichiers. Une mauvaise manip peut supprimer une table. Un plugin peut corrompre des données. Et là, tu veux pouvoir restaurer vite, proprement, sans négociation.

C’est exactement ce que rappellent les recommandations anti rançongiciels : une sauvegarde utile, c’est une sauvegarde séparée, protégée, et surtout restaurable. Ce n’est pas “un zip oublié dans un coin”. 

Petite vérité qui pique : si tu n’as jamais testé une restauration, ta sauvegarde est une croyance, pas une stratégie. 

Local, cloud, externalisé : ce que ça veut dire concrètement pour un site WordPress

On voit souvent passer “local / cloud / externalisé” comme si c’était des cases à cocher. En réalité, ce sont trois niveaux de sauvegarde qui répondent à trois risques différents.

Sauvegarde “locale” (proche de l’hébergement)

C’est la sauvegarde la plus facile à mettre en place. Typiquement : une sauvegarde stockée sur le serveur, ou dans l’espace de ton hébergeur.

Avantages :

• rapide à générer ;
• rapide à restaurer ;
• simple à automatiser.

Limites :

• si le serveur est compromis (hack, rançongiciel, panne disque), tu peux perdre l’original et la sauvegarde ;
• si ton compte d’hébergement est compromis, même problème.

Moralité : la sauvegarde locale, c’est utile, mais ce n’est pas “ta” sécurité. C’est simplement le premier étage.

Sauvegarde “cloud” (hors serveur)

Ici, tu mets une copie sur un stockage type Drive, S3, Dropbox, etc. Beaucoup d’extensions le font très bien, dont UpdraftPlus si tu le configures proprement via ce guide “sauvegarde WordPress automatique avec UpdraftPlus”.

Avantages :

• copie hors serveur ;
• historique plus facile à conserver ;
• restauration possible même si l’hébergeur a un souci.

Limites :

• si c’est le même compte partout et qu’il est compromis, tu peux perdre la prod et le cloud ;
• si tu synchronises mal, tu peux écraser une “bonne” sauvegarde par une sauvegarde infectée.

Sauvegarde “externalisée” (hors site + hors dépendance)

C’est la copie “qui survit à tout”, parce qu’elle est isolée : autre compte, autre accès, idéalement immuable.

Exemples simples :

• export mensuel sur un disque externe chiffré ;
• copie vers un stockage avec versioning et droits stricts ;
• copie hors du périmètre du site (et pas accessible avec les mêmes identifiants).

C’est ce troisième étage qui rend la stratégie 3-2-1 réellement solide : tu évites le scénario “tout est lié, donc tout tombe”.

Si tu veux structurer ça proprement sur tout ton site (pas juste sur un article), la logique de maillage interne est la même : tu construis un système où chaque élément a un rôle clair, expliqué ici : Qu’est-ce que le maillage dans WordPress ?.

Mettre la stratégie 3-2-1 en place sur WordPress

On va faire simple : une stratégie qui n’est pas appliquée est une stratégie décorative. L’objectif, c’est d’avoir un plan qui tourne sans toi, et qui reste compréhensible même le jour où tu es fatigué (donc le jour où ça casse, évidemment).

Étape A : définir “ce que tu sauvegardes”

Sur WordPress, tu as 2 blocs critiques :

• la base de données (contenu, réglages, comptes, commandes WooCommerce, formulaires, etc.) ;
• les fichiers (thème, plugins, uploads, configs).

Une bonne sauvegarde WordPress doit couvrir les deux. Sinon, tu vas restaurer un site… vide, ou sans médias, ou avec une base qui ne colle pas.

Et ça, c’est un puzzle dont il manque la moitié des pièces.

Étape B : automatiser et historiser

Automatiser, c’est non négociable. L’humain oublie. Surtout l’humain entrepreneur qui gère déjà 48 onglets et une facture en retard.

Bon réflexe :

• quotidienne pour la base (si le site bouge souvent) ;
• hebdomadaire pour les fichiers ;
• conserver plusieurs versions (au moins 30 jours si possible).

Pour un cadre clair sur “prévenir plutôt que réparer”, tu peux aussi lire maintenances préventive et curative: l’idée n’est pas d’ajouter des outils, mais d’ajouter une routine.

Étape C : appliquer la règle “hors site”

Ta copie cloud doit être sur un espace séparé du serveur. Typiquement, c’est là que UpdraftPlus est intéressant, parce qu’il pousse vers un stockage distant quand il est bien paramétré.

Et si tu te demandes “mais est-ce que mon hébergeur ne fait pas déjà des sauvegardes ?” : parfois oui, parfois non, parfois “oui mais…”. Et même quand c’est vrai, ça reste une dépendance. Une bonne stratégie, c’est quand tu peux restaurer même si ton hébergeur a un incident.

Étape D : éviter le piège du cache qui te “ment”

Quand tu testes ou quand tu restaurres, le cache peut te donner l’impression que “ça marche” alors que tu vois juste une version stockée. Si tu veux comprendre le rôle de chaque couche, ce comparatif est utile : cache serveur vs plugin de cache.

Promis, ce n’est pas un épisode de Netflix. Mais presque : il y a plusieurs saisons, et le méchant change à chaque fois.

Et si tu veux que ce plan s’inscrive dans une démarche durable, tu peux aussi cadrer tout ça avec une prestation de maintenance WordPress.

Le point que 90 % des sites oublient : tester la restauration

La différence entre “je suis serein” et “je panique”, c’est rarement la sauvegarde. C’est la restauration WordPress.

Une stratégie 3-2-1 propre inclut :

• un test de restauration régulier ;
• une procédure courte, compréhensible, et actionnable.

Test simple (sans laboratoire)

Tu n’as pas besoin de recréer la NASA. Tu peux :

• restaurer sur un environnement de préproduction ;
• vérifier 5 points : page d’accueil, connexion admin, formulaire, performance, et une page “importante” ;
• valider que les médias sont là ;
• valider que la base est cohérente.

Si tu ne peux pas restaurer, c’est souvent que :

• la sauvegarde est incomplète ;
• l’historique est trop court ;
• ou la méthode dépend trop d’un seul outil.

Les guides d’experts anti rançongiciels insistent sur ce point : une sauvegarde doit être testée et isolée pour être réellement utile. 

Mini “runbook” (la fiche anti panique)

Écris 10 lignes. Oui, 10. Pas un roman.

Exemple de structure :

• où sont les sauvegardes (local, cloud, hors site) ;
• qui a accès ;
• comment lancer une restauration ;
• comment vérifier que c’est OK ;
• quoi faire si la restauration échoue.

Le jour où ça casse, ton cerveau ne veut pas réfléchir. Il veut un mode d’emploi. Ton runbook, c’est ton “GPS de crise”. Sans GPS, tu finis toujours dans une impasse. Même quand tu connais la route.

La checklist pour garder une stratégie 3-2-1 vivante

Le but d’une sauvegarde, ce n’est pas d’avoir un fichier. C’est d’avoir une capacité à revenir en arrière.

Voici une checklist simple à intégrer dans ton mois :

• vérifier que les sauvegardes tournent (1 minute) ;
• vérifier qu’il y a un historique (2 minutes) ;
• vérifier qu’au moins une copie est hors site (2 minutes) ;
• faire un test de restauration trimestriel (30 minutes) ;
• contrôler les accès aux stockages (5 minutes).

Ce n’est pas “énorme”. C’est juste régulier.

Comme se brosser les dents : ce n’est pas compliqué, mais si tu arrêtes, ça finit toujours par coûter cher.

Et comme les risques WordPress viennent souvent des plugins tiers, une sauvegarde devient ton filet de sécurité quand une faille se pointe ou qu’une mise à jour dérape. Pour remettre le sujet dans un contexte plus global, ce guide “débutants” est très bien pour poser les bases.

Et si tu veux un cadre RGPD plus “données personnelles”, tu peux garder sous le coude ce guide CNIL en PDF.

En conclusion

La stratégie 3-2-1 n’est pas un luxe. C’est un minimum viable pour un site WordPress qui compte dans ton business.

Si tu dois retienir une seule idée : une sauvegarde utile, c’est une sauvegarde hors site, historisée, et testée. Le reste, c’est de l’espoir.

Et l’espoir, c’est sympa… mais ce n’est pas une méthode.

Si tu veux avancer sans te perdre dans 12 outils, commence simple :

• une solution de sauvegarde WordPress bien configurée ;
• une copie cloud ;
• une copie externalisée ;
• un test de restauration planifié.

Et si tu veux cadrer ça proprement, tu peux passer par ma page contact pour décrire ton contexte et tes priorités : ça permettra de poser un plan clair, sans engagement ni promesse magique (désolé).