JP
Colin Jean-Patrick
Développeur Web Freelance
WordPress 4 min de lecture

Auditer un site WordPress client côté sécurité, performance et SEO

#wordpress#audit#maintenance

Checklist d'audit WordPress pour reprendre un site client: extensions, thème, sécurité, performance, SEO, sauvegardes et plan de maintenance.

Sommaire

Auditer un site WordPress client côté sécurité, performance et SEO

Un audit WordPress client doit être concret. Le but n'est pas de produire un rapport de trente pages pour impressionner, mais d'identifier ce qui peut casser, ralentir le site, bloquer le référencement ou compliquer la maintenance.

Ce guide propose une checklist de reprise pour un site vitrine, éditorial ou e-commerce léger.

Objectif

À la fin de l'audit, vous devez savoir:

  • si WordPress, le thème et les extensions sont maintenables;
  • si le site a des risques de sécurité immédiats;
  • si les performances sont acceptables;
  • si le SEO technique bloque l'indexation;
  • quelles actions prioriser.

1. Inventaire technique

Commencez par lister:

  • version WordPress;
  • version PHP;
  • thème actif;
  • thème enfant éventuel;
  • extensions actives;
  • extensions inactives;
  • hébergement;
  • cache serveur;
  • sauvegardes.

Avec WP-CLI:

wp core version
wp plugin list
wp theme list
wp option get siteurl
wp option get home

Supprimez rarement dès le premier passage. Notez d'abord l'usage réel de chaque extension.

2. Extensions

Les plugins sont souvent la source principale de dette WordPress.

À vérifier:

  • extension abandonnée;
  • extension premium sans licence;
  • doublons fonctionnels;
  • plugin de sécurité mal configuré;
  • plugin SEO concurrent;
  • builder lourd pour peu de contenu;
  • extensions inactives encore présentes.

Classez les extensions:

Indispensable
Remplaçable
À supprimer
À surveiller

Une bonne maintenance WordPress commence souvent par réduire le nombre de dépendances.

3. Thème et code spécifique

Inspectez le thème actif:

find wp-content/themes/mon-theme -maxdepth 2 -type f

Regardez:

  • fonctions dans functions.php;
  • templates copiés depuis un parent;
  • requêtes personnalisées;
  • appels directs SQL;
  • shortcodes maison;
  • scripts chargés partout;
  • styles inline excessifs.

Si le site dépend d'un thème enfant, vérifiez que le thème parent est encore maintenu.

4. Sécurité

Contrôlez les bases:

  • comptes administrateurs;
  • mots de passe faibles;
  • XML-RPC si inutile;
  • édition de fichiers depuis l'admin;
  • permissions fichiers;
  • sauvegardes;
  • formulaire de contact;
  • anti-spam;
  • mises à jour automatiques.

Dans wp-config.php:

define('DISALLOW_FILE_EDIT', true);

Vérifiez aussi que les clés de sécurité WordPress existent et ne sont pas celles d'un exemple.

5. Performance

Un audit rapide peut déjà repérer les gros problèmes:

  • images trop lourdes;
  • absence de cache page;
  • CSS/JS chargés inutilement;
  • police externe bloquante;
  • base de données encombrée;
  • autoload options trop volumineux.

Avec WP-CLI:

wp option list --autoload=on --format=csv

Si le site est lent, commencez par images, cache, requêtes et plugins lourds. Ne partez pas directement dans une refonte.

6. SEO technique

Vérifiez:

  • title unique;
  • meta description;
  • canonical;
  • sitemap XML;
  • robots.txt;
  • pages noindex involontaires;
  • redirections;
  • erreurs 404;
  • H1 unique;
  • maillage interne.

Commandes simples:

curl -I https://example.com/
curl https://example.com/robots.txt
curl https://example.com/sitemap.xml

Dans l'admin, vérifiez aussi les réglages de visibilité: une case "Demander aux moteurs de recherche de ne pas indexer ce site" oubliée suffit à ruiner le référencement.

7. Contenus et médias

Un site client contient souvent des médias inutiles ou mal nommés.

À regarder:

  • images sans texte alternatif;
  • PDFs énormes;
  • fichiers nommés image-1.jpg;
  • anciennes pages brouillon;
  • catégories vides;
  • tags inutiles indexables;
  • contenus dupliqués.

Pour un site vitrine, la qualité éditoriale compte autant que le code.

8. Sauvegarde et restauration

Une sauvegarde non testée est une hypothèse.

Vérifiez:

  • fréquence;
  • stockage externe;
  • base + fichiers;
  • durée de rétention;
  • procédure de restauration;
  • accès aux sauvegardes.

Avant une intervention sensible, faites une sauvegarde complète et testez au moins la restauration en local ou staging.

9. Plan d'action

Produisez une synthèse courte:

Critique:
- WordPress et plugins obsolètes.
- Aucun backup externe vérifié.

Important:
- Images trop lourdes.
- Sitemap absent.
- Plugins doublons.

Confort:
- Nettoyage médias.
- Documentation de maintenance.

Un audit utile doit permettre de décider quoi faire cette semaine, pas seulement quoi penser du site.

Conclusion

Auditer un site WordPress client, c'est sécuriser la suite: maintenance, SEO, performance et évolutions.

La bonne approche est progressive: inventaire, risques critiques, corrections rapides, puis amélioration continue. Un site WordPress bien maintenu peut rester fiable longtemps, à condition de garder les dépendances sous contrôle et de documenter les décisions.

← Retour aux tutoriels