Checklist après installation WordPress : 15 réglages à faire immédiatement (2026)

WordPress est installé. Le tableau de bord s’affiche. Vous avez envie de publier votre premier article tout de suite.

Mauvaise idée.

J’ai vu des centaines de sites WordPress passer entre mes mains depuis 2012 — en formation, en audit, en refonte. Et le constat est toujours le même : les problèmes de performance, de sécurité ou de référencement qu’on me demande de résoudre 2 ans après auraient pu être évités en 30 minutes au moment de l’installation.

Cette checklist, c’est ces 30 minutes. Quinze points concrets, vérifiés sur WordPress 6.9, à cocher dans l’ordre avant de montrer votre site au monde.

1. Configurer les permaliens

WordPress utilise par défaut des URLs du type ?p=123. Moche et inutile pour le SEO.

Direction Réglages → Permaliens, sélectionnez "Nom de l’article" (/%postname%/). C’est ce que Google recommande depuis des années : des URLs lisibles, courtes, contenant le mot-clé.

Faites-le avant de publier quoi que ce soit. Changer les permaliens sur un site avec du contenu indexé, c’est gérer des dizaines de redirections 301 — un cauchemar évitable.

2. Supprimer le contenu par défaut

WordPress livre un article "Bonjour tout le monde", une page "Page d’exemple" et un commentaire de démonstration. Supprimez les trois. Ils polluent votre sitemap et diluent votre crawl budget dès le premier jour.

Tant que vous y êtes, supprimez aussi les thèmes inutilisés. WordPress installe par défaut Twenty Twenty-Three, Twenty Twenty-Four et Twenty Twenty-Five. Gardez votre thème actif et un seul thème par défaut comme filet de secours. Le reste, supprimez-le.

3. Choisir et configurer un thème léger

Le thème, c’est le socle de votre site. Un mauvais choix ici et vous traînerez des problèmes de performance pendant des années.

En 2026, les thèmes qui fonctionnent le mieux sont ceux qui exploitent le Full Site Editing (FSE) natif de WordPress ou les thèmes classiques ultra-légers. Mon trio de recommandations :

• Astra — moins de 50 Ko de CSS, compatible Gutenberg et Spectra, utilisé sur plus de 2 millions de sites. C’est celui que j’utilise sur wpformation.com
• GeneratePress — même philosophie de légèreté, excellent pour les développeurs
• Developer Blog — thème FSE natif, zéro dépendance, idéal pour les blogs

Évitez les thèmes "tout-en-un" qui embarquent leur propre page builder (Divi, Avada). Vous créez une dépendance dont vous ne sortirez plus. J’ai écrit un guide complet pour choisir un thème WordPress si vous hésitez.

4. Installer un plugin de cache

Un site WordPress sans cache, c’est un serveur qui recalcule chaque page à chaque visite. Inutile et lent.

Le cache stocke une version statique de vos pages. Le résultat : un temps de chargement divisé par 2 à 5, selon votre hébergeur. Depuis que j’ai installé LiteSpeed Cache sur wpformation.com (hébergé chez O2switch), le PageSpeed Mobile est passé à 98/100.

Quel plugin choisir ? Ça dépend de votre hébergeur :

Hébergeur	Plugin recommandé	Pourquoi
O2switch, LiteSpeed	LiteSpeed Cache (gratuit)	Exploite le cache serveur natif, résultats imbattables
OVH, Infomaniak	WP Super Cache (gratuit)	Simple, fiable, maintenu par Automattic
Tout hébergeur	W3 Total Cache (gratuit)	Plus complexe mais très configurable (CDN, minification)

5. Configurer les sauvegardes automatiques

Pas de sauvegarde, pas de filet. J’ai perdu un site client entier en 2014 à cause d’un hébergeur qui n’avait pas de backup. Plus jamais.

UpdraftPlus est le standard. Version gratuite, sauvegarde automatique vers Google Drive, Dropbox ou Amazon S3. Configurez une sauvegarde hebdomadaire complète (fichiers + base de données) et gardez au moins 3 versions.

Votre hébergeur fait probablement des sauvegardes aussi (O2switch en fait une quotidienne). Mais ne comptez pas uniquement dessus. La règle d’or : au moins 2 copies, sur 2 supports différents.

Testez la restauration au moins une fois. Une sauvegarde qu’on n’a jamais restaurée, c’est un fichier qu’on espère fonctionnel.

6. Sécuriser l’accès à l’administration

WordPress est la cible n°1 des attaques par brute force. 43% du web tourne sur WordPress — les bots le savent et attaquent /wp-login.php en permanence.

Trois mesures minimum :

• Mot de passe fort — 16 caractères minimum, généré par un gestionnaire de mots de passe. Pas "MonSite2026!"
• Limiter les tentatives de connexion — le plugin WPS Limit Login (100 000+ installations, que j’ai co-développé) bloque les IP après X échecs
• Masquer la page de connexion — WPS Hide Login (2 millions+ d’installations) remplace /wp-login.php par une URL personnalisée

Si vous voulez aller plus loin, lisez le guide sur les entêtes de sécurité indispensables pour WordPress.

7. Installer et configurer Yoast SEO

Un site WordPress sans plugin SEO, c’est un site invisible pour Google. Yoast SEO reste la référence en 2026 (version 27+, testé sur WP 6.9).

Les réglages à faire immédiatement :

• Titre du site et séparateur — Réglages → Yoast SEO → Apparence dans les résultats. Choisissez un séparateur (j’utilise "–") et vérifiez le format de titre
• Sitemap XML — activé par défaut avec Yoast. Vérifiez qu’il est accessible sur /sitemap_index.xml
• Fil d’Ariane — activez-les dans Yoast → Réglages → Fil d’Ariane. Les breadcrumbs améliorent la navigation et apparaissent dans les résultats Google
• Noindex les pages inutiles — archives de tags, archives d’auteur (si vous êtes seul), pages de résultats de recherche

8. Optimiser les images dès le départ

Les images représentent en moyenne 50% du poids d’une page web (source : HTTP Archive, 2025). Sur WordPress, la bonne nouvelle c’est que depuis la version 6.1, le format WebP est supporté nativement.

Deux réflexes à prendre :

Avant l’upload — redimensionnez vos images à la taille maximale utile (1200px de large suffit pour un article). Pas besoin d’uploader des photos de 4000px si votre contenu fait 800px de large.

Après l’upload — installez Imagify pour compresser automatiquement et convertir en WebP/AVIF. J’ai réduit le poids de la médiathèque de wpformation.com de 40% avec cet outil.

N’oubliez pas le texte alternatif (alt). Google Images est une source de trafic sous-estimée, et l’accessibilité n’est pas optionnelle.

9. Configurer le fichier .htaccess

Le .htaccess est le fichier de configuration Apache à la racine de votre installation WordPress. Il contrôle les redirections, la compression et la mise en cache navigateur.

WordPress le crée automatiquement, mais il est minimaliste. Ajoutez au minimum :

• Compression Gzip/Brotli — réduit le poids des fichiers texte (HTML, CSS, JS) de 60 à 80%
• Cache navigateur — demande au navigateur de garder en mémoire les fichiers statiques (images, CSS, JS) pendant 1 an
• Bloquer l’accès aux fichiers sensibles — wp-config.php, .htaccess lui-même, les fichiers .sql

Si votre plugin de cache (LiteSpeed, W3 Total Cache) gère déjà la compression et le cache navigateur, inutile de dupliquer les règles. Vérifiez avec GTmetrix que la compression fonctionne.

Le détail des directives utiles est dans notre article sur wp-config.php et functions.php.

10. Limiter les révisions d’articles

À chaque enregistrement, WordPress crée une "révision" — une copie complète de votre article en base de données. Au bout de 6 mois, un article peut avoir 50 révisions. Multipliez par 100 articles : 5 000 entrées inutiles dans votre base.

Ajoutez cette ligne dans votre fichier wp-config.php :

define('WP_POST_REVISIONS', 5);

Cinq révisions par article, c’est suffisant pour revenir en arrière sans saturer la base de données. Pour nettoyer les révisions existantes, WP-Optimize fait ça en un clic.

11. Nettoyer la base de données

Un WordPress fraîchement installé a une base propre. Mais les plugins de démo, les thèmes testés et les imports laissent des traces : transients expirés, options orphelines, tables abandonnées.

WP-Optimize (version 4.5, testé sur WP 6.9) nettoie tout ça et peut même planifier un nettoyage hebdomadaire automatique. Sur un site de 300+ articles comme wpformation.com, un nettoyage mensuel de la base fait gagner 50 à 100 Mo.

Avant tout nettoyage : sauvegarde. Toujours.

12. Configurer les réglages de lecture et d’écriture

Deux réglages souvent oubliés dans Réglages → Lecture :

• Page d’accueil statique — sauf si vous faites un blog pur, utilisez une page fixe comme accueil plutôt que la liste des derniers articles
• Visibilité pour les moteurs de recherche — assurez-vous que la case "Demander aux moteurs de recherche de ne pas indexer ce site" est décochée. Un oubli classique après une mise en production

Dans Réglages → Écriture, vérifiez la catégorie par défaut. Créez une catégorie "WordPress" ou "Blog" plutôt que d’utiliser "Non classé" qui finira dans vos URLs et votre sitemap.

13. Installer un formulaire de contact

Un site sans formulaire de contact n’inspire pas confiance. Et Google le sait : les signaux E-E-A-T (Experience, Expertise, Authoritativeness, Trust) incluent la facilité de contact comme critère de confiance.

Oubliez les usines à gaz. WordPress 6.9 intègre un bloc formulaire natif dans Gutenberg. Si vous avez besoin de plus (champs conditionnels, connexion CRM), WPForms Lite est gratuit et léger.

Ajoutez un CAPTCHA ou Turnstile (Cloudflare) pour bloquer le spam. Sur wpformation.com, Turnstile bloque 99% du spam sans impacter l’expérience utilisateur — pas de "sélectionnez tous les feux tricolores".

14. Vérifier le site sur mobile

En mars 2025, Google a confirmé que 100% de l’indexation se fait désormais en mobile-first (documentation Google). Si votre site est cassé sur mobile, il est cassé pour Google. Point.

Vérifiez trois choses :

• Responsive — ouvrez votre site sur votre téléphone. Pas dans l’inspecteur Chrome, sur un vrai téléphone. Les bugs tactiles ne se voient pas en simulateur
• PageSpeed Insights — testez sur pagespeed.web.dev. Visez 90+ en mobile
• Taille des boutons — les zones cliquables doivent faire au moins 48×48 pixels. Les liens trop petits sont un problème d’accessibilité et de Core Web Vitals

15. Tester, vérifier les erreurs 404 et lancer

Avant d’annoncer votre site, faites un tour complet :

• Navigation — cliquez sur chaque lien du menu. Un seul lien cassé suffit à faire fuir un visiteur
• Formulaire — envoyez-vous un message test. Vérifiez qu’il arrive dans votre boîte mail
• Erreurs 404 — installez Redirection pour surveiller les pages introuvables et créer des redirections 301
• Console Google Search — inscrivez votre site sur Google Search Console et soumettez votre sitemap. C’est gratuit et ça vous donne les yeux de Google sur votre site

Une fois que tout est coché : publiez. Votre WordPress est prêt.

La checklist résumée

#	Action	Outil/Réglage	Priorité
1	Permaliens en /%postname%/	Réglages → Permaliens	Critique
2	Supprimer contenu par défaut	Articles + Pages + Thèmes	Haute
3	Thème léger (Astra, GP)	Apparence → Thèmes	Critique
4	Plugin de cache	LiteSpeed / WP Super Cache	Critique
5	Sauvegardes automatiques	UpdraftPlus	Critique
6	Sécurité connexion	WPS Hide Login + Limit Login	Haute
7	Plugin SEO	Yoast SEO / Rank Math	Critique
8	Optimisation images	Imagify + WebP natif	Haute
9	.htaccess (compression, cache)	Fichier racine	Moyenne
10	Limiter révisions à 5	wp-config.php	Moyenne
11	Nettoyer la BDD	WP-Optimize	Moyenne
12	Réglages lecture/écriture	Réglages WP	Haute
13	Formulaire de contact	Bloc natif / WPForms	Haute
14	Test mobile + PageSpeed	pagespeed.web.dev	Critique
15	404 + Search Console	Redirection + GSC	Haute

FAQ — Checklist après installation WordPress

Combien de temps faut-il pour configurer WordPress après installation ?

Entre 30 minutes et 2 heures selon votre niveau. Un débutant complet mettra environ 2 heures en suivant cette checklist point par point. Un utilisateur expérimenté boucle le tout en 30 minutes. L’investissement est négligeable comparé aux heures de dépannage que vous éviterez plus tard.

Faut-il installer un plugin de sécurité complet comme Wordfence ?

Pas forcément. Wordfence est efficace mais lourd — il consomme beaucoup de ressources serveur. Les trois mesures décrites dans cette checklist (mot de passe fort, limitation des tentatives, masquage de la page de connexion) couvrent 90% des attaques. Si vous êtes sur un hébergement mutualisé, privilégiez des solutions légères plutôt qu’une usine à gaz qui ralentira votre site.

Dois-je installer tous les plugins de cette liste ?

Non. La règle d’or sur WordPress : le moins de plugins possible. Cette checklist recommande 5 à 7 plugins selon vos besoins. Un plugin de cache, un pour le SEO, un pour les sauvegardes et un pour la sécurité — c’est le socle minimum. Le reste dépend de votre projet. Chaque plugin ajouté est une dépendance de plus à maintenir.

Cette checklist fonctionne-t-elle avec WordPress.com ?

Partiellement. WordPress.com (la plateforme hébergée par Automattic) ne donne pas accès au fichier .htaccess, au wp-config.php ni à l’installation libre de plugins sur les offres gratuites et personnelles. Cette checklist cible WordPress.org (le logiciel auto-hébergé). Sur WordPress.com, vous aurez besoin au minimum de l’offre Business pour installer vos propres plugins.

Quel hébergeur choisir pour WordPress en 2026 ?

Pour un site WordPress en France, O2switch (offre unique à 5 euros/mois, serveurs LiteSpeed, support réactif) est mon choix depuis 2015 — c’est là que wpformation.com est hébergé. Pour un budget plus serré, Infomaniak propose une offre WordPress managée correcte. Évitez les hébergeurs qui empilent les offres low-cost sans support technique dédié WordPress.