Audit WordPress : 13 points de contrôle (avec un cas réel)

Quinze minutes. C’est le temps qu’il faut pour savoir si votre site WordPress est en bonne santé, ou s’il accumule des problèmes depuis des mois sans que vous le sachiez.

Je m’appelle Fabrice Ducarme. Je forme des professionnels sur WordPress depuis 2012, j’ai co-créé WPS Hide Login (2 millions d’installations), et j’ai audité des dizaines de sites ces dernières années. À chaque session de formation, la même scène se répète : quelqu’un lève la main et dit "mon site tourne, mais j’ai l’impression que quelque chose cloche". Souvent, ils ont raison. Un site qui "tourne" n’est pas forcément un site qui fonctionne bien.

La semaine dernière, j’ai audité un e-commerce WooCommerce. Score PageSpeed mobile : 40/100. 45 plugins actifs. 1 300 faux comptes créés en deux mois. Un fichier phpinfo.php accessible publiquement (pour un attaquant, c’est une mine d’or). Et le propriétaire ne s’en doutait pas.

Voici les 13 points que je vérifie en priorité. Les 10 premiers, n’importe qui peut les faire. Les 3 derniers, c’est ce qui fait la différence entre un check-up basique et un vrai audit.

Les 10 points de contrôle accessibles à tous

Point 1 : La vitesse de chargement (2 minutes)

C’est le point de départ. Un site lent perd des visiteurs avant même qu’ils aient vu votre contenu. Google pénalise les sites lents depuis le déploiement des Core Web Vitals comme facteur de classement.

Comment vérifier : Allez sur PageSpeed Insights (gratuit, de Google). Entrez l’URL de votre page d’accueil. Attendez 30 secondes.

Seuil acceptable : Score mobile supérieur à 50. Au-dessus de 70, c’est bien. En dessous de 50, il y a un problème réel à régler. Parmi les métriques clés, le LCP (Largest Contentful Paint) doit être sous 2,5 secondes et le CLS (Cumulative Layout Shift) sous 0,1.

Action corrective : Un score faible vient presque toujours de trois suspects : des images trop lourdes (pas compressées), un thème lourd avec trop de scripts, ou l’absence de plugin de cache. Un plugin comme LiteSpeed Cache peut faire passer un score de 40 à 80 en 20 minutes de configuration.

Point 2 : Le test mobile (1 minute)

Plus de 60% du trafic web est sur mobile. Si votre site s’affiche mal sur téléphone, vous perdez des visiteurs et du référencement. Google indexe en priorité la version mobile depuis 2023, avec un déploiement complet du Mobile First Indexing en juillet 2024.

Comment vérifier : Ouvrez votre site sur votre téléphone en navigation privée. Vérifiez que les textes sont lisibles sans zoomer, que les boutons sont cliquables sans précision chirurgicale, et que rien ne dépasse de l’écran. Ensuite, vérifiez le score mobile dans PageSpeed Insights (c’est le même outil que le point 1, onglet Mobile).

Seuil acceptable : Pas de texte coupé, pas de bouton inaccessible, score PageSpeed mobile > 50.

Action corrective : Les problèmes classiques (texte trop petit, boutons trop proches, contenu qui déborde) viennent généralement d’un thème mal configuré ou de blocs mal construits. Testez sur votre propre téléphone, pas seulement dans les outils automatiques.

Point 3 : Le certificat SSL (30 secondes)

Ouvrez votre navigateur. Tapez l’URL de votre site. Regardez la barre d’adresse. Vous voyez un cadenas ? L’adresse commence par https:// ? Bien. Sinon, c’est un problème sérieux, et visible par tous vos visiteurs.

Seuil acceptable : HTTPS actif, cadenas affiché, aucun avertissement "non sécurisé".

Action corrective : Tous les hébergeurs sérieux proposent un certificat SSL gratuit (Let’s Encrypt). Activez-le depuis votre panneau d’hébergement. Ensuite, dans WordPress, vérifiez que l’URL du site (Réglages > Général) commence bien par https://. Et attention au piège : avoir HTTPS activé mais des liens internes en HTTP. Google voit ça.

Point 4 : Les mises à jour en attente (2 minutes)

WordPress, c’est du logiciel. Et tout logiciel qui n’est pas à jour est un logiciel vulnérable. Selon Patchstack (rapport 2025), 96% des failles WordPress viennent des plugins, 4% des thèmes, et moins de 1% du coeur. Pas du core. Des plugins.

Comment vérifier : Connectez-vous à votre tableau de bord WordPress. Allez dans Tableau de bord > Mises à jour. Comptez les mises à jour en attente.

Seuil acceptable : Zéro mise à jour en retard. Ou au maximum quelques jours de décalage (le temps de tester avant d’appliquer).

Action corrective : Faites une sauvegarde (voir point 10), puis appliquez les mises à jour. L’ordre compte : plugins et thème en premier, WordPress core en dernier. Pour un guide complet, lisez cet article sur comment mettre à jour WordPress sans tout casser.

Point 5 : Les plugins inutilisés (2 minutes)

Chaque plugin désactivé mais présent sur votre serveur, c’est du code mort qui peut contenir des failles. Désactivé ne signifie pas inactif : un plugin désactivé peut quand même exposer des fichiers vulnérables.

Comment vérifier : Extensions > Extensions installées. Filtrez par "inactives". Regardez ce qui traîne.

Seuil acceptable : Zéro plugin désactivé que vous n’utilisez pas activement. Si un plugin est désactivé depuis plus d’un mois, supprimez-le. Et pendant que tu y es : la qualité des plugins compte plus que le nombre. 15 plugins bien codés valent mieux que 8 extensions mal maintenues. Au-delà de 25, les risques de conflits et de lenteur augmentent sérieusement.

Action corrective : Supprimez les plugins inutiles. Pas juste désactiver : supprimer. Voici comment désinstaller un plugin WordPress proprement. Et pour un nettoyage global, l’article sur nettoyer et optimiser WordPress détaille la méthode complète.

Point 6 : Les erreurs 404 (2 minutes)

Une erreur 404, c’est une page que Google a indexée (ou qu’un autre site a référencée) mais qui n’existe plus. Chaque 404 est une perte : perte de visiteur, perte de "jus SEO", perte de confiance.

Comment vérifier : Deux options gratuites. La Google Search Console (Pages > Non indexées > "Introuvable (404)") ou le plugin Redirection qui logue toutes les 404 en temps réel.

Seuil acceptable : Idéalement zéro. En pratique, quelques 404 sur des URLs aléatoires (tentatives de scan de bots) c’est normal. Mais des 404 sur des URLs qui ont reçu du trafic, ce n’est pas acceptable.

Action corrective : Pour chaque 404 identifiée, crée une redirection 301 vers la page la plus pertinente.

Point 7 : Le sitemap XML (1 minute)

Le sitemap, c’est la carte que vous envoyez à Google pour lui dire "voici toutes mes pages, viens les indexer". Sans sitemap soumis à la Search Console, Google peut mettre des semaines à découvrir vos nouvelles pages.

Comment vérifier : Tapez dans votre navigateur : votre-site.com/sitemap.xml ou votre-site.com/sitemap_index.xml. Si vous voyez un fichier XML, c’est bon. Ensuite, vérifiez qu’il est bien soumis dans la Google Search Console.

Action corrective : Si tu utilises Yoast, SEOPress ou RankMath, ton sitemap est probablement déjà généré automatiquement. Il suffit de le soumettre à la Search Console. Si tu n’as aucun plugin SEO, c’est l’occasion d’en installer un. Pour choisir, voici la comparaison : SEOPress, Yoast ou RankMath.

Point 8 : Les balises titre et méta descriptions (2 minutes)

Chaque page de votre site doit avoir un titre SEO unique et une méta description. Ce sont les deux éléments qui apparaissent dans les résultats Google. Ils n’influencent pas directement le classement, mais influencent massivement le taux de clics.

Comment vérifier : Sur votre page d’accueil et vos 3-4 pages principales, vérifiez que le bloc SEO (Yoast, SEOPress ou RankMath) affiche un titre et une méta description remplis, sans alerte rouge.

Seuil acceptable : Toutes les pages importantes ont un titre entre 50 et 60 caractères, une méta description entre 120 et 155 caractères, et pas de doublons.

Action corrective : Si tu as 50 pages à remplir, commence par les 10 qui génèrent le plus de trafic. L’effet est immédiat sur les clics. Pour aller plus loin sur la stratégie SEO globale, le guide SEO WordPress couvre tout ce qu’il faut savoir.

Point 9 : Mentions légales et RGPD (1 minute)

Votre site collecte-t-il des données personnelles ? Google Analytics, un formulaire de contact, une newsletter ? Si oui, vous êtes soumis au RGPD. Et vous devez l’afficher clairement.

Comment vérifier : Cherchez dans votre menu ou pied de page un lien "Mentions légales" et un lien "Politique de confidentialité". Au chargement du site, une bannière de consentement aux cookies doit apparaître (si vous utilisez des cookies tiers).

Seuil acceptable : Mentions légales accessibles depuis chaque page. Bannière cookies fonctionnelle. Politique de confidentialité si vous collectez des emails.

Action corrective : Si votre page de mentions légales n’existe pas ou est vide, c’est urgent. Légalement urgent. Pour savoir quoi y mettre, lisez l’article sur les mentions légales WordPress.

Point 10 : Les sauvegardes automatiques (1 minute)

Le dernier point de la checklist classique. Le plus important, peut-être. Parce que tous les autres problèmes de cette liste sont réparables, à condition d’avoir une sauvegarde récente.

J’ai vu des sites partir à la poubelle à cause d’une mise à jour qui a tout cassé, sans sauvegarde. Des années de contenu, disparus.

Comment vérifier : Allez dans votre plugin de sauvegarde (UpdraftPlus, BackWPup, ou l’outil de votre hébergeur). Regardez la date de la dernière sauvegarde réussie.

Seuil acceptable : Une sauvegarde complète (fichiers + base de données) de moins de 7 jours. Idéalement quotidienne si votre site est actif. Et stockée ailleurs que sur votre serveur (Google Drive, Dropbox, S3…).

Action corrective : Si tu n’as pas de système de sauvegarde automatique, installe UpdraftPlus (gratuit, fiable). Configure une sauvegarde hebdomadaire minimum vers un stockage distant. Et teste une restauration de temps en temps : une sauvegarde que tu n’as jamais restaurée, tu ne sais pas si elle fonctionne. Pour aller plus loin, voici le guide complet sur les sauvegardes WordPress.

3 vérifications que seul un expert WordPress fait

Les 10 points précédents, tout le monde les connaît. Voici 3 vérifications que j’intègre systématiquement dans mes audits et qu’on retrouve rarement dans les checklists WordPress francophones (plutôt dans des tutoriels techniques isolés).

Point 11 : La table wp_options et l’autoload (2 minutes)

C’est le point que personne ne vérifie. Et pourtant, c’est souvent la cause numéro 1 de lenteur sur un WordPress qui a plus de 2 ans.

La table wp_options est la table de configuration centrale de WordPress. Chaque plugin y stocke ses réglages. Le problème : beaucoup de plugins marquent leurs données en "autoload", ce qui signifie qu’elles sont chargées à chaque requête, même quand elles ne servent pas. Un plugin désinstallé peut laisser des centaines de lignes derrière lui.

Comment vérifier : Si vous avez accès à phpMyAdmin (votre hébergeur le propose), exécutez cette requête :

SELECT SUM(LENGTH(option_value)) AS autoload_size
FROM wp_options
WHERE autoload = 'yes';

(Remplacez wp_options par votre préfixe de table si vous l’avez personnalisé.)

Seuil acceptable :

• Moins de 900 Ko : sain (c’est le seuil utilisé par WP-CLI)
• 900 Ko à 3 Mo : à surveiller
• Plus de 3 Mo : problème réel, impact direct sur le TTFB

Action corrective : Identifie les options les plus lourdes avec cette deuxième requête :

SELECT option_name, LENGTH(option_value) AS size
FROM wp_options
WHERE autoload = 'yes'
ORDER BY size DESC
LIMIT 20;

Les coupables habituels : des transients expirés, des logs de plugins désinstallés, des caches de configurations obsolètes. Le plugin WP-Optimize peut nettoyer ça proprement.

Point 12 : La surface d’attaque REST API (1 minute)

WordPress expose une API REST par défaut. C’est utile pour les développeurs. C’est aussi une porte d’entrée pour les attaquants si elle n’est pas verrouillée.

Comment vérifier : Tapez dans votre navigateur : votre-site.com/wp-json/. Vous allez voir la liste de tous les "namespaces" (endpoints) exposés. Maintenant, testez : votre-site.com/wp-json/wp/v2/users. Si vous voyez une liste d’utilisateurs avec leurs identifiants… c’est la moitié des credentials nécessaires pour un brute force.

Seuil acceptable : L’endpoint /wp/v2/users doit retourner une erreur 401 ou 403, pas une liste d’utilisateurs. Les namespaces inutiles (oembed, etc.) devraient être désactivés.

Action corrective : Attention à une confusion courante : WPS Hide Login change uniquement l’URL de connexion wp-login.php, il ne restreint pas l’API REST. Pour verrouiller l’endpoint users, tu as deux options. La plus simple : un filtre PHP dans ton functions.php ou un mu-plugin.

La plus rapide : un plugin dédié comme Disable WP REST API qui bloque l’accès aux visiteurs non connectés. Sur mon propre site, j’ai un mu-plugin qui filtre les namespaces exposés et retourne un 404 sur /wp/v2/users. C’est la première chose que j’ai verrouillée. Pour aller plus loin sur la sécurité WordPress, j’ai détaillé les rappels essentiels.

Point 13 : La visibilité IA de votre site (2 minutes)

En 2026, Google n’est plus le seul moteur qui compte. ChatGPT, Perplexity, Google AI Overviews, Mistral : les IA génératives citent des sources. Et si votre site n’est pas structuré pour elles, vous êtes invisible dans ces réponses.

Comment vérifier : Trois tests rapides :

1. Tapez votre-site.com/llms.txt dans votre navigateur. Si ça retourne un 404, les IA n’ont aucune "carte de visite" de votre site.
2. Allez sur ChatGPT et demandez-lui de recommander un site dans votre domaine. Êtes-vous cité ?
3. Vérifiez que vos articles ont des réponses directes dans le premier paragraphe (pas d’intro vague de 3 lignes avant d’arriver au sujet).

Seuil acceptable : Un fichier llms.txt accessible, du contenu structuré avec des H2 sous forme de questions, des FAQ, et des réponses directes en début de section.

Action corrective : Crée un fichier llms.txt à la racine de ton site. C’est une convention émergente (pas un standard comme robots.txt), mais les crawlers IA le consultent déjà. Structure tes articles avec des H2 en questions naturelles. Ajoute des FAQ sur tes pages stratégiques. C’est le GEO (Generative Engine Optimization) : le SEO pour les IA.

Ce que j’ai trouvé sur un vrai site (cas anonymisé)

La théorie c’est bien. La réalité, c’est mieux. Voici le résultat de l’audit complet que j’ai réalisé la semaine dernière sur un site e-commerce WooCommerce. Les chiffres sont réels. Le nom du client est confidentiel.

Point de contrôle	Résultat	Verdict
PageSpeed mobile	40/100	Critique
PageSpeed desktop	52/100	Critique
TTFB serveur	105 ms (bon)	OK
SSL / HTTPS	Actif	OK
Mises à jour en attente	7 plugins (dont faille CVSS 7.5)	Critique
Plugins actifs	45 (dont 8 désactivés)	Critique
Faux comptes	1 300 en 2 mois	Critique
Fichier phpinfo.php	Accessible publiquement	Critique
Méta descriptions produits	Absentes (0/50)	Important
robots.txt	2 lignes, aucun sitemap référencé	Important
URLs parasites indexées	5 pages en espagnol/allemand	Important
CGV / Mentions légales	Liens cassés dans le footer	Critique
Visibilité IA (GEO)	37/100, aucun llms.txt	Important

Le propriétaire savait que quelque chose clochait sur son site, mais il ne savait pas quoi, ni comment s’y prendre pour identifier les problèmes. Le serveur répondait vite (105 ms), donc ce n’était pas ça. Le vrai problème, c’était ce qui était envoyé au navigateur. Plus de 40 scripts JavaScript, des fichiers CSS en pagaille, des images non optimisées (la pire : 2,3 Mo en PNG pour une image de produit), et un thème acheté sur ThemeForest qui chargeait ses propres scripts, styles, et moteur de mise en page en plus de ceux d’Elementor et de WooCommerce. Deux couches d’abstraction superposées qui font le même travail chacune de leur côté.

Mais le plus grave, c’était la sécurité. Le site avait été piraté deux mois plus tôt. La restauration depuis un backup avait nettoyé le gros. Mais les clés de sécurité WordPress (les "salts") n’avaient pas été changées, un attaquant qui aurait intercepté un cookie de session avant le piratage pouvait encore s’en servir. Et 1 300 faux comptes continuaient d’être créés chaque semaine, sans que personne ne s’en rende compte.

Ce cas n’est pas une exception. C’est la norme sur les sites qui n’ont pas été audités depuis plus de 6 mois.

L’état de santé intégré de WordPress

WordPress dispose depuis la version 5.2 (mai 2019) d’un outil natif souvent ignoré : l’état de santé du site. Vous le trouvez dans Outils > Santé du site.

Cet outil analyse automatiquement votre installation et vous remonte les problèmes détectés : version PHP trop ancienne, extensions PHP manquantes, clés de sécurité obsolètes, etc. C’est un bon premier diagnostic, gratuit, sans plugin supplémentaire. Regarde les items marqués en rouge ou orange. Ce sont tes priorités.

3 plugins gratuits pour simplifier votre audit

Vérifier les 13 points à la main, c’est bien. Automatiser une partie du travail, c’est mieux. Voici les 3 plugins que je recommande pour un audit rapide, tous gratuits et disponibles sur le dépôt WordPress.org.

WPS Bidouille : le couteau suisse du diagnostic WordPress

C’est un plugin que je connais bien puisque je l’ai co-développé du temps de WPServeur, l’hébergeur WordPress que j’ai fondé en 2015. WPS Bidouille affiche un centre de notifications qui couvre d’un coup d’oeil les points 4 (mises à jour), 5 (plugins inactifs), et une partie du point 3 (préfixe BDD sécurisé). Il masque aussi les numéros de version exposés dans le code source, désactive l’endpoint REST API utilisateurs (point 12), et nettoie les transients expirés (point 11).

Bonus : il génère un rapport système téléchargeable (version PHP, extensions serveur, configuration WordPress), très utile si tu dois envoyer un diagnostic à un prestataire.

Query Monitor : le profiler pour aller plus loin

Query Monitor (par John Blackbourn, développeur chez Human Made) est l’outil de référence pour diagnostiquer les requêtes lentes. Il affiche chaque requête SQL avec son temps d’exécution, le plugin ou le thème qui l’a déclenchée, et un backtrace complet. Si tu veux savoir quel plugin ralentit ton site ou quelle requête explose ta table wp_options (point 11), c’est l’outil qu’il te faut.

Advanced Database Cleaner : le nettoyeur de base de données

Advanced Database Cleaner est le plugin le plus fiable pour nettoyer ce que le point 11 révèle. Révisions, brouillons automatiques, transients expirés, commentaires spam, tables orphelines laissées par d’anciens plugins : il identifie et supprime tout ça proprement. Depuis la version 4, il inclut aussi un visualiseur des options autoload et une alerte quand la taille dépasse un seuil critique.

Si tu préfères une alternative plus légère, WP-Optimize fait aussi très bien le travail avec une interface plus simple.

Comment interpréter vos résultats ?

Vous avez coché vos 13 points. Voici comment lire le score :

0 à 2 points rouges : Votre site est globalement sain. Quelques ajustements à faire, rien d’urgent. Planifiez les corrections dans la semaine.

3 à 5 points rouges : Il y a du travail. Pas de panique, mais ne remets pas à plus tard. Commence par les points sécurité (SSL, mises à jour, sauvegardes) puis les points visibilité (sitemap, titres SEO).

Plus de 5 points rouges : Le site a besoin d’une remise en ordre sérieuse. Le site e-commerce que j’ai audité ? 8 points rouges sur 13. Si tu es dans ce cas et que certains points dépassent tes compétences techniques, c’est le moment de se faire accompagner.

Au-delà des 15 minutes : ce que cet audit ne couvre pas

Cette checklist est un premier filtre. Rapide, gratuit, actionnable. Mais elle ne remplace pas un audit complet.

Ce qu’elle ne couvre pas : l’analyse du maillage interne, l’audit des balises de structure, la vérification des données structurées (Schema.org), l’analyse concurrentielle, le croisement de sources SEO multiples (Google Search Console + Google Analytics + Bing Webmaster Tools), ou l’analyse du contenu existant (cannibalisation, articles obsolètes, maillage orphelin).

Si ton site a plusieurs années, si tu as des concurrents qui te dépassent dans Google malgré un contenu similaire, ou si tu prépares une refonte, il faut aller plus loin. Une session d’expertise d’1h30 permet de faire ce diagnostic complet, avec des recommandations priorisées adaptées à ta situation.

FAQ : Audit WordPress express

La qualité des plugins compte-t-elle plus que le nombre ?

Oui, clairement. 15 plugins bien codés et régulièrement mis à jour valent mieux que 8 extensions mal maintenues. Le vrai risque, c’est un plugin abandonné par son développeur ou qui n’a pas été testé avec ta version de WordPress. Au-delà de 25 plugins actifs, les risques de conflits et de lenteur augmentent. Sur l’audit que je viens de réaliser, le site avait 45 plugins actifs, c’était la cause principale du score de 40/100 en performance.

Comment savoir si mon site WordPress est lent ?

Teste-le sur PageSpeed Insights (gratuit, de Google). Un score mobile inférieur à 50 signale un problème réel. Au-dessus de 70, c’est bien. Les trois causes principales de lenteur sont les images non compressées, l’absence de cache, et les plugins trop nombreux ou mal codés.

À quelle fréquence faut-il auditer son site WordPress ?

Un audit rapide (15 minutes, les 13 points essentiels) tous les mois. Un audit approfondi (performances, sécurité, SEO, contenu, GEO) tous les trimestres. Et immédiatement après chaque mise à jour majeure de WordPress ou de votre thème.

Qu’est-ce que le fichier llms.txt et pourquoi mon site en a besoin ?

Le fichier llms.txt est une convention émergente qui permet de décrire votre site aux IA génératives (ChatGPT, Perplexity, Google AI Overviews). Il liste vos pages clés et votre expertise dans un format que les LLM peuvent comprendre et citer. Ce n’est pas un standard officiel comme robots.txt, mais les crawlers IA le consultent déjà. Sans ce fichier, les IA doivent deviner ce que fait votre site. Avec, elles vous citent plus facilement comme source.

La requête SQL wp_options est-elle risquée à exécuter ?

La requête SELECT proposée dans cet article est en lecture seule : elle ne modifie rien. Tu peux l’exécuter sans risque dans phpMyAdmin. Elle t’indique simplement le poids des données chargées automatiquement à chaque page. Pour le nettoyage, en revanche, utilise un plugin comme WP-Optimize plutôt que des requêtes DELETE manuelles.

Mon site WordPress affiche "non sécurisé", que faire ?

Ton certificat SSL n’est pas actif ou est mal configuré. Active le SSL gratuit (Let’s Encrypt) depuis ton panneau d’hébergement, vérifie que l’URL WordPress commence par https:// dans Réglages > Général, et corrige les erreurs de contenu mixte avec le plugin Really Simple SSL.

Comment savoir si mon site est visible par les IA génératives ?

Teste ton URL sur ChatGPT ("que sais-tu de mon-site.com ?") et Perplexity. Vérifie si tu as un fichier llms.txt accessible. Analyse tes logs serveur pour voir si GPTBot, ClaudeBot ou PerplexityBot visitent ton site. Si aucun crawler IA ne passe, ton contenu n’est probablement pas indexé par les LLM.