InspectWP Logo
Bonne pratique

Lancer un nouveau site WordPress — que vérifier

8 février 2026 Mis à jour le 19 avr. 2026

Lancer un nouveau site WordPress sans une revue approfondie avant le lancement, c'est comme ouvrir un magasin sans vérifier si les portes ferment ou si les lumières fonctionnent. De nombreux problèmes qui apparaissent après le lancement, des vulnérabilités de sécurité aux mauvaises configurations SEO, sont nettement plus difficiles et embarrassants à corriger une fois que les vrais visiteurs et les moteurs de recherche sont déjà arrivés. Cette liste de vérification couvre tout ce que vous devez vérifier avant d'appuyer sur l'interrupteur, organisé par catégorie. Une seule analyse InspectWP peut vérifier la plupart de ces éléments automatiquement.

Liste de vérification de sécurité WordPress avant le lancement

Les failles de sécurité au lancement sont particulièrement problématiques car les robots automatisés scannent les nouvelles installations WordPress et peuvent exploiter les configurations par défaut en quelques heures.

  • Certificat SSL installé et vérifié : Ouvrez votre site dans le navigateur et confirmez que l'icône de cadenas apparaît. Cliquez dessus pour vérifier que le certificat est valide, non expiré et émis pour le bon domaine. Testez à la fois https://example.com et https://www.example.com (selon ce que vous utilisez).
  • Redirection HTTP vers HTTPS fonctionnelle : Saisissez manuellement http://votredomaine.com dans le navigateur et confirmez qu'il redirige vers la version HTTPS avec une redirection 301 (permanente), et non 302 (temporaire). Testez avec les variantes www et non-www.
  • En-têtes de sécurité configurés : Vérifiez que les en-têtes suivants sont présents dans les réponses de votre serveur : HSTS (Strict-Transport-Security), X-Frame-Options, X-Content-Type-Options, Referrer-Policy et Permissions-Policy. Une Content-Security-Policy est facultative au lancement mais devrait figurer dans votre feuille de route. InspectWP les vérifie tous automatiquement.
  • WordPress, toutes les extensions et tous les thèmes entièrement à jour : Même si vous venez d'installer le tout il y a une semaine, vérifiez les mises à jour. Les développeurs de WordPress et d'extensions publient fréquemment des correctifs de sécurité. Allez dans Tableau de bord > Mises à jour et assurez-vous que tout est à jour.
  • Nom d'utilisateur « admin » par défaut modifié : Si vous avez créé le compte utilisateur initial avec le nom d'utilisateur « admin », créez un nouveau compte administrateur avec un nom d'utilisateur différent, réattribuez tout le contenu et supprimez l'ancien compte « admin ». Les attaquants essaient ce nom d'utilisateur en premier dans les attaques par force brute.
  • Mots de passe forts et uniques sur tous les comptes : Chaque compte utilisateur doit avoir un mot de passe d'au moins 16 caractères, généré aléatoirement et non réutilisé d'un autre site. Utilisez un gestionnaire de mots de passe. Activez l'authentification à deux facteurs (2FA) pour tous les comptes administrateur.
  • XML-RPC désactivé si non requis : Sauf si vous utilisez Jetpack ou l'application mobile WordPress, désactivez XML-RPC entièrement. C'est une cible courante pour les attaques d'amplification par force brute. Bloquez-le au niveau du serveur ou avec une extension de sécurité.
  • Point de terminaison utilisateurs de l'API REST restreint : Testez en visitant votredomaine.com/wp-json/wp/v2/users dans votre navigateur. S'il renvoie une liste de noms d'utilisateurs, vous devez restreindre ce point de terminaison aux utilisateurs authentifiés uniquement.
  • Édition de fichiers dans l'admin désactivée : Ajoutez define('DISALLOW_FILE_EDIT', true); à votre wp-config.php. Cela empêche quiconque (y compris les attaquants qui obtiennent un accès admin) de modifier les fichiers de thèmes ou d'extensions via le tableau de bord WordPress.
  • debug.log non accessible publiquement : Naviguez vers votredomaine.com/wp-content/debug.log dans votre navigateur. Si vous voyez la sortie du journal, supprimez le fichier ou bloquez-y l'accès via la configuration de votre serveur. En production, définissez WP_DEBUG sur false et WP_DEBUG_LOG sur false dans votre wp-config.php.
  • Contenu par défaut inutile supprimé : Supprimez l'article exemple « Hello World », la page exemple et le commentaire exemple. Supprimez les thèmes inutilisés (ne gardez que votre thème actif et un thème par défaut comme solution de repli). Supprimez toutes les extensions que vous avez installées pour des tests mais dont vous n'avez pas besoin en production.
  • Solution de sauvegarde configurée et testée : Mettez en place des sauvegardes automatiques avant le lancement, pas après. Configurez une extension comme UpdraftPlus pour sauvegarder vers un emplacement hors site (Amazon S3, Google Drive, Dropbox). Effectuez une sauvegarde de test et vérifiez que vous pouvez la restaurer.

Configuration SEO WordPress avant le lancement

Les mauvaises configurations SEO au lancement peuvent avoir des conséquences durables. Si les moteurs de recherche indexent votre site de manière incorrecte dans les premières semaines, il peut falloir des mois pour récupérer.

  • Sitemap XML créé et soumis : Installez une extension SEO (Yoast SEO, Rank Math ou SEOPress) et confirmez qu'elle génère un sitemap. Soumettez l'URL du sitemap à Google Search Console. Si votre site n'est pas encore dans Search Console, ajoutez-le maintenant et vérifiez la propriété.
  • robots.txt examiné : Visitez votredomaine.com/robots.txt et vérifiez qu'il ne bloque aucun contenu important. Une erreur courante est de laisser en place des règles d'environnement de préproduction qui bloquent toute exploration. Votre robots.txt doit inclure une référence à votre sitemap.
  • « Décourager les moteurs de recherche » est DÉCOCHÉ : Allez dans Réglages > Lecture dans votre admin WordPress. Assurez-vous que « Demander aux moteurs de recherche de ne pas indexer ce site » n'est pas coché. Cette case est fréquemment activée pendant le développement et oubliée au lancement. Lorsqu'elle est activée, WordPress ajoute une balise méta noindex à toutes les pages et bloque les moteurs de recherche via robots.txt.
  • Méta-descriptions définies pour toutes les pages clés : Au minimum, rédigez des méta-descriptions uniques pour votre page d'accueil, votre page à propos, vos pages de services/produits et toute autre page hautement prioritaire. Ce sont les extraits qui apparaissent dans les résultats de recherche et influencent directement les taux de clic.
  • Une seule balise H1 par page avec une hiérarchie des titres correcte : Vérifiez votre page d'accueil et toutes les pages principales. Assurez-vous que chaque page a exactement un H1 (généralement le titre de la page) et que les titres suivent la hiérarchie correcte (H1 > H2 > H3, sans saut). Certains thèmes et constructeurs de pages créent des problèmes de titres qui ne sont pas évidents dans l'éditeur visuel.
  • Balises canoniques présentes sur toutes les pages : Vérifiez que chaque page inclut une balise <link rel="canonical"> pointant vers sa propre URL. La plupart des extensions SEO gèrent cela automatiquement, mais vérifiez quelques pages pour confirmer. Des balises canoniques incorrectes peuvent amener les moteurs de recherche à ignorer entièrement vos pages.
  • Données structurées JSON-LD ajoutées : Au minimum, ajoutez le schéma Organization (pour votre entreprise ou marque) et le schéma Article (pour les articles de blog). Le schéma Breadcrumb est également précieux pour les sites avec navigation lourde. Testez vos données structurées à l'aide de l'outil Rich Results Test de Google.
  • Balises Open Graph et Twitter Card configurées : Partagez un lien vers votre site sur Facebook et Twitter (X) et vérifiez que l'aperçu apparaît correctement : titre, description et image mise en avant adéquats. Utilisez le débogueur de partage Facebook et le validateur de cartes Twitter pour tester et vider les caches si nécessaire.
  • Permaliens définis sur une structure adaptée au SEO : Allez dans Réglages > Permaliens et sélectionnez « Nom de l'article » (la structure /%postname%/). Évitez les structures basées sur la date ou numériques. Si vous modifiez ce paramètre après la publication du contenu, configurez des redirections 301 des anciennes URL vers les nouvelles.
  • Aucune balise noindex accidentelle : Vérifiez la source HTML de vos pages clés pour <meta name="robots" content="noindex">. Certaines extensions SEO permettent de définir noindex sur des pages individuelles, et cela est parfois appliqué accidentellement lors de la création de contenu.

Optimisation des performances WordPress avant le lancement

Les premières impressions comptent. Si les visiteurs arrivent sur un site lent au lancement, ils partiront et pourraient ne pas revenir.

  • Extension de cache installée et configurée : La mise en cache des pages est l'optimisation de performance la plus impactante. Installez WP Rocket, LiteSpeed Cache ou WP Super Cache et vérifiez qu'elle fonctionne en vérifiant les en-têtes de réponse ou la source de la page pour les indicateurs de cache. Consultez le guide de performance (KB-58) pour les instructions de configuration détaillées.
  • Compression Gzip ou Brotli activée : Vérifiez vos en-têtes de réponse pour Content-Encoding: gzip ou Content-Encoding: br. La plupart des extensions de cache activent la compression automatiquement. Sinon, configurez-la au niveau du serveur.
  • Images optimisées avant le lancement : Faites passer toutes les images téléversées par une extension d'optimisation (ShortPixel, Imagify, Smush). Convertissez au format WebP lorsque possible. Activez le chargement différé pour les images sous la ligne de flottaison. Vérifiez qu'aucune image surdimensionnée n'est servie en vérifiant les dimensions des images dans les outils de développement du navigateur.
  • HTTP/2 activé : C'est généralement automatique lorsque HTTPS est actif. Vérifiez en consultant la colonne protocole dans l'onglet réseau de votre navigateur ou en exécutant une analyse InspectWP. Si vous êtes encore sur HTTP/1.1, contactez votre hébergeur.
  • Aucune extension inutile installée : Examinez votre liste d'extensions une dernière fois. Supprimez toutes les extensions qui ont été installées à des fins de développement, de test ou d'évaluation. Chaque extension inutile augmente le temps de chargement, accroît votre surface d'attaque et crée une charge de maintenance.
  • Core Web Vitals validés : Testez vos pages clés avec Google PageSpeed Insights. Visez Largest Contentful Paint (LCP) sous 2,5 secondes, Interaction to Next Paint (INP) sous 200 ms et Cumulative Layout Shift (CLS) sous 0,1. Corrigez les problèmes majeurs avant le lancement.
  • CSS et JavaScript minifiés : Activez la minification dans votre extension de cache et vérifiez que votre site fonctionne toujours correctement. Testez les formulaires, carrousels, accordéons et tout élément interactif pour vous assurer que la minification n'a pas cassé les fonctionnalités JavaScript.

Conformité RGPD et confidentialité avant le lancement

Faire les choses bien dès le premier jour en matière de confidentialité est essentiel. Les corrections rétroactives après une plainte ou une amende sont bien plus coûteuses et stressantes que de tout configurer correctement dès le départ.

  • Bannière de consentement aux cookies installée et correctement configurée : Installez une extension de gestion du consentement (Complianz, Real Cookie Banner ou Cookiebot). Vérifiez que les cookies et scripts non essentiels sont effectivement bloqués avant le consentement. Testez en ouvrant votre site dans une fenêtre de navigation privée, en refusant tous les cookies, et en vérifiant l'onglet réseau du navigateur pour les requêtes tierces.
  • Google Fonts hébergées localement : Ouvrez l'onglet réseau de votre navigateur et recherchez les requêtes vers fonts.googleapis.com ou fonts.gstatic.com. Si certaines apparaissent, passez à des polices hébergées localement. Des extensions comme OMGF ou Local Google Fonts gèrent cela automatiquement.
  • Gravatar désactivé ou défini sur chargement basé sur le consentement : Vérifiez Réglages > Discussion. Soit désactivez Gravatar entièrement, soit utilisez une extension qui affiche un espace réservé local et ne charge les images Gravatar qu'après consentement.
  • Page de politique de confidentialité publiée et liée : Créez une politique de confidentialité complète qui couvre tout le traitement de données sur votre site. Liez-la depuis le pied de page de chaque page et depuis tout formulaire qui collecte des données personnelles. Définissez-la comme page de politique de confidentialité sous Réglages > Confidentialité.
  • Page de mentions légales publiée (Allemagne/Autriche) : Si votre site cible des visiteurs allemands ou autrichiens, vous devez avoir une page Impressum avec votre nom légal complet, adresse postale, e-mail et numéro de téléphone. Rendez-la accessible depuis chaque page via un lien dans le pied ou l'en-tête.
  • Aucune ressource externe ne se charge sans consentement : Au-delà de Google Fonts et Gravatar, vérifiez la présence de jQuery hébergée sur CDN, Font Awesome, Google Analytics, Google Maps, le pixel Facebook, les vidéos YouTube intégrées et tout autre service externe. Chacun nécessite soit un mécanisme de consentement, soit une alternative d'hébergement local.
  • Les formulaires de contact incluent des avis de confidentialité : Chaque formulaire qui collecte des données personnelles doit inclure une case à cocher non cochée avec un lien vers votre politique de confidentialité. Configurez votre extension de formulaire pour inclure un champ de consentement au traitement des données.

Tests de fonctionnalité avant le lancement

La perfection technique ne signifie rien si les fonctionnalités de base ne fonctionnent pas pour vos visiteurs.

  • Tous les liens internes fonctionnent : Cliquez systématiquement à travers votre site ou utilisez un outil comme Broken Link Checker pour trouver les erreurs 404. Faites particulièrement attention aux menus de navigation, aux liens du pied de page et aux liens dans le contenu. Corrigez ou redirigez les URL cassées.
  • Les formulaires de contact envoient correctement les e-mails : Soumettez des entrées de test via chaque formulaire de votre site. Vérifiez que les e-mails de confirmation arrivent dans la boîte de réception prévue (et non dans le dossier spam). Testez avec plusieurs fournisseurs de messagerie (Gmail, Outlook, e-mail d'entreprise). Si les e-mails de formulaire n'arrivent pas, installez WP Mail SMTP pour acheminer les e-mails via un véritable serveur SMTP au lieu de la fonction mail PHP.
  • Design responsive vérifié sur de vrais appareils : Ne vous fiez pas uniquement aux outils de développement du navigateur pour tester le mobile. Testez sur de vrais téléphones et tablettes si possible. Vérifiez que le texte est lisible sans zoom, que les boutons sont assez grands pour être touchés, et qu'il n'y a pas de défilement horizontal. Testez les orientations portrait et paysage.
  • Tests inter-navigateurs effectués : Testez votre site sur Chrome, Firefox, Safari et Edge au minimum. Faites attention aux polices, à la mise en page, aux formulaires et aux fonctionnalités JavaScript. Si votre audience inclut des utilisateurs en entreprise, envisagez de tester d'anciennes versions de navigateurs.
  • Solution de sauvegarde configurée et première sauvegarde effectuée : Ne lancez pas sans une sauvegarde fonctionnelle. Configurez des sauvegardes automatiques quotidiennes vers un emplacement hors site. Effectuez la première sauvegarde manuellement et vérifiez que le fichier de sauvegarde est complet et téléchargeable. Testez la restauration vers un environnement de préproduction si possible.
  • Analyses configurées avec un consentement approprié : Configurez Google Analytics, Matomo ou votre outil d'analyse préféré derrière votre mécanisme de consentement aux cookies. Vérifiez que le suivi ne s'active qu'après que le visiteur a donné son consentement. Vérifiez que les pages vues sont correctement enregistrées en visitant votre site et en consultant le tableau de bord d'analyses en temps réel.
  • Page d'erreur 404 personnalisée : La page 404 par défaut de WordPress est générique et peu utile. Créez une page 404 personnalisée qui inclut votre navigation, une barre de recherche et des liens vers vos contenus les plus importants. Cela aide les visiteurs à trouver ce qu'ils cherchent au lieu de partir.
  • Notifications par e-mail configurées : Vérifiez que l'e-mail d'administrateur WordPress est correct (Réglages > Général). Testez que vous recevez les notifications pour les soumissions de formulaires, les inscriptions d'utilisateurs, les alertes de mises à jour et les alertes des extensions de sécurité. Ces notifications sont votre système d'alerte précoce en cas de problèmes.

Effectuez une analyse InspectWP avant la mise en ligne

Avant d'appuyer sur l'interrupteur, exécutez une analyse InspectWP complète sur votre site. Elle vérifie la configuration SSL, les en-têtes de sécurité HTTP, la version et la configuration WordPress, les extensions installées, les balises méta SEO et la structure des titres, les métriques de performance incluant la compression et la version HTTP, les ressources externes pertinentes pour le RGPD, et bien plus encore. Tout cela en une seule analyse qui prend moins d'une minute. Cela vous donne un bilan de santé complet de votre site avant l'arrivée des vrais visiteurs, afin que vous puissiez corriger les problèmes restants alors que les enjeux sont encore faibles. Après le lancement, configurez des analyses automatiques pour surveiller votre site en continu et recevoir des alertes lorsque quelque chose change.

Article précédent

Guide d'optimisation des performances WordPress

Articles liés

Guide d'optimisation des performances WordPress

Liste de vérification SEO pour WordPress

Liste de vérification de conformité RGPD pour WordPress

Voir tous les articles

Vérifiez votre site WordPress dès maintenant

InspectWP analyse votre site WordPress pour détecter les problèmes de sécurité, de SEO, de conformité RGPD et de performance — gratuitement.

Analyser votre site gratuitement