Veille technique

Veille technique Bluewave

Une fois par semaine, on publie ici une note sur une actu tech qui nous a marqués. CMS, performance, sécurité, SEO. Le métier évolue vite, on essaie de rester à la page.

  1. Sécurité

    PrestaShop 9.1.1 — XSS critique back-office (CVE-2026-44212)

    PrestaShop a publié 9.1.1 le 28 avril en urgence pour patcher CVE-2026-44212 (CVSS 9.3). Un attaquant non authentifié injecte du JavaScript via le formulaire Contact public ; payload exécuté quand un employé back-office consulte le ticket client. Session hijack et prise de contrôle complète possibles. Toutes nos boutiques en maintenance sont à jour. Si vous tournez en 9.0.x ou inférieur sans contrat actif : mise à jour immédiate.

  2. Sécurité

    WordPress — Burst Statistics : auth bypass critique (200 000 sites)

    Wordfence divulgue le 8 mai une faille d'authentification bypass dans le plugin Burst Statistics (CVE-2026-8181, CVSS 9.8). N'importe qui peut impersonner un compte administrateur. Patch en 3.4.2 sorti le 12 mai. Sur les sites qu'on maintient utilisant ce plugin de stats RGPD-friendly, MAJ appliquée le jour même. Vérifiez vos installations — c'est un plugin courant en remplacement de Google Analytics.

  3. Performance

    Core Web Vitals : passage à l'évaluation site-level

    Tournant majeur acté en mars : Google n'évalue plus les Core Web Vitals page par page mais agrège sur l'ensemble du domaine. Une seule page lente plombe désormais le SEO global. INP, LCP et CLS ont le même poids. Le mobile est devenu le signal primaire, y compris pour le desktop. Sur nos audits récents, 60 % des sites WP/Prestashop passent en zone orange sur l'INP — coupable habituel : JavaScript bloquant.

  4. DevOps

    Cloudflare Dynamic Workers — V8 isolates à la volée

    Cloudflare lance les Dynamic Workers en beta ouverte : créer des V8 isolates programmatiquement à l'exécution, démarrage en millisecondes, ~2 Mo d'overhead par isolate. Sur les sites hôteliers MDCV où on utilise déjà Workers comme cache edge devant WordPress, ça ouvre la porte à de la personnalisation par visiteur sans dégrader le TTFB. À tester en POC dans les prochaines semaines.

  5. IA

    Claude Opus 4.7 — saut net sur le code agentique

    Anthropic publie Opus 4.7. Sur nos tâches internes (revues PR, génération specs ACF, refactos multi-fichiers), on observe un gain net sur les enchaînements longs et les boucles d'autocorrection vs 4.6. À noter pour ceux qui ont du tooling Claude en production : Sonnet 4 et Opus 4 sortent du SDK le 15 juin — migration vers 4.6/4.7 à planifier maintenant.

  6. DevOps

    Next.js 16.2 — Turbopack stable et dev server 87 % plus rapide

    Next.js 16.2 disponible. Dev server 87 % plus rapide qu'en 16.1, Turbopack stable et utilisé par défaut sur `next dev` et `next build`, React Compiler en GA. Sur nos projets Next (dont bluewave.fr lui-même), migration prévue en juin sur staging, juillet en prod. Gain attendu : -30 % sur le temps de build CI/CD.

  7. E-commerce

    WooCommerce 10.6 — lazy loading natif sur Product Image

    WooCommerce 10.6 sort le 10 mars : lazy loading par défaut sur le bloc Product Image, refonte UX panier/checkout (icône trash, badge prix), cache étendu aux endpoints taxes/devises/pays. Sur les catalogues 50+ produits par page, gain LCP attendu de 300 à 500 ms sur mobile. Mise à jour à planifier rapidement sur les boutiques en stack moderne.

  8. SEO

    AI Overviews Google : -47 % de clics sur les requêtes informationnelles

    Étude publiée fin 2025 confirmée en 2026 : les AI Overviews déclenchent -46,7 % de clics organiques sur 68 000 requêtes mesurées. Ils apparaissent maintenant dans 25,8 % des recherches US, 39,4 % sur les requêtes informationnelles, mais seulement 4 % sur les requêtes e-commerce. Notre angle : pousser sur les requêtes commerciales et structurer le contenu pour être cité dans l'Overview (les marques citées gagnent +35 % de clics).

Newsletter Tech mensuelle

Pour aller plus loin : recevez une fois par mois une vue d'ensemble des actus tech qu'on a couvertes, avec nos analyses approfondies. Pas de spam, désinscription en un clic.