Les mises à jour de sécurité doivent être appliquées rapidement, idéalement dans les 48 à 72 heures suivant leur publication, après une vérification de compatibilité. Les mises à jour courantes des extensions et du thème se planifient au moins une fois par mois, et les montées de version majeures du CMS après une phase de test de quelques jours à deux semaines, pour éviter les incompatibilités.
Cette cadence s'explique par le fonctionnement des attaques : lorsqu'un éditeur publie un correctif, il décrit la faille qu'il corrige, information aussitôt intégrée par les outils d'attaque automatisés. Le délai entre la publication du correctif et son application est donc une fenêtre de risque : plus il est court, mieux le site est protégé.
Toute la chaîne doit suivre, pas seulement le cœur du CMS : les extensions tierces (formulaires, galeries, modules) sont souvent le maillon faible, tout comme la version de PHP côté serveur, dont les fins de support imposent des migrations régulières.
Le point clé n'est pas seulement la fréquence, mais la régularité et la prudence : une mise à jour appliquée sans sauvegarde ni test peut casser un site. Un suivi maîtrisé combine réactivité sur la sécurité et vérification à chaque étape — c'est le principe d'un contrat de maintenance web.