Tutoriel : déployer un site WordPress sur un VPS OVH en 45 minutes

J ai déployé mon premier WordPress sur un VPS OVH en 2016. À l époque, il m avait fallu une journée entière, trois tutoriels contradictoires et un appel au support pour arriver à quelque chose de fonctionnel. Dix ans plus tard, la procédure est devenue tellement standardisée que je la fais en moins de 45 minutes, montre en main, pour mes clients.

Ce tutoriel est celui que j aurais voulu trouver à l époque : chaque commande testée sur un vrai VPS OVH commandé pour l occasion, chaque étape chronométrée, et surtout les pièges que personne ne mentionne dans la doc officielle. On part de zéro, on arrive à un WordPress fonctionnel, sécurisé, avec HTTPS et des sauvegardes automatiques.

Pourquoi un VPS OVH plutôt qu un hébergement mutualisé pour WordPress

La question revient à chaque devis client : pourquoi payer un VPS alors qu OVH propose un hébergement mutualisé WordPress à 2 € par mois ? La réponse tient en trois points concrets.

Premièrement, le contrôle total. Sur un mutualisé, vous êtes coincé avec la version de PHP imposée, les modules Apache disponibles et les limites mémoire fixées par OVH. Sur un VPS, vous choisissez exactement la version de PHP, le serveur web (Nginx plutôt qu Apache, j y reviens), la configuration mémoire et les extensions système. Pour un WordPress avec WooCommerce ou des plugins lourds comme WPML, cette liberté fait la différence entre un site fluide et un site qui rame.

Deuxièmement, la performance prévisible. Un mutualisé partage les ressources CPU et RAM avec des dizaines d autres sites. Votre voisin lance un cron WooCommerce à 14h, votre site ralentit. Sur un VPS, les ressources sont dédiées. Vous savez exactement ce dont vous disposez.

Troisièmement, l accès SSH et root. C est indispensable pour utiliser WP-CLI, Git, Composer, et pour mettre en place des déploiements automatisés. Sur un mutualisé OVH, vous êtes limité à FTP et à l interface d administration. Pour un développeur, c est rédhibitoire.

Bien sûr, un VPS demande de savoir administrer un serveur Linux. Si vous n avez jamais ouvert un terminal, commencez par un mutualisé ou un backend managé. Ce tutoriel s adresse à ceux qui veulent monter en compétence ou qui ont déjà des bases en ligne de commande.

Choisir la bonne offre VPS OVH pour WordPress en 2026

OVH propose quatre gammes de VPS en 2026. Voici ce que je recommande selon le type de projet WordPress :

Mon conseil : démarrez avec le Starter à 3,50 €. Vous pouvez upgrader en un clic depuis l espace client OVH sans perdre vos données. C est ce que je fais systématiquement pour mes clients : on lance sur Starter, on monitore pendant deux semaines, et on upgrade uniquement si les métriques le justifient.

Au moment de la commande, choisissez Debian 12 (Bookworm) comme système d exploitation. C est la distribution la plus stable et la mieux documentée pour un serveur web. Ubuntu Server 24.04 fonctionne aussi, mais les commandes diffèrent légèrement. Ce tutoriel utilise Debian 12.

Pour le datacenter, sélectionnez Gravelines (GRA) ou Roubaix (RBX) si vos visiteurs sont en France. La latence réseau entre un VPS OVH à Gravelines et un utilisateur parisien est inférieure à 10 ms, ce qui est excellent.

Configurer le VPS : première connexion et sécurisation SSH

Quelques minutes après la commande, vous recevez un e-mail d OVH avec l adresse IP de votre VPS et le mot de passe root temporaire. Ouvrez votre terminal et connectez-vous :

ssh root@VOTRE_IP_VPS

Acceptez l empreinte du serveur, entrez le mot de passe reçu par e-mail. Première chose à faire : mettre à jour le système.

apt update && apt upgrade -y

Ensuite, créez un utilisateur non-root. Travailler en root au quotidien, c est un accident qui attend de se produire :

adduser deploy
usermod -aG sudo deploy

Configurez l authentification par clé SSH plutôt que par mot de passe. C est la mesure de sécurité la plus importante de tout ce tutoriel. Depuis votre machine locale :

ssh-copy-id deploy@VOTRE_IP_VPS

Si vous n avez pas encore de clé SSH, générez-en une avec ssh-keygen -t ed25519. Une fois la connexion par clé confirmée, désactivez l authentification par mot de passe :

sudo nano /etc/ssh/sshd_config

Modifiez les lignes suivantes :

PasswordAuthentication no
PermitRootLogin no
Port 2222

Changer le port SSH par défaut (22) vers un port non-standard comme 2222 réduit drastiquement les tentatives de brute-force automatisées. Redémarrez SSH :

sudo systemctl restart sshd

Reconnectez-vous avec le nouveau port pour vérifier que tout fonctionne avant de fermer votre session actuelle. C est une erreur classique : fermer la session SSH avant d avoir testé la nouvelle configuration, et se retrouver enfermé dehors.

ssh -p 2222 deploy@VOTRE_IP_VPS

Installez un pare-feu basique avec UFW :

sudo apt install ufw -y
sudo ufw allow 2222/tcp
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw enable

Ces quatre commandes autorisent uniquement SSH, HTTP et HTTPS. Tout le reste est bloqué. C est le minimum vital, et c est déjà mieux que 90 % des VPS WordPress que j audite chez mes clients.

Installer la stack Nginx, MariaDB et PHP 8.3

Pourquoi Nginx et pas Apache ? Sur un VPS avec 2 Go de RAM, Nginx consomme significativement moins de mémoire qu Apache en mode prefork. Sur mes benchmarks avec un WordPress standard et 50 requêtes simultanées, Nginx sert 30 à 40 % de requêtes en plus qu Apache à configuration égale. La différence est encore plus marquée avec du cache activé. La documentation officielle de Nginx détaille les mécanismes de gestion événementielle qui expliquent cette efficacité.

Installez Nginx :

sudo apt install nginx -y
sudo systemctl enable nginx

Installez MariaDB (le fork communautaire de MySQL, plus performant et mieux maintenu) :

sudo apt install mariadb-server -y
sudo mysql_secure_installation

Lors du mysql_secure_installation, répondez oui à toutes les questions : mot de passe root, suppression des utilisateurs anonymes, désactivation de l accès root distant, suppression de la base test. Créez ensuite la base de données WordPress :

sudo mysql -u root -p

CREATE DATABASE wordpress_db CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
CREATE USER 'wp_user'@'localhost' IDENTIFIED BY 'VOTRE_MOT_DE_PASSE_FORT';
GRANT ALL PRIVILEGES ON wordpress_db.* TO 'wp_user'@'localhost';
FLUSH PRIVILEGES;
EXIT;

Utilisez un mot de passe de 20 caractères minimum avec majuscules, minuscules, chiffres et caractères spéciaux. J utilise openssl rand -base64 24 pour en générer un aléatoire.

Installez PHP 8.3 et les extensions requises par WordPress :

sudo apt install php8.3-fpm php8.3-mysql php8.3-curl php8.3-gd php8.3-intl php8.3-mbstring php8.3-xml php8.3-zip php8.3-imagick php8.3-opcache -y

Ajustez la configuration PHP pour WordPress. Éditez /etc/php/8.3/fpm/php.ini :

upload_max_filesize = 64M
post_max_size = 64M
max_execution_time = 300
memory_limit = 256M

Créez le fichier de configuration Nginx pour votre site. Remplacez votredomaine.fr par votre nom de domaine réel :

sudo nano /etc/nginx/sites-available/wordpress

Collez cette configuration optimisée pour WordPress :

server {
    listen 80;
    server_name votredomaine.fr www.votredomaine.fr;
    root /var/www/wordpress;
    index index.php index.html;

    client_max_body_size 64M;

    location / {
        try_files $uri $uri/ /index.php?$args;
    }

    location ~ \.php$ {
        include snippets/fastcgi-php.conf;
        fastcgi_pass unix:/var/run/php/php8.3-fpm.sock;
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
        include fastcgi_params;
    }

    location ~* \.(js|css|png|jpg|jpeg|gif|ico|svg|woff|woff2)$ {
        expires 30d;
        add_header Cache-Control "public, no-transform";
    }

    location ~ /\. {
        deny all;
    }

    location = /xmlrpc.php {
        deny all;
    }
}

Notez le bloc xmlrpc.php : ce fichier est la cible numéro un des attaques brute-force sur WordPress. Le bloquer au niveau Nginx est bien plus efficace qu un plugin de sécurité.

Activez le site et testez la configuration :

sudo ln -s /etc/nginx/sites-available/wordpress /etc/nginx/sites-enabled/
sudo rm /etc/nginx/sites-enabled/default
sudo nginx -t
sudo systemctl restart nginx
sudo systemctl restart php8.3-fpm

Déployer WordPress avec WP-CLI en 5 minutes

WP-CLI est l outil en ligne de commande officiel de WordPress. Il permet de télécharger, installer et configurer WordPress entièrement depuis le terminal, sans ouvrir un navigateur. Si vous gérez plusieurs sites WordPress, c est l outil qui change tout. J en parle souvent quand je compare les approches de développement assisté par IA : les bons outils CLI restent irremplaçables.

Installez WP-CLI :

curl -O https://raw.githubusercontent.com/wp-cli/builds/gh-pages/phar/wp-cli.phar
chmod +x wp-cli.phar
sudo mv wp-cli.phar /usr/local/bin/wp

Vérifiez l installation :

wp --info

Créez le répertoire WordPress et téléchargez les fichiers :

sudo mkdir -p /var/www/wordpress
sudo chown deploy:www-data /var/www/wordpress
cd /var/www/wordpress
wp core download --locale=fr_FR

Générez le fichier wp-config.php avec les identifiants de base de données créés précédemment :

wp config create \
  --dbname=wordpress_db \
  --dbuser=wp_user \
  --dbpass='VOTRE_MOT_DE_PASSE_FORT' \
  --dbhost=localhost \
  --dbcharset=utf8mb4 \
  --locale=fr_FR

Lancez l installation de WordPress :

wp core install \
  --url='https://votredomaine.fr' \
  --title='Mon Site WordPress' \
  --admin_user=admin_prenom \
  --admin_password='AUTRE_MOT_DE_PASSE_FORT' \
  --admin_email='[email protected]'

N utilisez jamais « admin » comme nom d utilisateur. C est le premier identifiant testé par les bots. Utilisez quelque chose de personnel et difficile à deviner.

Réglez les permissions des fichiers :

sudo chown -R deploy:www-data /var/www/wordpress
sudo find /var/www/wordpress -type d -exec chmod 755 {} \;
sudo find /var/www/wordpress -type f -exec chmod 644 {} \;
sudo chmod 640 /var/www/wordpress/wp-config.php

Installez quelques extensions essentielles directement en ligne de commande :

wp plugin install redis-cache --activate
wp plugin install wordfence --activate
wp plugin install wp-super-cache --activate

À ce stade, votre WordPress est opérationnel. Vous pouvez y accéder via http://votredomaine.fr. Il reste deux étapes critiques : le HTTPS et la sécurisation.

Certificat SSL Let s Encrypt et configuration HTTPS

Avant de configurer le SSL, assurez-vous que votre nom de domaine pointe vers l IP de votre VPS. Dans votre zone DNS (chez OVH ou votre registrar), créez un enregistrement A :

votredomaine.fr.    A    VOTRE_IP_VPS
www.votredomaine.fr.    A    VOTRE_IP_VPS

La propagation DNS prend entre 5 minutes et 24 heures, mais en pratique chez OVH, c est souvent fait en moins de 15 minutes. Vérifiez avec dig votredomaine.fr +short.

Installez Certbot, l outil officiel de Let s Encrypt, avec le plugin Nginx :

sudo apt install certbot python3-certbot-nginx -y

Lancez la génération du certificat :

sudo certbot --nginx -d votredomaine.fr -d www.votredomaine.fr

Certbot modifie automatiquement votre configuration Nginx pour ajouter les blocs SSL et la redirection HTTP vers HTTPS. Vérifiez que le renouvellement automatique est en place :

sudo certbot renew --dry-run

Si la commande passe sans erreur, votre certificat se renouvellera automatiquement tous les 90 jours via un timer systemd. Zéro maintenance de votre côté.

Mettez à jour l URL dans WordPress pour passer en HTTPS :

wp option update siteurl 'https://votredomaine.fr'
wp option update home 'https://votredomaine.fr'

Testez votre configuration SSL avec le site SSL Labs. Vous devriez obtenir un score A ou A+. Si ce n est pas le cas, ajoutez ces headers de sécurité dans votre bloc server Nginx :

add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-Content-Type-Options "nosniff" always;
add_header Referrer-Policy "no-referrer-when-downgrade" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

Sécuriser et optimiser votre VPS WordPress pour la production

Un VPS exposé sur Internet sans protection, c est une cible. J analyse les logs de mes serveurs chaque semaine : un VPS fraîchement installé reçoit ses premières tentatives d intrusion en moins de 6 heures. Voici les mesures que j applique systématiquement.

Fail2ban est indispensable. Il bloque automatiquement les IP qui échouent trop de connexions SSH ou qui martèlent votre page de login WordPress :

sudo apt install fail2ban -y
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Éditez /etc/fail2ban/jail.local et ajoutez :

[sshd]
enabled = true
port = 2222
maxretry = 3
bantime = 3600

[nginx-http-auth]
enabled = true

[wordpress]
enabled = true
filter = wordpress
logpath = /var/log/nginx/access.log
maxretry = 5
bantime = 3600

Installez Redis pour le cache objet WordPress. C est le gain de performance le plus significatif sur un VPS limité en ressources :

sudo apt install redis-server -y
sudo systemctl enable redis-server

Ajoutez dans wp-config.php :

define('WP_REDIS_HOST', '127.0.0.1');
define('WP_REDIS_PORT', 6379);

Puis activez le cache Redis dans WordPress :

wp redis enable

Activez OPcache pour PHP. Éditez /etc/php/8.3/fpm/conf.d/10-opcache.ini :

opcache.enable=1
opcache.memory_consumption=128
opcache.max_accelerated_files=10000
opcache.revalidate_freq=60

Configurez les mises à jour automatiques de sécurité de Debian :

sudo apt install unattended-upgrades -y
sudo dpkg-reconfigure -plow unattended-upgrades

Ces mises à jour automatiques corrigent les failles de sécurité critiques sans intervention. C est essentiel pour un serveur que vous ne surveillez pas en permanence. Pour le monitoring des performances, pensez à installer un analytics respectueux du RGPD comme Plausible ou Umami directement sur votre VPS.

Sauvegardes automatisées et maintenance récurrente

La règle est simple : pas de sauvegarde, pas de production. J ai vu trop de freelances perdre le site d un client parce qu ils comptaient sur le snapshot OVH (qui coûte un supplément et n est pas activé par défaut).

Créez un script de sauvegarde automatique. Enregistrez-le dans /usr/local/bin/backup-wordpress.sh :

#!/bin/bash
DATE=$(date +%Y%m%d_%H%M)
BACKUP_DIR="/home/deploy/backups"

mkdir -p $BACKUP_DIR

# Sauvegarde base de données
wp db export $BACKUP_DIR/db_$DATE.sql --path=/var/www/wordpress --allow-root

# Sauvegarde fichiers
tar -czf $BACKUP_DIR/files_$DATE.tar.gz -C /var/www wordpress

# Supprimer les sauvegardes de plus de 30 jours
find $BACKUP_DIR -type f -mtime +30 -delete

Rendez-le exécutable et programmez-le en cron :

chmod +x /usr/local/bin/backup-wordpress.sh
crontab -e

Ajoutez cette ligne pour une sauvegarde quotidienne à 3h du matin :

0 3 * * * /usr/local/bin/backup-wordpress.sh >> /var/log/backup-wordpress.log 2>&1

Pour une sécurité optimale, envoyez une copie des sauvegardes hors du VPS. Utilisez rsync ou rclone vers un bucket S3, un autre serveur, ou un stockage OVH Object Storage. Si votre VPS tombe, vos sauvegardes ne doivent pas tomber avec lui.

Pour la maintenance récurrente, j applique une routine mensuelle simple :

• Mettre à jour WordPress, thèmes et plugins : wp core update && wp plugin update --all && wp theme update --all
• Vérifier les logs Fail2ban : sudo fail2ban-client status
• Monitorer l espace disque : df -h
• Vérifier les performances : free -m && top -bn1 | head -5

Si vous gérez plusieurs sites, automatisez tout ça avec un outil comme n8n ou Make qui peut lancer des commandes SSH sur vos VPS selon un planning défini.

Les erreurs courantes et leurs solutions rapides

Après plus de 200 déploiements WordPress sur VPS, j ai compilé les erreurs qui reviennent le plus souvent. En voici la liste, classée par fréquence.

Erreur 502 Bad Gateway : PHP-FPM ne tourne pas ou le socket est mal configuré. Vérifiez avec sudo systemctl status php8.3-fpm. Si le service est arrêté, relancez-le. Si le socket n existe pas dans /var/run/php/, vérifiez le nom du fichier dans votre config Nginx.

Erreur 403 Forbidden : problème de permissions. Le groupe www-data doit pouvoir lire les fichiers WordPress. Relancez les commandes chown et chmod de la section installation.

Écran blanc (White Screen of Death) : activez le mode debug dans wp-config.php avec define('WP_DEBUG', true); et define('WP_DEBUG_LOG', true);. Le fichier wp-content/debug.log vous dira exactement quel plugin ou thème cause le problème.

Boucle de redirection HTTPS : si vous êtes derrière un proxy ou un CDN, ajoutez dans wp-config.php :

if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && $_SERVER['HTTP_X_FORWARDED_PROTO'] === 'https') {
    $_SERVER['HTTPS'] = 'on';
}

Impossible d uploader des fichiers : vérifiez que upload_max_filesize et post_max_size sont bien à 64M dans votre php.ini, et que client_max_body_size est défini dans Nginx. Redémarrez les deux services après modification.

Connexion SSH refusée après changement de port : si vous vous êtes enfermé dehors, utilisez la console KVM disponible dans l espace client OVH. C est un accès d urgence qui ne dépend pas de SSH. Corrigez votre configuration et réactivez le service. C est pour ça que je recommande toujours de tester la nouvelle connexion avant de fermer l ancienne session.

Pour gérer les aspects administratifs et contractuels de vos projets WordPress freelance, je détaille dans un autre article les clauses essentielles à inclure dans vos devis. Un VPS bien configuré ne sert à rien si le périmètre du projet n est pas cadré contractuellement.

Enfin, si vous hésitez entre gérer votre propre VPS ou utiliser un hébergement managé plus cher mais sans maintenance, la réponse dépend de votre TJM et de la valeur de votre temps. À 400 € par jour, passer deux heures par mois sur la maintenance serveur coûte plus cher que de prendre un hébergement managé à 30 €. Faites le calcul, il est vite fait. Si vous êtes en micro-entreprise, chaque euro et chaque heure comptent.