MCP WordPress : démarrage, utilisation et sécurité

Imaginez piloter votre site WordPress en discutant simplement avec une intelligence artificielle. Plus besoin d’ouvrir dix onglets pour créer un article, modifier une page ou vérifier un réglage. Grâce au MCP WordPress, Claude, ChatGPT, Gemini et plein d’autres IA se connectent directement à votre site WordPress et exécute vos demandes.

Cette intégration repose sur un standard ouvert, le Model Context Protocol, désormais soutenu par Automattic. Chez Pilot’in, nous suivons ces évolutions de près, car elles transforment la gestion de contenu. Ce guide complet vous accompagne du plugin à la configuration finale. Vous y trouverez aussi nos recommandations de serveurs MCP et nos bonnes pratiques de sécurité. Embarquez avec nous : à la fin de cet article, votre site WordPress dialoguera avec l’IA. 🌊

Qu’est-ce que le MCP (Model Context Protocol) ?

Le MCP, ou Model Context Protocol, est un standard ouvert créé par Anthropic. Il définit comment une intelligence artificielle communique avec une application externe. En clair, ce protocole sert de pont universel entre un modèle comme Claude et vos outils.

Avant le MCP, chaque intégration demandait un développement spécifique. Désormais, un serveur MCP expose des « tools » et des « resources » que l’IA comprend immédiatement. Le modèle peut alors lire, créer ou modifier des données. Ce fonctionnement s’appuie sur des échanges au format JSON, simples et structurés. Pour en savoir plus sur la genèse de ce standard, consultez l’annonce officielle d’Anthropic.

Pourquoi MCP change la donne pour WordPress

WordPress propulse plus de 40 % du web. Connecter ce CMS à l’IA ouvre donc des perspectives immenses. De plus, Automattic, l’entreprise derrière WordPress.org, a publié son propre WordPress MCP Adapter. Cette version officielle s’appuie sur la nouvelle Abilities API du core.

Les avantages du MCP pour votre site WordPress

Pourquoi adopter le MCP sur votre site WordPress ? D’abord, pour le gain de temps. Vous déléguez les tâches répétitives à un assistant intelligent. Ensuite, pour la simplicité, car tout passe par le langage naturel. Cette intégration s’adapte à tous les profils : un rédacteur automatise sa production, un développeur connecte ses propres outils, un administrateur supervise plusieurs sites WordPress depuis une seule application. Bref, le MCP démocratise l’IA dans l’écosystème WordPress.

Comment connecter Claude à WordPress via MCP ?

Utiliser Claude avec MCP au quotidien

Une fois la configuration en place, vous discutez avec Claude comme avec un collègue. Posez une question, donnez une consigne, et l’IA agit sur votre site. Par exemple : « Crée un article de blog sur le SEO local. » Claude rédige, structure et publie le contenu. Vous pouvez aussi générer des descriptions de produits WooCommerce, classer vos articles ou vérifier l’état d’une publication. Toutefois, l’IA propose, mais vous validez toujours : ce contrôle humain reste essentiel pour la qualité de votre contenu.

Plusieurs serveurs MCP existent pour WordPress et le choix dépend de vos besoins. Côté sécurité, quelques bonnes pratiques s’imposent pour profiter de l’IA sans exposer votre site.

Étape 01 – Installer le plugin WordPress MCP

Tout commence par l’installation du plugin officiel d’Automattic, nommé wordpress-mcp. Téléchargez le fichier ZIP depuis le dépôt GitHub.

Ensuite, rendez-vous dans Extensions > Ajouter une extension de votre admin WordPress. Importez le ZIP et activez le plugin : une nouvelle section MCP apparaît alors dans votre tableau de bord WordPress, où vous activez le serveur et choisissez les abilities exposées. Vérifiez bien la version de WordPress installée, car l’Abilities API nécessite une version récente du core.

Étape 02 – Configurer l’authentification et Claude Desktop

Pour autoriser Claude, vous devez créer un identifiant d’accès.

La permission repose sur un JWT token. On va aller sur les réglages du plugin et générer un token. Si vous êtes en phase de test, vous pouvez laisser 1 heure, 2 heures ou 6 heures dans la durée de vie de la clé. Une fois la clé générée, gardez la soigneusement, nous allons en avoir besoin.

Maintenant qu’on a notre clé d’accès, on va aller la renseigner dans Claude.

Ouvrez Claude et allez dans les Paramètres, puis dans Développeur. Vous avez un bouton Modifier la config qui vous donne accès au fichier claude_desktop_config.json dans lequel nous allons permettre à Claude d’accéder à notre site.

Ouvrez le fichier claude_desktop_config.json et collez le code ci-dessous en renseignant vos informations :

• URL de votre site web
• Votre clé JWT

Ne modifiez rien d’autre et enregistrez le fichier et le tour est joué !

{
  "mcpServers": {
    "wordpress": {
      "command": "npx",
      "args": ["-y", "@automattic/mcp-wordpress-remote"],
      "env": {
        "WP_API_URL": "https://votre-site.com",
        "JWT_TOKEN": "votre-jwt-token",
        "OAUTH_ENABLED": "false"
      }
    }
  }
}

Vous pouvez fermer votre éditeur de texte/code, fermer Claude et le relancer (important, sinon ça ne reconnaîtra pas la nouvelle config). Lorsque vous reviendrez sur Claude, voici ce que vous devrez voir :

Étape 03 – Tester MCP WordPress

Très bien ! Maintenant qu’on est arrivé jusqu’ici, un petit test pour voir si ça fonctionne vraiment ?

Voici le prompt lancé :

Claude va vous demander des autorisations lors de la première utilisation du MCP. Soit vous cliquez sur toujours autoriser, soit vous le faites manuellement pour chaque demande. Pour cet exemple, nous sommes sur un site de test en local. Nous revenons sur ce choix dans la partie sécurité.

Une fois l’action autorisée, il agit directement sur votre site :

Et c’est tout bon ! Claude a réussi à accéder à mon site et produire ce que je lui ai demandé :

Et évidemment, le contenu est 100% compatible avec Gutenberg, vous pouvez revenir dessus et l’éditer comme bon vous semble :

MCP et sécurité : c’est quoi le fin mot de l’histoire ?

La sécurité d’une intégration MCP ne repose pas sur l’IA elle-même, mais sur ce que vous lui autorisez. Le principe directeur est celui du moindre privilège : n’exposez que les abilities strictement nécessaires à votre usage. Un assistant qui rédige des brouillons n’a pas besoin du droit de supprimer des publications.

Concrètement, trois leviers protègent votre site. D’abord, l’authentification : pour un usage durable, OAuth 2.1 reste l’option la plus robuste (autorisation unique au navigateur, tokens renouvelés automatiquement) ; à défaut, privilégiez un JWT à durée de vie courte. Ensuite, le compte utilisé : créez un utilisateur WordPress dédié, avec un rôle limité, plutôt que de connecter votre compte administrateur. Enfin, le périmètre : désactivez les abilities de suppression tant que vous ne maîtrisez pas parfaitement le workflow.

Un dernier risque mérite votre vigilance : la prompt injection. Comme l’IA lit le contenu de votre site, un texte malveillant glissé dans un commentaire, un article ou une page importée pourrait tenter de lui faire exécuter une action non souhaitée. C’est précisément pour cela que la validation humaine reste indispensable : gardez les confirmations manuelles activées pour toute action d’écriture, et méfiez-vous du « toujours autoriser » sur un site dont le contenu n’est pas entièrement sous votre contrôle. Le tableau ci-dessous résume les permissions à accorder selon votre niveau de confiance.

Périmètre type d’un serveur MCP WordPress complet

MCP et la consommation de contexte

On l’a tous connu le message de Claude nous disant de revenir à telle ou telle heure car nous avons consommé tous les crédits… Et c’est un point d’attention à ne pas négliger pour la connexion MCP.

Dès la connexion, le serveur MCP charge la définition de tous ses outils dans la conversation. Or WordPress en expose beaucoup (articles, médias, taxonomies, utilisateurs, réglages, WooCommerce…). Résultat : la conversation se sature plus vite, et la facture en tokens grimpe.

La parade est simple et rejoint nos bonnes pratiques de sécurité : n’exposez que les abilities réellement utiles, désactivez le serveur MCP quand vous ne l’utilisez pas, et ne connectez qu’un site à la fois si vous en gérez plusieurs. Vous gardez ainsi des conversations fluides et une consommation maîtrisée.

Comment ça marche pour ChatGPT, Gemini et les autres IA ?

Bonne nouvelle : le MCP étant un standard ouvert, il n’est pas réservé à Claude. ChatGPT, Gemini, Perplexity, Grok ou encore Mistral savent eux aussi se connecter à un serveur MCP. La logique reste identique — authentification, abilities, validation humaine — mais la méthode de connexion diffère sur un point essentiel.

La configuration vue plus haut (le proxy lancé via npx) est propre à Claude Desktop, qui tourne en local sur votre machine. ChatGPT et Gemini, eux, ne se connectent qu’à des serveurs MCP distants, accessibles en HTTPS : impossible de pointer vers un serveur local. Pour WordPress, on ne passe donc pas par le proxy, mais directement par l’endpoint HTTP exposé par le plugin : https://votre-site.com/wp-json/wp/v2/wpmcp/streamable, avec votre clé JWT en en-tête d’autorisation.

Côté ChatGPT, l’intégration passe par le Developer Mode, disponible sur les offres payantes (Plus, Pro, Business, Enterprise) et pour l’instant sur le web uniquement. Vous ajoutez votre serveur dans Réglages > Connecteurs, validez l’authentification, puis activez les outils souhaités. Notre conseil reste le même : activez d’abord les outils en lecture seule, testez, puis n’ouvrez l’écriture qu’une fois le workflow maîtrisé.

MCP & WordPress : le début d’une nouvelle ère

Le MCP WordPress ouvre une nouvelle ère pour la gestion de site. En quelques étapes, vous connectez Claude à votre application et automatisez vos tâches. Le gain de temps est réel, et l’efficacité décolle. Chez Pilot’in, nous accompagnons les PME et ETI dans ces transformations digitales depuis 2013. Embarquez avec nous et donnez le cap à vos ambitions digitales. ⚓