Audit de Site WordPress : Les 7 Points Critiques que Personne ne Vérifie

"Votre site est en ligne. Il est joli. Mais est-il sain ?"

La plupart des "audits" qu'on me demande de valider se limitent au SEO et au design. Un rapport Screaming Frog, un passage sur PageSpeed Insights, quelques recommandations sur les balises meta.

C'est nécessaire. Mais c'est loin d'être suffisant.

En 15 ans de WordPress et après des dizaines de sites audités, j'ai appris que les vrais problèmes, ceux qui coûtent de l'argent, qui exposent aux hackers, qui font fuir les prospects, sont rarement visibles au premier regard.

Voici les 7 points que je vérifie systématiquement dans chaque audit WordPress, et pourquoi chacun d'eux peut faire la différence entre un site qui performe et une bombe à retardement.

Pourquoi votre site "qui marche bien" mérite quand même un audit

"Ça marche" n'est pas un indicateur de santé. C'est l'absence de symptôme visible.

Un site peut être compromis depuis des semaines sans que vous le sachiez. Un hacker peut avoir injecté du code malveillant dans vos pages sans que votre site "tombe". Google peut vous avoir déjà pénalisé pour des problèmes techniques que vous n'avez pas encore détectés.

Comme un problème de santé silencieux : quand les symptômes apparaissent, il est souvent tard.

Sur les sites que j'audite, 80% ont au moins 3 de ces problèmes critiques. Leurs propriétaires pensaient tous que leur site "marchait bien".

Point 1 : La sécurité

C'est le point le plus urgent. Et le plus sous-estimé.

90% des hacks WordPress proviennent de plugins non mis à jour. Pas de failles de configuration exotiques. Pas d'attaques sophistiquées. Juste des plugins abandonnés par leurs développeurs, ou que le propriétaire n'a pas mis à jour depuis 6 mois.

Ce que je vérifie :

• Version de WordPress core, thème actif et tous les plugins, avec date de dernière mise à jour
• Plugins abandonnés (plus de mise à jour depuis 2 ans = risque élevé)
• Plugins "nulled" téléchargés depuis des sources non officielles
• Certificat SSL valide et correctement configuré
• Headers de sécurité HTTP (Content-Security-Policy, X-Frame-Options, etc.)
• Pare-feu applicatif (WAF) et protection brute force
• Identifiants admin par défaut ou trop faibles

J'ai vu des sites avec 15 plugins dont 4 abandonnés depuis 3 ans. Le propriétaire avait peur "de casser quelque chose" en les supprimant. Ce n'est pas une stratégie, c'est une invite ouverte.

"J'ai peur de casser quelque chose en mettant à jour." Cette phrase, entendue des dizaines de fois, est l'une des plus coûteuses qu'un propriétaire de site WordPress puisse prononcer.

Point 2 : La performance réelle

Pas le score PageSpeed. La performance réelle.

Il y a une différence importante entre un score PageSpeed de 90 et un site qui se charge réellement en moins de 2 secondes sur un mobile en 4G normale. Le premier est un indicateur, le second est ce que vivent vos visiteurs.

53% des visiteurs mobiles quittent une page qui met plus de 3 secondes à charger. Et Google pénalise en référencement les sites qui échouent aux Core Web Vitals.

Ce que je vérifie :

• Core Web Vitals sur données réelles (pas de laboratoire) : LCP, FID/INP, CLS
• Temps de chargement réel sur mobile 4G simulé
• Taille et format des images : c'est souvent là que tout se joue
• Cache navigateur et cache serveur correctement configurés
• CDN (réseau de distribution de contenu) en place ou non
• Nombre de requêtes HTTP et leur poids total
• Scripts JavaScript bloquants au chargement

Cas concret : un client venait me voir avec un score PageSpeed de 68. "Pas terrible mais ça va". En regardant les données réelles, son site mettait 7 secondes à être interactif sur mobile. Il perdait la moitié de ses prospects mobiles sans le savoir.

Après audit et corrections : 2,1 secondes. Et +40% de leads via formulaire le mois suivant.

Point 3 : La dette technique

C'est le problème invisible par excellence. Tout "fonctionne", mais l'accumulation de mauvaises décisions passées crée une fragilité croissante.

Ce que je vérifie :

• Plugins actifs vs réellement utilisés (j'ai vu des sites avec 47 plugins actifs dont 20 inutiles)
• Plugins qui font la même chose (3 plugins de SEO, 2 plugins de cache...)
• Qualité et maintenabilité du thème actif
• Code custom dans le thème enfant ou functions.php : est-il documenté ? Maintenu ?
• Conflits potentiels entre plugins
• Révisions de contenu en base de données (certains sites ont des dizaines de milliers de révisions qui alourdissent inutilement la BDD)

La dette technique est traîtresse : elle ne fait pas mal aujourd'hui. Elle fait mal le jour où vous avez besoin d'évoluer, d'ajouter une fonctionnalité, ou quand une mise à jour majeure WordPress casse tout parce que le thème n'est plus maintenu depuis 3 ans.

Point 4 : Les intégrations

Votre site WordPress n'est pas une île. Il est le centre de votre écosystème digital. Et cet écosystème est souvent plus cassé qu'il n'y paraît.

Ce que je vérifie :

• Les formulaires de contact envoient-ils vraiment les leads dans votre CRM ? (Testez. Maintenant. Vous seriez surpris.)
• Google Analytics 4 est-il correctement configuré et remonte-t-il des données fiables ?
• Le tracking publicitaire (Meta Pixel, Google Ads) fonctionne-t-il correctement ?
• La bannière de consentement cookies est-elle conforme RGPD ? Bloque-t-elle vraiment les scripts avant consentement ?
• Les emails transactionnels (confirmations de formulaire, notifications) sont-ils délivrés et ne tombent-ils pas en spam ?

J'ai audité un e-commerce WooCommerce où 30% des emails de confirmation de commande finissaient en spam. Le propriétaire ne le savait pas. Il pensait que ses clients "avaient des problèmes de messagerie".

Point 5 : Les backups et le plan de reprise

C'est le point que tout le monde dit avoir configuré. Et que presque personne n'a vraiment testé.

Avoir un backup, c'est bien. Savoir qu'il fonctionne et pouvoir restaurer en moins de 2 heures en cas de crash, c'est autre chose.

Ce que je vérifie :

• Backup automatique quotidien en place (et pas juste chez l'hébergeur)
• Le backup inclut bien la base de données ET les fichiers
• Les backups sont stockés hors du serveur principal (S3, Google Drive, Dropbox...)
• Dernier test de restauration : quand ? Avec quel résultat ?
• Qui sait restaurer le site en cas de problème à 23h un dimanche ?

Un site piraté sans backup récent, c'est potentiellement des mois de contenu perdus. Un site piraté avec un backup testé d'hier, c'est 2 heures de travail.

Point 6 : Le SEO technique

Oui, je le vérifie aussi. Mais pas comme la plupart des audits SEO.

Je ne m'intéresse pas aux "opportunités de mots-clés" à ce stade. Je vérifie que le site est correctement lisible et indexable par Google. C'est la fondation. Sans fondation solide, tous les efforts de contenu sont perdus.

Ce que je vérifie :

• Le fichier robots.txt ne bloque pas accidentellement des pages importantes (ça arrive plus souvent qu'on ne le croit)
• Le sitemap XML existe, est à jour et soumis à Google Search Console
• Pas de contenu dupliqué généré automatiquement par WordPress (pages de catégories, tags, archives d'auteur...)
• Les balises canoniques sont correctement configurées
• Les données structurées Schema.org sont présentes sur les pages clés
• Le site est correctement référencé dans Google Search Console, et les erreurs sont surveillées

J'ai vu un site qui, suite à une migration, avait un robots.txt bloquant l'indexation complète. Le propriétaire se demandait pourquoi son trafic avait chuté de 80%. La réponse était dans un fichier texte de 3 lignes.

Point 7 : La scalabilité

Votre site tient aujourd'hui avec votre trafic actuel. Mais tiendra-t-il si vous passez de 200 à 2000 visites par jour ? Si vous faites une campagne publicitaire qui décuple votre trafic pendant 48 heures ?

Ce que je vérifie :

• Type d'hébergement : mutualisé, VPS, cloud managé. Est-il adapté au trafic réel et aux pics potentiels ?
• Configuration du serveur web : PHP version à jour, limites mémoire, OPCache activé
• Base de données : taille, index manquants, requêtes lentes
• Le site a-t-il déjà planté lors d'un pic de trafic ? (souvent, la réponse est oui)
• Un CDN est-il en place pour absorber la charge statique ?

Un hébergement mutualisé à 3€/mois peut très bien convenir pour 300 visites par mois. Il sera complètement dépassé si vous lancez une campagne LinkedIn ou Google Ads qui génère 500 visites en une journée. Et quand le site tombe, c'est votre budget pub qui part à la poubelle.

La checklist récapitulative

Voici une checklist rapide que vous pouvez parcourir vous-même pour évaluer l'état de votre site :

Si vous cochez moins de 6 cases sur 9, votre site mérite un audit approfondi.

Ce que révèle un audit complet

L'audit ne sert pas à pointer des problèmes pour le plaisir. Il sert à prioriser.

Tous les problèmes n'ont pas la même criticité. Une faille de sécurité active = urgence maximale. Un robots.txt mal configuré = à corriger cette semaine. Un CDN manquant avec 200 visites/mois = recommandé mais pas urgent.

Le livrable d'un audit WordPress complet chez AlmaWeb, c'est un rapport PDF structuré avec :

• Chaque problème documenté avec capture d'écran
• Un niveau de criticité clair : urgent / important / recommandé
• Des recommandations concrètes, pas du jargon technique
• Un debrief de 30 minutes pour parcourir le rapport ensemble

Vous repartez avec un plan d'action clair. Pas 50 choses à faire "un jour". Une liste ordonnée par priorité.

Votre site mérite un diagnostic honnête

Pas un rapport automatique généré en 30 secondes par un outil en ligne. Un vrai regard humain, avec 15 ans de WordPress derrière.

Si vous ne savez pas dans quel état est votre site, la bonne nouvelle c'est qu'il faut 15 minutes pour le savoir. Diagnostic gratuit, sans engagement.

Vous partez avec 3 problèmes concrets identifiés, même si vous ne faites pas appel à moi ensuite.