En bref : NovaMira est un plugin WordPress gratuit et open source qui transforme ton site en serveur MCP. Claude, Cursor ou tout autre client IA compatible peut alors exécuter du PHP, lire ta base de données, modifier des fichiers et utiliser les API de tes plugins. C’est plus puissant que le MCP Adapter d’Automattic, mais c’est réservé aux environnements de dev ou de staging (jamais en production). À tester en avril 2026 si tu veux comprendre où va WordPress + IA.
L’anecdote qui m’a fait creuser le sujet
Il y a quelques semaines, je suis tombé sur une vidéo d’Alvise (l’équipe Dynamic.ooo) qui construit un catalogue de films complet dans WordPress en parlant à Claude. Pas un brouillon. Un vrai Custom Post Type, des champs ACF, une page d’accueil avec query loop, des données de test. Aucune ligne de code écrite à la main.
Le truc que je ne comprenais pas, c’était comment Claude pouvait faire tout ça. J’avais déjà testé le MCP Adapter officiel d’Automattic pour gérer des articles depuis Claude Desktop (sympa pour publier un brouillon, basique pour le reste). Là, on était sur autre chose.
L’outil derrière, c’est NovaMira. Et si tu fais du WordPress sérieusement, ou si tu formes des gens à WordPress comme moi, c’est un sujet qu’il faut regarder maintenant.
NovaMira en bref
NovaMira, c’est un plugin WordPress gratuit publié en open source par Dynamic.ooo (l’éditeur italien derrière Dynamic Content for Elementor). Le projet est sur GitHub, le téléchargement passe par novamira.ai.
Ce que fait le plugin une fois activé : il transforme ton site WordPress en serveur MCP (Model Context Protocol). À partir de là, n’importe quel client IA compatible MCP, Claude Desktop, Claude Code, Cursor, VS Code, Windsurf, Zed, Gemini CLI, peut se connecter à ton WordPress et l’utiliser comme un environnement de travail complet.
La différence avec les autres solutions, c’est la philosophie. Un MCP serveur classique propose un menu fixe d’actions à l’IA (« voici les 10 choses que tu peux faire »). NovaMira lui donne accès à PHP, qui tourne à l’intérieur de WordPress. Si PHP peut le faire, Claude peut le faire.
MCP, Claude, WordPress : les briques en 2 minutes
Si tu suis l’écosystème depuis quelques mois, tu peux sauter cette section. Pour les autres, voici les pièces du puzzle.
MCP (Model Context Protocol) est un standard ouvert créé par Anthropic en novembre 2024 et géré aujourd’hui par la Linux Foundation. C’est le protocole qui permet à une IA de parler à des outils externes : ton CRM, ton CMS, ton analytics, ton GitHub. OpenAI l’a adopté en mars 2025. Plus de 16 000 serveurs MCP existent dans l’écosystème en 2026.
Un client MCP, c’est l’application IA côté utilisateur (Claude Desktop, Claude Code, Cursor…). Un serveur MCP, c’est le pont qui expose des outils à l’IA (un compte Asana, un site WordPress, une base Postgres…).
WordPress 6.9 a introduit l’Abilities API : une façon native d’enregistrer des fonctions auto-documentées qu’une IA peut découvrir. Le MCP Adapter officiel (publié par WordPress.org en février 2026) convertit ces abilities en outils MCP.
NovaMira se branche sur cette infrastructure mais fait un pas de plus : il expose 8 primitives qui donnent à l’IA un accès complet à PHP et au système de fichiers, pas juste aux abilities déclarées.
Pourquoi connecter Claude à WordPress via NovaMira
Si ton seul besoin est de publier des brouillons depuis Claude ou de générer un texte pour une page, tu n’as pas besoin de NovaMira. Le MCP Adapter d’Automattic suffit largement, et le connecteur officiel de WordPress.com est encore plus simple à mettre en place.
NovaMira sert à autre chose. Voilà les cas où ça change vraiment quelque chose.
Tu fais du dev WordPress. Tu écris des plugins, tu maintiens des thèmes, tu travailles sur des installations clientes complexes. Claude peut analyser le code en place, tester des snippets contre la vraie base de données, créer des fichiers, les désactiver s’ils plantent. Tu gagnes des heures sur les tâches répétitives (migrations meta vers ACF, refactoring, audits).
Tu gères du WooCommerce. Tu peux demander à Claude de créer des fonctionnalités personnalisées, sélecteurs de date au checkout, dashboards de stock, recommandations croisées, sans coder à la main. La démo officielle montre 5 features WooCommerce construites uniquement par prompt.
Tu fais des audits de sécurité. Tu pointes Claude sur un site staging, tu lui demandes de chercher les utilisateurs admin par défaut, les versions PHP obsolètes, les options sensibles laissées actives, et il te sort un rapport HTML avec les actions à mener.
Tu construis des sites complets. Custom Post Types, champs ACF, blocs Gutenberg ACF, templates, données de test : Claude peut tout générer en série depuis une conversation.
Tu formes des développeurs ou des intégrateurs WordPress. Et là je parle pour moi. NovaMira sur un environnement local DDEV, c’est un cas pédagogique en or pour montrer ce qu’un agent IA peut vraiment faire dans un CMS.
NovaMira vs MCP Adapter vs WordPress.com Connector
C’est le tableau qu’aucun article francophone ne propose et qui aide vraiment à choisir.
| Critère | NovaMira | MCP Adapter (Automattic) | Connecteur WordPress.com |
|---|---|---|---|
| Plateforme | WordPress.org auto-hébergé | WordPress.org auto-hébergé | WordPress.com (plans payants) |
| Niveau d’accès | Exécution PHP complète + filesystem | Abilities déclarées (limité) | Lecture/écriture via API REST WP |
| Configuration | Plugin + Application Password + config JSON client | Plugin MCP Adapter + plugin d’abilities + JWT | OAuth 2.1 dans les réglages Claude |
| Nombre d’outils | 8 primitives (mais accès PHP brut) | Variable selon abilities installées | Outils MCP officiels WordPress.com |
| Cible | Devs WP, agences, formateurs | Devs WP qui veulent des outils contrôlés | Utilisateurs WordPress.com |
| Production | Interdit (dev/staging seulement) | Possible avec abilities bien scopées | Oui, intégration officielle |
| Open source | Oui (GitHub) | Oui (WordPress.org) | Non (service hébergé) |
| Risque | Élevé (full access) | Modéré (selon abilities) | Faible (OAuth scoped) |
| Prix | Gratuit (Pro à 49 €/an) | Gratuit | Plan payant WordPress.com |
Comment choisir ? Si tu es sur WordPress.com, tu prends le connecteur officiel, c’est plié. Si tu veux une intégration sécurisée et déterministe sur ton WordPress.org, MCP Adapter + un plugin d’abilities (genre wordpress-wae qui en propose 45). Si tu veux que l’IA travaille comme un développeur dans ton site, en lisant tout, en testant tout, en construisant des features sur mesure, c’est NovaMira (et seulement en dev/staging).
Les risques
NovaMira est puissant, et la puissance vient avec une responsabilité réelle.
NovaMira donne à l’IA les pleins pouvoirs
Quand tu actives le plugin et que tu connectes Claude, ce que l’IA peut faire :
- Exécuter n’importe quel code PHP dans ton WordPress
- Modifier ta base de données via
$wpdb - Éditer ton
wp-config.php - Supprimer des fichiers
- Modifier les options WordPress
- Lire tous tes contenus, tous tes utilisateurs, tous tes mots de passe hashés
La doc officielle est claire : « Full access. Full responsibility. » Tu choisis le modèle d’IA, tu fournis la clé API, tu relis chaque action avant de l’appliquer si elle est sensible.
Jamais en production, vraiment
Cette règle n’est pas un vœu pieux. Un mauvais prompt peut casser ton site, vider une table, écraser un fichier critique. NovaMira intègre un sandbox pour les nouveaux fichiers PHP créés par l’IA (avec recovery automatique en cas d’erreur fatale), mais l’exécution PHP directe et les modifications de base de données ne sont pas sandboxées.
Concrètement : tu travailles sur un staging, ou un environnement local (DDEV, LocalWP, Lando), ou un site de test InstaWP. Jamais sur un site qui sert de vrais visiteurs.
Backup obligatoire avant chaque session
Sauvegarde complète (fichiers + base) avant de connecter l’IA. Si tu utilises Kinsta ou WP Engine, tu as des snapshots en un clic. Sinon, UpdraftPlus ou WP Vivid font le job. Pas de backup, pas de NovaMira.
Le sandbox PHP n’est pas une garantie de sécurité
L’équipe NovaMira est honnête sur ce point dans sa documentation sécurité : le sandbox empêche un fichier qui plante de casser le site, mais Execute PHP peut bypasser les restrictions filesystem. C’est une protection contre les bugs, pas contre une intention malveillante. Si tu connectes un prompt vérolé ou si tu laisses l’accès ouvert à des tiers, tu as un problème.
Application Password à révoquer après chaque session importante
L’authentification passe par les Application Passwords natifs WordPress (depuis 5.6). Tu en crées un dédié, tu le copies dans ta config Claude, tu travailles, et tu le révoques quand tu as fini la session de dev importante. Ça prend 10 secondes dans Utilisateurs > Profil et c’est une habitude qui évite des galères.
Comment installer et connecter Claude à WordPress avec NovaMira
Voici la procédure complète testée pour Claude Desktop. Pour les autres clients (Cursor, VS Code, Windsurf), la logique est la même, c’est juste le chemin du fichier de config qui change.
Prérequis
- WordPress 6.9 minimum
- Un environnement de dev ou staging (jamais ton site de prod)
- HTTPS activé (obligatoire pour les Application Passwords, sauf en local avec un workaround)
- Node.js installé sur ta machine (pour le proxy
npx) - Compte administrateur WordPress
- Un backup à jour
- Claude Desktop installé (ou Claude Code, Cursor, etc.)
Étape 1 : installer le plugin
Tu télécharges le plugin sur novamira.ai. Dans ton admin WordPress, Extensions, Ajouter, Téléverser. Tu activates.
Un nouveau menu NovaMira apparaît dans l’admin. Tu vas dans NovaMira > Réglages et tu actives les AI Abilities. Sans cette case cochée, rien ne fonctionne.
Étape 2 : créer un Application Password
Tu vas dans NovaMira > Connect. Dans la section Application Passwords, tu donnes un nom à ta clé (par exemple « Claude Desktop staging » pour bien savoir à quoi elle sert).
Tu cliques sur Create New Application Password. Le mot de passe généré ressemble à ça : xxxx xxxx xxxx xxxx xxxx xxxx. Tu le copies tout de suite, il ne sera plus jamais affiché. Tu le mets dans ton gestionnaire de mots de passe, pas dans un fichier texte qui traîne.
Étape 3 : configurer Claude Desktop
Tu ouvres Claude Desktop. Tu vas dans Réglages > Développeur > Modifier la configuration. Ça ouvre le fichier claude_desktop_config.json.
Sur Mac : ~/Library/Application Support/Claude/claude_desktop_config.json
Sur Windows : %APPDATA%\Claude\claude_desktop_config.json
Tu ajoutes le bloc suivant (en remplaçant les valeurs par les tiennes) :
{
"mcpServers": {
"novamira": {
"command": "npx",
"args": ["-y", "@automattic/mcp-wordpress-remote@latest"],
"env": {
"WP_API_URL": "https://mon-site-staging.fr/wp-json/mcp/mcp-adapter-default-server",
"WP_API_USERNAME": "ton-username-wp",
"WP_API_PASSWORD": "xxxx xxxx xxxx xxxx xxxx xxxx"
}
}
}
}Tu sauvegardes le fichier. Tu fermes complètement Claude Desktop (clic droit sur l’icône, Quitter, pas juste fermer la fenêtre) et tu relances.
Étape 4 : tester la connexion
Dans Claude, tu tapes une demande simple :
Liste les plugins installés sur mon WordPress.
Si la connexion fonctionne, Claude utilise l’outil Execute PHP, exécute get_option('active_plugins') et te sort la liste. Si ça plante, les causes les plus fréquentes : Application Password mal collé (attention aux espaces), AI Abilities pas activées dans les réglages NovaMira, Node.js pas installé, Claude pas redémarré complètement.
Les 8 outils que Claude peut utiliser via NovaMira
NovaMira expose 8 primitives. C’est volontairement minimaliste : à partir de ces briques, l’IA construit tout le reste.
- Execute PHP : exécute n’importe quel code PHP dans le runtime WordPress (avec un timeout de 30 secondes)
- Read File : lit un fichier dans l’installation WordPress
- Write File : crée ou écrase un fichier (les nouveaux PHP atterrissent dans un sandbox)
- Edit File : modifie une partie d’un fichier existant
- Delete File : supprime un fichier
- Disable File : désactive un fichier sandbox sans le supprimer (kill switch)
- Enable File : réactive un fichier sandbox désactivé
- List Directory : explore l’arborescence du site
Le plus puissant reste Execute PHP. Avec lui, Claude peut appeler wc_get_orders() pour analyser tes commandes WooCommerce, get_field() pour lire tes ACF, $wpdb->query() pour faire ce que tu veux dans la base.
5 cas d’usage concrets
Voici des prompts réels qui fonctionnent une fois la connexion établie. À recopier tel quel et à adapter.
Audit de sécurité complet
Effectue un audit de sécurité complet de ce site WordPress.
Vérifie : la version WP et PHP, les plugins obsolètes,
les utilisateurs avec des rôles inadaptés, WP_DEBUG_DISPLAY,
l'édition de fichiers activée, les permissions de fichiers.
Génère un rapport HTML dans le sandbox.Ce que Claude fait derrière : il lit wp-config.php, interroge get_users(), vérifie get_option('active_plugins'), compare aux versions actuelles, et te sort un fichier HTML lisible.
Hardening de sécurité en une phrase
Désactive WP_DEBUG_DISPLAY, désactive l'édition de fichiers
depuis le tableau de bord, renomme l'utilisateur "admin" en
"site-admin", et rétrograde tous les administrateurs
non-essentiels au rôle Éditeur.Quatre actions en chaîne, exécutées en quelques secondes. À tester d’abord sur staging.
Migration meta vers ACF
Audite tous les posts de type 'property' et liste les meta_keys
utilisés. Crée ensuite les groupes de champs ACF correspondants
et migre les données existantes vers les nouveaux champs ACF.Tâche que je facturerais 4 à 6 heures à un client. NovaMira la fait en 20 minutes.
Section « Racheter » WooCommerce
Crée un shortcode buy_again_section qui affiche les 5 derniers
produits commandés par le client connecté, avec image et lien
vers la fiche produit. Ajoute un bouton "Racheter".Claude génère le shortcode, le sauvegarde dans le sandbox, l’active. Tu le testes, et s’il plante NovaMira le désactive automatiquement.
Construction d’un site complet en conversation
J'ai besoin d'un catalogue de films sur ce WordPress.
Crée le CPT "movie", avec les champs ACF suivants : titre,
réalisateur, année, genre (taxonomy), note (1 à 5), poster.
Génère 30 films de test. Crée une page d'accueil avec un
query loop filtrable par genre et par note.Tout est généré, importé, mis en page. Si tu fais des formations WordPress, c’est aussi un excellent outil pour préparer des supports avec du contenu réaliste en quelques minutes.
NovaMira Free vs Pro
La version gratuite donne tout ce qu’il faut pour faire du vrai travail (les 8 primitives, exécution PHP complète, sandbox, recovery). Tu n’as pas besoin de payer pour démarrer.
NovaMira Pro est en beta en avril 2026 et ajoute trois choses utiles :
- Mémoire persistante entre sessions : ton agent retient les conventions du projet (couleurs, fonts, conventions de nommage), tu n’as pas à re-briefer à chaque ouverture de Claude
- Skills library : compétences réutilisables invocables par nom (genre « Skill: Audit SEO complet »)
- Expertise Elementor et Bricks : connaissance fine des structures internes de ces builders, pour faire générer des templates qui marchent vraiment
Les prix de lancement (avril 2026) sur novamira.ai/pricing :
- Personal (3 sites) : 49 €/an (prix promo, normal 69 €)
- Agency (1000 sites) : 99 €/an (prix promo, normal 149 €)
- Agency Lifetime (1000 sites) : 199 € one-time (normal 299 €)
Mon avis : si tu fais du dev WordPress sur Elementor ou Bricks de façon récurrente, le plan Personal à 49 € se rentabilise sur la première mission. Si tu utilises NovaMira pour t’auto-former ou pour des cas ponctuels, la version gratuite suffit.
FAQ
Oui, NovaMira Free est open source et téléchargeable sur novamira.ai et GitHub sans inscription. NovaMira Pro est payant (49 à 199 €) et ajoute mémoire persistante, skills et expertise Elementor/Bricks.
Non. La doc officielle est explicite : NovaMira est conçu pour les environnements de développement ou staging. L’IA a un accès PHP complet à ton site, et un mauvais prompt peut casser des choses irréversiblement. Sur ton site live, tu utilises plutôt le MCP Adapter d’Automattic avec des abilities scopées.
Tous les clients compatibles MCP : Claude Desktop, Claude Code, Cursor, VS Code (avec Copilot), Windsurf, Zed, OpenCode, Antigravity, Gemini CLI, Cline, Continue. La page Connect du plugin génère la config JSON pour chacun.
WordPress MCP (déprécié au profit du MCP Adapter depuis fin 2025) expose des fonctions WordPress prédéfinies à l’IA via l’API REST. NovaMira va plus loin : il donne à l’IA un accès PHP brut au runtime WordPress et au système de fichiers. Plus puissant, plus risqué, et donc réservé aux environnements de test.
Non, mais ça aide énormément pour relire ce que Claude fait avant de valider. Si tu ne sais pas du tout coder, tu prendras tout ce que l’IA produit pour argent comptant, et c’est précisément ce qu’il ne faut pas faire avec un outil qui a un accès complet au site.
Non. NovaMira est un plugin qui tourne sur ton serveur. Ton client IA se connecte directement à ton site WordPress via MCP. Aucune donnée ne transite par les serveurs de Dynamic.ooo. Le seul tiers impliqué, c’est l’éditeur du modèle d’IA que tu utilises (Anthropic pour Claude, par exemple).
Première installation complète : 30 à 45 minutes (téléchargement, activation, config JSON, premier test). Une fois que tu as fait la procédure une fois, c’est 5 à 10 minutes pour connecter un nouveau site.
Trois risques à garder en tête en permanence : utilisation accidentelle en production (catastrophique), prompt mal formulé qui détruit des données (récupérable avec un backup), Application Password non révoqué qui traîne dans une config (à révoquer dès la fin de la session).
Sources et ressources officielles
- novamira.ai : site officiel, téléchargement, documentation
- novamira.ai/security : guide complet des garde-fous
- novamira.ai/docs/getting-started/connecting/ : doc connexion clients IA
- GitHub use-novamira/novamira : code source open source
- WordPress Abilities API : doc officielle WP 6.9
- WordPress MCP Adapter : article officiel WP
- Dynamic.ooo NovaMira : article de l’équipe créatrice
- WordPress.com Connecteur Claude : alternative WordPress.com
Article publié le 29 avril 2026. NovaMira Pro est en beta et les fonctionnalités peuvent évoluer. Toujours utiliser le plugin sur des environnements de développement ou de staging avec sauvegardes à jour.
Cet article a été créé en collaboration avec une IA
