Le 20 mai 2026, WordPress a livré Armstrong, sa version 7.0 et la plus grosse rupture architecturale depuis Gutenberg en 2018. Au menu : une infrastructure IA native, un dashboard repensé, 420+ correctifs… et une faille économique qui inquiète déjà les chercheurs en sécurité. Voici ce qui change réellement pour votre business B2B.
Pourquoi cette release change la donne
WordPress, c'est 43% du web mondial. Quand le CMS le plus utilisé de la planète intègre l'IA directement dans son cœur, pas comme un plugin tiers, pas comme une feature isolée, mais comme une couche d'infrastructure standardisée, tout l'écosystème bouge en même temps. Agences, freelances, équipes marketing, plugins, thèmes : tout le monde doit se positionner.
La version 7.0, baptisée Armstrong en hommage à Louis Armstrong, est le résultat de plus de 875 contributeurs (dont 200+ nouveaux) et marque officiellement l'entrée de WordPress dans l'ère post-LLM. Pas un copier-coller de ChatGPT dans un widget : une vraie refonte structurelle.
Pourquoi maintenant
WordPress avait deux options : laisser les plugins IA proliférer dans le désordre (chaque solution avec son SDK, ses clés API, ses risques sécurité), ou imposer un standard ouvert. L'équipe Core a choisi la deuxième voie, provider-agnostic, opt-in, et orienté agences.
Les 3 piliers techniques d'Armstrong
L'infrastructure IA d'Armstrong repose sur trois composants distincts mais complémentaires. Comprendre ce découpage est essentiel pour évaluer ce que vous pourrez en faire, et ce que vos prestataires devront maîtriser dans les 18 prochains mois.
WP AI Client
SDK PHP embarqué dans le Core. Une API unique pour parler à n'importe quel LLM (Anthropic, Google, OpenAI ou custom). Plus de lock-in vendor : les plugins consomment l'interface, pas le fournisseur.
Connectors API
Couche d'authentification standardisée. Un seul écran Réglages → Connecteurs pour gérer toutes vos clés API IA. Provider registry, métadonnées, et préparation pour les futurs types de connexions (OAuth, MCP…).
Abilities API
Le vrai game-changer. Un registre où chaque plugin déclare ses capacités avec schémas d'input/output et permissions. Vos plugins deviennent un toolkit que d'autres systèmes, y compris des agents IA, peuvent découvrir et invoquer.
Client-Side Abilities
Le pendant JavaScript des Abilities, avec UI native et command palette (Cmd+K). Les actions deviennent invocables depuis n'importe où dans l'éditeur. C'est ce qui rend WordPress vraiment "agent-ready".
Concrètement : un agent IA peut désormais naviguer dans votre back-office WordPress, insérer des blocks, modifier des contenus, lancer des workflows, sans accès SSH, sans REST API custom, juste en parlant aux Abilities exposées par vos plugins.
Ce qui est inclus (et ce qui ne l'est PAS)
Premier point critique à comprendre : Armstrong ne génère pas de contenu IA out-of-the-box. Une installation standard de WordPress 7.0 n'est pas plus "IA" qu'une 6.9, tant que vous n'activez pas le plugin AI optionnel.
Ce que vous obtenez automatiquement :
- L'infrastructure IA (Client, Connectors, Abilities), invisible pour l'utilisateur final
- Le nouveau dashboard modernisé avec command palette Cmd+K / Ctrl+K
- Les nouveaux blocks : Breadcrumbs, Icon, Heading enrichi, Gallery avec lightbox, Cover avec vidéo en background
- La Navigation overlay canvas avec menus customisables
- La timeline visuelle des révisions, block par block
- Les contrôles responsive (mobile/tablet/desktop) sur tous les blocks
Ce que vous devez activer manuellement :
- Le plugin AI officiel (génération d'images, titres, excerpts, alt text)
- Les plugins providers : OpenAI, Google, Anthropic (un par fournisseur)
- Vos clés API dans Réglages → Connecteurs
À noter
La collaboration en temps réel, annoncée pendant des mois comme une feature phare, a été retirée le 8 mai 2026, deux semaines avant la release. Raisons officielles : race conditions, charge serveur, et bugs récurrents. Elle reviendra, mais pas avant 7.1 ou 7.2.
Le risque sécurité que personne ne mentionne assez
Deux jours après la sortie d'Armstrong, Oliver Sild, fondateur de Patchstack, une des plus grosses entreprises de sécurité WordPress, a lancé une alerte publique. Le problème n'est pas technique. Il est économique.
Les clés API IA ne sont pas des credentials ordinaires. Elles représentent un accès prépayé à des modèles qui peuvent valoir des dizaines de milliers d'euros. Oliver Sild, Patchstack
Le scénario qui inquiète : une clé OpenAI ou Anthropic volée sur un site WordPress mal sécurisé peut être utilisée pour orchestrer des botnets IA, des campagnes de phishing à grande échelle, ou écrire et déployer du malware, tout ça facturé sur le compte de la victime.
Avec un taux de vulnérabilité non-négligeable dans l'écosystème plugins WordPress et 43% du web qui tourne dessus, le calcul des attaquants est simple : un seul plugin vulnérable peut donner accès à des centaines de milliers de clés API. C'est une nouvelle catégorie de cible, et elle vaut très cher.
tourne sur WP
dans Armstrong
sur la release
Ce que ça change pour une PME B2B
Si votre site tourne sur WordPress (que ce soit le vôtre ou celui d'un client), voici les vraies questions à vous poser dans les 90 prochains jours.
1. Audit de surface d'attaque
Combien de plugins avez-vous installés ? Combien sont à jour ? Combien sont maintenus activement ? Avec Armstrong, chaque plugin tiers devient potentiellement un point d'accès aux clés API IA configurées au niveau du site. Le ménage des plugins inutiles n'est plus une question d'hygiène, c'est une question de gestion du risque financier.
2. Gouvernance des clés API
Qui dans votre équipe a accès aux Connecteurs ? Quels rôles WordPress peuvent voir ou modifier les clés ? Mettre en place des plafonds de dépense (spend caps) côté provider, OpenAI, Anthropic et Google le proposent, devient critique. Une clé volée sans plafond = facture potentiellement à 5 chiffres en quelques heures.
3. Plan de migration
Pour les agences qui gèrent plusieurs sites clients : Armstrong simplifie le handoff client. Au lieu de jongler avec 5 plugins IA différents (un par usage), vous configurez une fois les providers, et tous les plugins consomment la même couche. C'est moins de complexité, plus de standardisation, et un meilleur contrôle.
4. Repositionnement de l'offre
Si vous vendez de la production de contenu, du SEO ou de la maintenance WordPress : Armstrong va commoditiser une partie de votre offre dans les 12 prochains mois. Le bon move n'est pas de résister à l'IA, mais de monter dans la chaîne de valeur : stratégie, orchestration, intégration avec votre CRM, mesure de la performance.
Le verdict Growthappiness
Armstrong est une bonne nouvelle pour l'écosystème, à condition d'être lucide sur ce qu'elle implique. WordPress fait le pari de l'infrastructure ouverte face aux builders propriétaires (Webflow, Framer, Squarespace IA) qui pré-mâchent tout dans une boîte fermée. Le pari paiera si la communauté plugin suit, et si les questions de sécurité sont traitées sérieusement dans les 6 prochains mois.
Pour les PME B2B : pas d'urgence à migrer le jour J, mais pas de procrastination non plus. La vraie valeur d'Armstrong se débloque quand on combine l'AI Client avec un CRM connecté (HubSpot, Salesforce), un système de qualification de leads et une stratégie de contenu cohérente. C'est exactement le terrain qu'on couvre dans le pack HubSpot + IA et le pack Site Web.
Le vrai différenciateur en 2026 ne sera pas "qui utilise l'IA", tout le monde l'utilisera. Ce sera "qui sait l'orchestrer dans un système qui convertit". C'est là qu'on intervient.