Comment empêcher les clients de désactiver les plugins WordPress

Lorsque vous créez des sites Web pour des clients, la désactivation accidentelle de plugins peut causer de sérieux problèmes.

La désactivation d'un plugin essentiel peut casser des fonctionnalités importantes, voire rendre un site inutilisable. C'est pourquoi il est si important de contrôler qui peut désactiver les plugins.

J'ai testé ces méthodes pour les conflits de permissions d'utilisateurs, la visibilité des menus et la fiabilité de l'exécution des hooks afin de m'assurer que votre site reste sécurisé :

• Utiliser les rôles WordPress par défaut pour limiter l'accès
• Créer des rôles personnalisés avec des permissions spécifiques
• Ajouter du code personnalisé pour protéger des plugins individuels

Dans ce guide, nous vous montrerons exactement comment empêcher les clients de désactiver les plugins WordPress. Ces étapes sont simples et fonctionnent sur n'importe quel site WordPress.

Pourquoi empêcher les clients de désactiver les plugins WordPress ?

Lorsque vous créez des sites Web pour des clients, vous installez probablement des plugins essentiels sur chaque site. Il peut s'agir de plugins de sécurité comme Wordfence ou Sucuri qui protègent contre les pirates et le code malveillant.

Vous pourriez utiliser des plugins comme Duplicator, le meilleur plugin de sauvegarde et de migration WordPress utilisé par plus d'un million de sites web, ou UpdraftPlus pour automatiser les tâches de maintenance WordPress telles que la création de sauvegardes régulières.

Si un client désactive accidentellement l'un de ces plugins, cela pourrait rendre son site web vulnérable aux attaques ou affecter sa fonctionnalité. J'ai vu des sites tomber en panne parce qu'un client avait désactivé un plugin de mise en cache, provoquant une surcharge du serveur lors d'un trafic élevé.

Dans le pire des cas, la désactivation des plugins de sécurité ou de sauvegarde juste avant un piratage ou un crash serveur peut entraîner une perte de données permanente. Même si ce n'est pas de votre faute, cela crée une mauvaise expérience client qui pourrait nuire à votre réputation.

Voyons comment vous pouvez empêcher les clients de désactiver accidentellement des plugins dans WordPress.

Utilisez simplement les liens rapides ci-dessous pour accéder directement à la méthode que vous souhaitez utiliser :

Méthode 1 : Utiliser les rôles d’utilisateur WordPress par défaut (aucun plugin requis)

Seuls les administrateurs WordPress peuvent désactiver les plugins par défaut. Cela signifie que vous pouvez contrôler l'accès aux plugins en gérant qui a les privilèges d'administrateur sur le site.

WordPress inclut un système de gestion d'utilisateurs intégré où chaque utilisateur a des capacités différentes en fonction de son rôle attribué.

Lorsque vous installez WordPress, il crée automatiquement ces rôles d'utilisateur :

• Administrateur (contrôle total du site, y compris la gestion des plugins)
• Éditeur (peut publier et gérer tout le contenu mais ne peut pas gérer les plugins)
• Auteur (peut publier et gérer uniquement ses propres articles)
• Contributeur (peut écrire et gérer ses propres articles mais ne peut pas publier)
• Abonné (ne peut gérer que son profil)

Par défaut, seul le rôle d'Administrateur a la permission de gérer les plugins, ce qui inclut leur activation et désactivation.

Je recommande de créer un seul compte administrateur pour vos clients afin qu'ils aient un moyen de gérer leurs sites. Vous pouvez ensuite créer des comptes non administrateurs pour toute autre personne ayant besoin d'un accès mais ne nécessitant pas de privilèges d'administrateur.

Sans droits d'administrateur, la majorité de vos clients ne pourront pas désactiver les plugins. Vous pouvez utiliser n'importe quel rôle pour les comptes non administrateurs.

Cependant, j'attribue généralement le rôle d'Éditeur à mes clients car il leur donne la possibilité de créer, modifier, publier et supprimer du contenu, y compris le contenu créé par d'autres personnes. Cela peut améliorer le flux de travail éditorial et aider les clients à gérer efficacement leur nouveau site.

Il est également judicieux de confier le compte Administrateur à une personne expérimentée avec WordPress et qui sait comment gérer un site web en toute sécurité.

Pour créer un compte pour un ou plusieurs clients, allez dans Utilisateurs » Ajouter dans le tableau de bord WordPress. Vous pouvez ensuite saisir les informations sur la personne, y compris son nom et son adresse e-mail.

Une fois cela fait, ouvrez le menu déroulant Rôle et choisissez le rôle que vous souhaitez attribuer à cet utilisateur, tel qu'Administrateur ou Éditeur.

Lorsque vous êtes satisfait des informations que vous avez saisies, cliquez sur « Ajouter un nouvel utilisateur ».

Pour créer d'autres comptes, suivez simplement le même processus décrit ci-dessus. Pour en savoir plus sur ce sujet, consultez notre guide sur comment ajouter de nouveaux utilisateurs à votre blog WordPress.

Méthode 2 : Utiliser le plugin Members (créer un rôle client personnalisé)

Parfois, vous devrez peut-être empêcher les clients de désactiver des plugins sans restreindre leur accès à d'autres zones du tableau de bord WordPress.

Cela dit, les rôles d'utilisateur intégrés ne conviennent peut-être pas à votre site Web. Par exemple, les éditeurs ne peuvent pas désactiver les plugins, mais ils ne peuvent pas non plus ajouter de nouveaux utilisateurs ou installer des thèmes WordPress, ce qui peut poser problème à vos clients.

Si les rôles d'utilisateur par défaut ne conviennent pas tout à fait à votre client, vous pouvez créer un rôle personnalisé qui possède les autorisations exactes dont il a besoin. Vous pouvez même créer différents rôles pour différentes équipes ou employés individuels.

La manière la plus simple de créer des rôles personnalisés est d'utiliser le plugin gratuit Members. Avec plus de 300 000 installations actives, Members vous permet de créer de nouveaux rôles, puis d'ajouter et supprimer des capacités à ces rôles d'utilisateur, y compris la possibilité d'activer et de désactiver les plugins WordPress.

La suppression de cette autorisation masque le paramètre Plugins dans le menu de gauche, comme vous pouvez le voir dans l'image suivante.

La première chose à faire est d'installer et d'activer le plugin Members. Pour plus de détails, consultez notre guide étape par étape sur comment installer un plugin WordPress.

Après l'activation, allez dans Members » Add New Role.

Dans le champ « Entrer le nom du rôle », tapez le nom que vous souhaitez utiliser. Il sera visible par toute personne ayant accès au tableau de bord WordPress.

Après cela, il est temps d'accorder et de refuser des autorisations.

La colonne de gauche affiche tous les différents types de contenu, tels que les blocs réutilisables et les produits WooCommerce. Cliquez simplement sur un onglet, et vous verrez toutes les autorisations pour ce type de contenu.

Vous pouvez ensuite cocher la case « Accorder » ou « Refuser » pour chaque autorisation. Pour des instructions plus détaillées, veuillez consulter notre guide sur comment ajouter ou supprimer des capacités d'utilisateur.

Pour empêcher les clients de désactiver les plugins, cliquez sur l'onglet « Plugins » à gauche.

Sur cet écran, cochez la case « Refuser » sur la ligne indiquant « Activer les plugins ». La capacité « Activer les plugins » est l'autorisation principale de WordPress qui contrôle l'activation et la désactivation des plugins. En refusant cette seule capacité, vous empêchez les deux actions.

J'ai testé cette configuration sur plusieurs sites clients et confirmé que les utilisateurs auxquels cette autorisation est refusée ne peuvent pas accéder au menu Plugins ni modifier l'état d'un plugin.

Lorsque vous êtes satisfait de la configuration du rôle d'utilisateur, cliquez sur « Ajouter un rôle ».

Vous pouvez maintenant attribuer ce rôle à n'importe quel utilisateur, en suivant le même processus décrit dans la méthode 1.

Méthode 3 : Utiliser du PHP personnalisé (empêcher les clients de désactiver des plugins spécifiques)

Si vous souhaitez empêcher les clients de désactiver tous les plugins, vous pouvez utiliser l'une des méthodes mentionnées ci-dessus.

Cependant, il peut parfois être souhaitable de protéger certains plugins essentiels tout en permettant aux clients de désactiver et de supprimer des logiciels non essentiels.

La meilleure façon de protéger des plugins spécifiques est d'ajouter du code personnalisé dans WordPress. Cela vous permet de supprimer le lien « Désactiver » pour des plugins spécifiques.

Il s'agit d'une méthode avancée qui nécessite la modification du code PHP et la compréhension des chemins de fichiers. Une erreur de syntaxe dans votre code pourrait endommager votre site, c'est pourquoi je recommande d'utiliser WPCode pour une mise en œuvre plus sûre au lieu de modifier directement les fichiers du thème.

Pour commencer, vous devrez connaître le nom du fichier du plugin et où il se trouve sur votre serveur. Généralement, ces fichiers utilisent le nom du plugin suivi de .php et se trouvent à l'intérieur d'un dossier nommé d'après le plugin. Par exemple, le fichier WooCommerce est nommé woocommerce.php et se trouve à l'intérieur d'un dossier woocommerce.

Cependant, cela vaut toujours la peine de vérifier, surtout si le plugin a un nom long et compliqué ou plusieurs mots.

Par exemple, si vous utilisez le plugin SearchWP pour améliorer les résultats de recherche de votre site, alors son fichier s'appelle `searchwp.php` et il se trouve dans le dossier `searchwp`.

Vous pouvez vérifier le nom et l'emplacement du fichier en vous connectant au serveur du site à l'aide d'un client FTP comme FileZilla, ou vous pouvez utiliser le gestionnaire de fichiers dans le panneau de contrôle de votre hébergement WordPress.

Si c'est la première fois que vous utilisez FTP, vous pouvez consulter notre guide complet sur comment vous connecter à votre site en utilisant FTP.

Après cela, allez dans /wp-content/plugins/. Ici, vous verrez tous les différents plugins de votre site.

Trouvez simplement le plugin que vous souhaitez protéger et ouvrez son dossier.

Après cela, trouvez le fichier .php.

Maintenant, prenez note du nom du dossier et du fichier .php, car vous utiliserez ces informations dans votre code. Répétez simplement ce processus pour chaque plugin que vous souhaitez protéger.

Une fois cela fait, il est temps d'ajouter un extrait de code à votre site. Souvent, vous trouverez des guides vous demandant d'ajouter du code au fichier functions.php du site.

Cependant, ce n'est pas recommandé, car de simples erreurs peuvent causer d'innombrables erreurs WordPress courantes. Vous perdrez également le code personnalisé lors de la mise à jour de votre thème WordPress.

C'est là que WPCode intervient.

C'est le meilleur plugin d'extraits de code utilisé par plus de 2 millions de sites WordPress. WPCode facilite l'ajout de CSS, HTML, PHP personnalisés, et plus encore, sans les risques liés à la modification directe des fichiers de thème. Pour plus de détails, consultez notre avis complet sur WPCode.

La première chose à faire est d'installer et d'activer le plugin gratuit WPCode. Pour plus de détails, consultez notre guide étape par étape sur comment installer un plugin WordPress.

Après l'activation, rendez-vous sur Extraits de code » Ajouter un extrait.

Ici, vous verrez tous les extraits prédéfinis que vous pouvez ajouter à votre site. Ceux-ci incluent un extrait qui vous permet de désactiver complètement les commentaires, de télécharger des types de fichiers que WordPress ne prend pas normalement en charge, de désactiver les pages de pièces jointes, et bien plus encore.

Au lieu de cela, survolez « Ajouter votre code personnalisé » avec votre souris, puis sélectionnez « Utiliser l'extrait » lorsqu'il apparaît.

Pour commencer, tapez un titre pour l'extrait de code personnalisé. Cela peut être n'importe quoi qui vous aide à identifier l'extrait dans le tableau de bord WordPress.

Après cela, ouvrez le menu déroulant ‘Type de code’ et sélectionnez ‘Extrait PHP.’

Maintenant, vous êtes prêt à ajouter le PHP personnalisé.

Le code exact variera en fonction des plugins que vous protégez, mais voici un modèle que vous pouvez utiliser. Ce tutoriel a été testé avec WordPress 6.7 et WPCode 2.1.16 en février 2026 :

add_filter( 'plugin_action_links', 'disable_plugin_deactivation', 10, 4 );
function disable_plugin_deactivation( $actions, $plugin_file, $plugin_data, $context ) {
	// Check if the 'deactivate' action exists in the actions array
	// and if the current plugin matches our protected plugins list
	if ( array_key_exists( 'deactivate', $actions ) && in_array( $plugin_file, array(
		'wpforms/wpforms.php',  // WPForms contact form plugin
		'woocommerce/woocommerce.php'  // WooCommerce eCommerce plugin
	)))
		unset( $actions['deactivate'] );  // Remove the deactivate link
	return $actions;
}

Cet extrait désactive la désactivation pour WPForms et WooCommerce. Pour protéger d'autres plugins, remplacez simplement « wpforms/wpforms.php » et « woocommerce/woocommerce.php » par les dossiers et noms de fichiers que vous avez obtenus à l'étape précédente.

Pour désactiver la désactivation de plusieurs plugins, ajoutez-les simplement au tableau. Par exemple :

  'wpforms/wpforms.php',  // WPForms contact form plugin
        'woocommerce/woocommerce.php',  // WooCommerce eCommerce plugin
		'service-box/service-box.php'  // Service Box plugin
	
    )))

Après cela, faites défiler jusqu'à la section « Insertion ». WPCode peut ajouter votre code à différents emplacements, tels qu'après chaque publication, uniquement sur le frontend, ou uniquement dans l'administration.

Vous n'avez besoin d'utiliser le code PHP que dans la zone d'administration de WordPress, alors cliquez sur « Insertion automatique » si elle n'a pas déjà été sélectionnée. Ensuite, ouvrez le menu déroulant « Emplacement » et choisissez « Administration uniquement ».

Ensuite, vous êtes prêt à faire défiler jusqu'en haut de l'écran et à cliquer sur le bouton « Inactif » pour qu'il devienne « Actif ».

Enfin, cliquez sur ‘Enregistrer l'extrait’ pour rendre l'extrait PHP actif.

Maintenant, si vous sélectionnez « Extensions » dans le menu de gauche, vous verrez que le lien « Désactiver » a été supprimé pour ces extensions.

Si vous avez besoin de restaurer les liens de « désactivation » à tout moment, vous pouvez désactiver l'extrait de code. Allez simplement dans Extraits de code » Tous les extraits et cliquez sur le commutateur à côté de votre extrait pour le faire passer de bleu (activé) à gris (désactivé).

Vous pouvez maintenant désactiver ces plugins en vous rendant dans le menu Plugins.

Vous pouvez également désactiver les plugins protégés à l'aide de phpMyAdmin ou d'un client FTP. Cela peut être une bonne solution si vous souhaitez supprimer un plugin spécifique mais ne voulez pas désactiver complètement l'extrait de code et laisser tous vos plugins protégés vulnérables.

Pour en savoir plus, veuillez consulter notre guide sur comment désactiver tous les plugins lorsque vous ne pouvez pas accéder à WP-Admin.

Foire aux questions

Les clients peuvent-ils toujours désactiver les plugins via FTP ou phpMyAdmin ?

Oui, les trois méthodes de ce tutoriel empêchent la désactivation des plugins uniquement via le tableau de bord d'administration de WordPress. Les utilisateurs ayant un accès FTP ou à la base de données peuvent toujours désactiver les plugins en renommant le dossier du plugin via FTP ou en modifiant le statut du plugin dans la base de données.

Pour une sécurité complète, vous devriez également limiter l'accès FTP et à la base de données aux administrateurs de confiance uniquement. La plupart des fournisseurs d'hébergement vous permettent de créer des comptes FTP séparés avec des autorisations restreintes.

Ces méthodes fonctionneront-elles sur un réseau multisite WordPress ?

Oui, mais avec des différences importantes. Sur un réseau multisite WordPress, seuls les Super Administrateurs peuvent gérer les plugins sur l'ensemble du réseau par défaut.

Les administrateurs de site individuels ne peuvent pas activer ou désactiver les plugins, sauf si le Super Admin leur accorde la capacité « Gérer les plugins ». Les méthodes 2 et 3 de ce guide fonctionnent sur un multisite pour contrôler l'accès du Super Admin ou protéger des plugins spécifiques de tous les administrateurs.

Que se passe-t-il si je me bloque accidentellement ?

Si vous supprimez par erreur vos propres capacités de gestion de plugins, vous pouvez restaurer l'accès en utilisant FTP ou le gestionnaire de fichiers du panneau de contrôle de votre hébergement. Connectez-vous à votre site, naviguez vers /wp-content/plugins/members/ et renommez le dossier du plugin Members en quelque chose comme members-désactivé.

Cela désactive le plugin Members et restaure les autorisations WordPress par défaut. Pour la méthode 3 utilisant WPCode, renommez le dossier du plugin WPCode pour désactiver temporairement votre code personnalisé.

Quelle méthode est la meilleure pour les débutants ?

Nous recommandons la méthode 1 (utilisation des rôles WordPress par défaut) pour la plupart des débutants, car elle ne nécessite aucun plugin ni code. Attribuez simplement à vos clients le rôle d'éditeur, et ils ne pourront désactiver aucun plugin.

Si les clients ont besoin de capacités plus avancées, comme l'ajout d'utilisateurs ou l'installation de thèmes tout en protégeant les plugins, utilisez alors la méthode 2 avec le plugin Members. La méthode 3 est réservée aux utilisateurs expérimentés qui ont besoin d'un contrôle granulaire sur des plugins spécifiques.

Ressources bonus :

Voici quelques ressources supplémentaires sélectionnées que vous pourriez trouver utiles lors de la gestion des sites clients.

• Comment personnaliser le tableau de bord d'administration WordPress avec votre marque
• Comment créer un rapport SEO pour votre site WordPress
• Comment réparer le CSS cassé dans le tableau de bord d'administration de WordPress
• Comment créer un tableau de bord client dans WordPress

Nous espérons que cet article vous a aidé à apprendre comment empêcher les clients de désactiver les plugins WordPress. Vous voudrez peut-être aussi consulter notre guide ultime sur comment masquer les éléments de menu inutiles de l'administration WordPress et les meilleures applications mobiles pour gérer votre site WordPress.

Si cet article vous a plu, abonnez-vous à notre chaîne YouTube pour des tutoriels vidéo WordPress. Vous pouvez également nous retrouver sur Twitter et Facebook.