InspectWP Logo
Najlepsze praktyki

Uruchamianie nowej witryny WordPress — co sprawdzić

8 lutego 2026 Zaktualizowano 19 kwi 2026

Uruchomienie nowej witryny WordPress bez dokładnego przeglądu przed startem jest jak otwarcie sklepu bez sprawdzenia, czy drzwi się zamykają lub czy światła działają. Wiele problemów, które pojawiają się po uruchomieniu, od luk bezpieczeństwa po błędne konfiguracje SEO, jest znacznie trudniejszych i bardziej krępujących do naprawienia, gdy prawdziwi odwiedzający i wyszukiwarki już się pojawili. Ta lista kontrolna obejmuje wszystko, co musisz zweryfikować przed przełączeniem przełącznika, zorganizowane według kategorii. Pojedynczy skan InspectWP może automatycznie sprawdzić większość tych elementów.

Lista kontrolna bezpieczeństwa WordPress przed uruchomieniem

Luki bezpieczeństwa przy uruchomieniu są szczególnie problematyczne, ponieważ zautomatyzowane boty skanują w poszukiwaniu nowych instalacji WordPress i mogą wykorzystać domyślne konfiguracje w ciągu kilku godzin.

  • Certyfikat SSL zainstalowany i zweryfikowany: Otwórz witrynę w przeglądarce i potwierdź, że pojawia się ikona kłódki. Kliknij ją, aby zweryfikować, że certyfikat jest ważny, nie wygasł i wydany dla właściwej domeny. Przetestuj zarówno https://example.com, jak i https://www.example.com (cokolwiek używasz).
  • Przekierowanie HTTP na HTTPS działa: Wpisz ręcznie http://twojadomena.com w przeglądarce i potwierdź, że przekierowuje na wersję HTTPS z przekierowaniem 301 (stałym), a nie 302 (tymczasowym). Przetestuj z wariantami www i non-www.
  • Nagłówki bezpieczeństwa skonfigurowane: Zweryfikuj, że następujące nagłówki są obecne w odpowiedziach serwera: HSTS (Strict-Transport-Security), X-Frame-Options, X-Content-Type-Options, Referrer-Policy i Permissions-Policy. Content-Security-Policy jest opcjonalne przy uruchomieniu, ale powinno znaleźć się w Twojej mapie drogowej. InspectWP automatycznie sprawdza je wszystkie.
  • Rdzeń WordPress, wszystkie wtyczki i wszystkie motywy w pełni zaktualizowane: Nawet jeśli zainstalowałeś wszystko tydzień temu, sprawdź aktualizacje. Programiści WordPress i wtyczek regularnie wydają łatki bezpieczeństwa. Przejdź do Kokpit > Aktualizacje i upewnij się, że wszystko jest aktualne.
  • Domyślna nazwa użytkownika "admin" zmieniona: Jeśli utworzyłeś początkowe konto użytkownika z nazwą użytkownika "admin", utwórz nowe konto administratora z inną nazwą użytkownika, przypisz całą zawartość do niego i usuń stare konto "admin". Atakujący próbują tej nazwy użytkownika jako pierwszej w atakach brute-force.
  • Silne, unikalne hasła dla wszystkich kont: Każde konto użytkownika musi mieć hasło co najmniej 16 znaków, wygenerowane losowo i nieużywane ponownie z innej witryny. Użyj menedżera haseł. Włącz uwierzytelnianie dwuskładnikowe (2FA) dla wszystkich kont administratora.
  • XML-RPC wyłączone, jeśli nie jest wymagane: Chyba że używasz Jetpack lub aplikacji mobilnej WordPress, całkowicie wyłącz XML-RPC. To częsty cel ataków wzmacniających brute-force. Zablokuj go na poziomie serwera lub za pomocą wtyczki bezpieczeństwa.
  • Punkt końcowy użytkowników REST API ograniczony: Przetestuj, odwiedzając twojadomena.com/wp-json/wp/v2/users w przeglądarce. Jeśli zwraca listę nazw użytkowników, musisz ograniczyć ten punkt końcowy tylko do uwierzytelnionych użytkowników.
  • Edycja plików w panelu admin wyłączona: Dodaj define('DISALLOW_FILE_EDIT', true); do wp-config.php. Zapobiega to edycji plików motywu lub wtyczki przez kogokolwiek (w tym atakujących uzyskujących dostęp admin) przez panel WordPress.
  • debug.log nie jest publicznie dostępny: Przejdź do twojadomena.com/wp-content/debug.log w przeglądarce. Jeśli widzisz wynik logów, usuń plik lub zablokuj do niego dostęp przez konfigurację serwera. W produkcji ustaw WP_DEBUG na false i WP_DEBUG_LOG na false w wp-config.php.
  • Niepotrzebna domyślna zawartość usunięta: Usuń przykładowy post "Hello World", przykładową stronę i przykładowy komentarz. Usuń nieużywane motywy (zachowaj tylko aktywny motyw i jeden domyślny jako rezerwę). Usuń wtyczki zainstalowane do testów, których nie potrzebujesz w produkcji.
  • Rozwiązanie kopii zapasowych skonfigurowane i przetestowane: Skonfiguruj automatyczne kopie zapasowe przed uruchomieniem, nie po. Skonfiguruj wtyczkę taką jak UpdraftPlus, aby tworzyła kopie zapasowe do lokalizacji off-site (Amazon S3, Google Drive, Dropbox). Wykonaj testową kopię zapasową i zweryfikuj, że możesz z niej przywrócić.

Konfiguracja SEO WordPress przed uruchomieniem

Błędne konfiguracje SEO przy uruchomieniu mogą mieć trwałe konsekwencje. Jeśli wyszukiwarki niepoprawnie indeksują Twoją witrynę w pierwszych tygodniach, naprawa może zająć miesiące.

  • Mapa witryny XML utworzona i przesłana: Zainstaluj wtyczkę SEO (Yoast SEO, Rank Math lub SEOPress) i potwierdź, że generuje mapę witryny. Prześlij URL mapy witryny do Google Search Console. Jeśli Twojej witryny jeszcze nie ma w Search Console, dodaj ją teraz i zweryfikuj własność.
  • robots.txt przejrzany: Odwiedź twojadomena.com/robots.txt i zweryfikuj, że nie blokuje ważnej zawartości. Częsty błąd to pozostawienie reguł środowiska staging blokujących całe crawlowanie. Twój robots.txt powinien zawierać odwołanie do mapy witryny.
  • "Zniechęć wyszukiwarki" jest ODZNACZONE: Przejdź do Ustawienia > Czytanie w panelu administracyjnym WordPress. Upewnij się, że "Zniechęć wyszukiwarki do indeksowania tej witryny" nie jest zaznaczone. To pole jest często włączane podczas rozwoju i zapominane przy uruchomieniu. Gdy jest włączone, WordPress dodaje meta tag noindex do wszystkich stron i blokuje wyszukiwarki przez robots.txt.
  • Meta-opisy ustawione dla wszystkich ważnych stron: Przynajmniej napisz unikalne meta-opisy dla strony głównej, strony o nas, stron usług/produktów i innych stron o wysokim priorytecie. To snippety pojawiające się w wynikach wyszukiwania i bezpośrednio wpływają na współczynnik klikalności.
  • Jeden znacznik H1 na stronę z poprawną hierarchią nagłówków: Sprawdź stronę główną i wszystkie ważne strony. Upewnij się, że każda strona ma dokładnie jeden H1 (zwykle tytuł strony) i że nagłówki podążają za właściwą hierarchią (H1 > H2 > H3, bez pomijania). Niektóre motywy i konstruktory stron powodują problemy z nagłówkami, które nie są oczywiste w edytorze wizualnym.
  • Tagi kanoniczne obecne na wszystkich stronach: Zweryfikuj, że każda strona zawiera tag <link rel="canonical"> wskazujący na własny URL. Większość wtyczek SEO obsługuje to automatycznie, ale sprawdź kilka stron, aby to potwierdzić. Nieprawidłowe tagi kanoniczne mogą spowodować, że wyszukiwarki całkowicie zignorują Twoje strony.
  • Dane strukturalne JSON-LD dodane: Dodaj przynajmniej schema Organization (dla Twojej firmy lub marki) i schema Article (dla wpisów na blogu). Schema Breadcrumb jest również wartościowa dla witryn z dużą nawigacją. Przetestuj dane strukturalne za pomocą narzędzia Rich Results Test Google.
  • Tagi Open Graph i Twitter Card skonfigurowane: Udostępnij link do witryny na Facebook i Twitter (X) i zweryfikuj, że podgląd wygląda poprawnie: właściwy tytuł, opis i wyróżniony obraz. Użyj Sharing Debugger Facebook i Card Validator Twittera, aby przetestować i wyczyścić cache w razie potrzeby.
  • Permalinki ustawione na strukturę przyjazną SEO: Przejdź do Ustawienia > Permalinki i wybierz "Nazwa wpisu" (struktura /%postname%/). Unikaj struktur opartych na dacie lub numerycznych. Jeśli zmieniasz to ustawienie po publikacji zawartości, skonfiguruj przekierowania 301 ze starych URL-i na nowe.
  • Brak niezamierzonych tagów noindex: Sprawdź kod źródłowy HTML swoich najważniejszych stron pod kątem <meta name="robots" content="noindex">. Niektóre wtyczki SEO pozwalają ustawić noindex na poszczególnych stronach, a czasami jest to przypadkowo stosowane podczas tworzenia zawartości.

Optymalizacja wydajności WordPress przed uruchomieniem

Pierwsze wrażenia się liczą. Jeśli odwiedzający trafiają na wolną witrynę przy uruchomieniu, odchodzą i mogą nie wrócić.

  • Wtyczka cache zainstalowana i skonfigurowana: Cache strony to najbardziej wpływowa optymalizacja wydajności. Zainstaluj WP Rocket, LiteSpeed Cache lub WP Super Cache i zweryfikuj, że działa, sprawdzając nagłówki odpowiedzi lub źródło strony pod kątem wskaźników cache. Zobacz przewodnik wydajności (KB-58) dla szczegółowych instrukcji instalacji.
  • Kompresja Gzip lub Brotli włączona: Sprawdź nagłówki odpowiedzi pod kątem Content-Encoding: gzip lub Content-Encoding: br. Większość wtyczek cache włącza kompresję automatycznie. Jeśli nie, skonfiguruj ją na poziomie serwera.
  • Obrazy zoptymalizowane przed uruchomieniem: Przepuść wszystkie przesłane obrazy przez wtyczkę optymalizacyjną (ShortPixel, Imagify, Smush). Konwertuj na format WebP, gdzie to możliwe. Włącz lazy loading dla obrazów poniżej fold. Zweryfikuj, że żadne zbyt duże obrazy nie są serwowane, sprawdzając rozmiary obrazów w narzędziach deweloperskich przeglądarki.
  • HTTP/2 włączone: To zwykle automatyczne, gdy HTTPS jest aktywne. Zweryfikuj, sprawdzając kolumnę protokołu w zakładce sieci przeglądarki lub uruchamiając skan InspectWP. Jeśli nadal jesteś na HTTP/1.1, skontaktuj się z hostingodawcą.
  • Brak niepotrzebnych zainstalowanych wtyczek: Przejrzyj listę wtyczek po raz ostatni. Usuń wszelkie wtyczki zainstalowane do celów rozwojowych, testowych lub ewaluacyjnych. Każda niepotrzebna wtyczka dodaje czas ładowania, zwiększa powierzchnię ataku i tworzy narzut konserwacji.
  • Core Web Vitals przeszły: Przetestuj najważniejsze strony za pomocą Google PageSpeed Insights. Dąż do Largest Contentful Paint (LCP) poniżej 2,5 sekundy, Interaction to Next Paint (INP) poniżej 200 ms i Cumulative Layout Shift (CLS) poniżej 0,1. Rozwiąż główne problemy przed uruchomieniem.
  • CSS i JavaScript zminifikowane: Włącz minifikację w swojej wtyczce cache i zweryfikuj, że witryna nadal działa poprawnie. Przetestuj formularze, slidery, akordeony i inne elementy interaktywne, aby upewnić się, że minifikacja nie zepsuła funkcjonalności JavaScript.

Zgodność z GDPR i prywatnością przed uruchomieniem

Prawidłowe ustawienie prywatności od pierwszego dnia jest kluczowe. Retroaktywne poprawki po skardze lub karze są znacznie droższe i bardziej stresujące niż prawidłowe ustawienie rzeczy od początku.

  • Baner zgody na cookie zainstalowany i poprawnie skonfigurowany: Zainstaluj wtyczkę zarządzania zgodą (Complianz, Real Cookie Banner lub Cookiebot). Zweryfikuj, że nieistotne cookie i skrypty są rzeczywiście blokowane przed wyrażeniem zgody. Przetestuj, otwierając witrynę w oknie incognito, odrzucając wszystkie cookie i sprawdzając zakładkę sieci przeglądarki pod kątem żądań stron trzecich.
  • Google Fonts hostowane lokalnie: Otwórz zakładkę sieci przeglądarki i poszukaj żądań do fonts.googleapis.com lub fonts.gstatic.com. Jeśli się pojawiają, przełącz na lokalnie hostowane czcionki. Wtyczki takie jak OMGF lub Local Google Fonts obsługują to automatycznie.
  • Gravatar wyłączony lub ustawiony na ładowanie oparte na zgodzie: Sprawdź Ustawienia > Dyskusja. Wyłącz Gravatar całkowicie lub użyj wtyczki pokazującej lokalny placeholder i ładującej obrazy Gravatar dopiero po zgodzie.
  • Strona polityki prywatności opublikowana i zlinkowana: Utwórz kompleksową politykę prywatności obejmującą całe przetwarzanie danych w witrynie. Linkuj ją ze stopki każdej strony oraz z formularzy zbierających dane osobowe. Ustaw ją jako stronę polityki prywatności w Ustawienia > Prywatność.
  • Strona Imprint / Informacja prawna opublikowana (Niemcy/Austria): Jeśli Twoja witryna jest skierowana do niemieckich lub austriackich odwiedzających, musisz mieć stronę Impressum z pełną nazwą prawną, adresem pocztowym, e-mailem i numerem telefonu. Spraw, aby była dostępna z każdej strony przez link w stopce lub nagłówku.
  • Brak zewnętrznych zasobów ładujących się bez zgody: Oprócz Google Fonts i Gravatar sprawdź jQuery hostowane w CDN, Font Awesome, Google Analytics, Google Maps, piksel Facebook, osadzone filmy YouTube i inne zewnętrzne usługi. Każda usługa potrzebuje mechanizmu zgody lub alternatywy lokalnego hostowania.
  • Formularze kontaktowe zawierają powiadomienia o prywatności: Każdy formularz zbierający dane osobowe powinien zawierać niezaznaczone pole wyboru z linkiem do polityki prywatności. Skonfiguruj wtyczkę formularza, aby zawierała pole zgody na przetwarzanie danych.

Testy funkcjonalności przed uruchomieniem

Techniczna doskonałość nic nie znaczy, jeśli podstawowe funkcje nie działają dla Twoich odwiedzających.

  • Wszystkie linki wewnętrzne działają: Klikaj systematycznie po witrynie lub użyj narzędzia takiego jak Broken Link Checker, aby znaleźć błędy 404. Zwróć szczególną uwagę na menu nawigacyjne, linki w stopce i linki w treści. Napraw lub przekieruj zepsute URL-e.
  • Formularze kontaktowe wysyłają e-maile poprawnie: Wyślij testowe zgłoszenia przez każdy formularz w witrynie. Sprawdź, czy e-maile potwierdzające docierają do zamierzonej skrzynki (nie folderu spam). Przetestuj z wieloma dostawcami e-mail (Gmail, Outlook, e-mail firmowy). Jeśli e-maile z formularzy nie przychodzą, zainstaluj WP Mail SMTP, aby kierować e-maile przez właściwy serwer SMTP zamiast PHP mail.
  • Responsywny design mobilny zweryfikowany na rzeczywistych urządzeniach: Nie polegaj wyłącznie na narzędziach deweloperskich przeglądarki do testowania mobilnego. Testuj na prawdziwych telefonach i tabletach, gdzie to możliwe. Sprawdź, czy tekst jest czytelny bez powiększania, przyciski są wystarczająco duże, aby je dotknąć, i nie ma poziomego przewijania. Przetestuj zarówno orientację pionową, jak i poziomą.
  • Testowanie międzyprzeglądarkowe zakończone: Przetestuj witrynę przynajmniej w Chrome, Firefox, Safari i Edge. Zwróć uwagę na czcionki, układ, formularze i funkcjonalność JavaScript. Jeśli Twoja publiczność obejmuje użytkowników biznesowych, rozważ testowanie starszych wersji przeglądarek.
  • Rozwiązanie kopii zapasowych skonfigurowane i pierwsza kopia zapasowa ukończona: Nie uruchamiaj bez działającej kopii zapasowej. Skonfiguruj automatyczne dzienne kopie zapasowe do lokalizacji off-site. Wykonaj pierwszą kopię zapasową ręcznie i zweryfikuj, że plik kopii zapasowej jest kompletny i można go pobrać. Przetestuj przywracanie do środowiska staging, gdzie to możliwe.
  • Analityka skonfigurowana z właściwą zgodą: Skonfiguruj Google Analytics, Matomo lub preferowane narzędzie analityczne za mechanizmem zgody na cookie. Zweryfikuj, że śledzenie aktywuje się dopiero po wyrażeniu zgody przez odwiedzającego. Sprawdź, czy wyświetlenia stron są poprawnie rejestrowane, odwiedzając witrynę i przeglądając panel analityki w czasie rzeczywistym.
  • Strona błędu 404 dostosowana: Domyślna strona 404 WordPress jest ogólna i nieprzydatna. Utwórz niestandardową stronę 404 zawierającą nawigację witryny, pasek wyszukiwania i linki do najważniejszej zawartości. Pomaga to odwiedzającym znaleźć to, czego szukają, zamiast odchodzić.
  • Powiadomienia e-mail skonfigurowane: Zweryfikuj, że adres e-mail admina WordPress jest poprawny (Ustawienia > Ogólne). Przetestuj, czy otrzymujesz powiadomienia o zgłoszeniach formularzy, rejestracjach użytkowników, alertach o aktualizacjach i powiadomieniach z wtyczek bezpieczeństwa. Te powiadomienia są Twoim systemem wczesnego ostrzegania o problemach.

Uruchom skan InspectWP przed wejściem na żywo

Zanim przełączysz przełącznik, uruchom kompleksowy skan InspectWP w witrynie. Sprawdza konfigurację SSL, nagłówki bezpieczeństwa HTTP, wersję i konfigurację WordPress, zainstalowane wtyczki, meta-tagi SEO i strukturę nagłówków, metryki wydajności w tym kompresję i wersję HTTP, zewnętrzne zasoby istotne dla GDPR i wiele więcej. Wszystko w jednym skanie trwającym mniej niż minutę. Daje to kompletną kontrolę stanu witryny przed przybyciem prawdziwych odwiedzających, dzięki czemu możesz rozwiązać wszelkie pozostałe problemy, gdy stawka jest jeszcze niska. Po uruchomieniu skonfiguruj automatyczne skany, aby ciągle monitorować witrynę i otrzymywać powiadomienia, gdy coś się zmieni.

Poprzedni artykuł

Przewodnik optymalizacji wydajności WordPress

Powiązane artykuły

Przewodnik optymalizacji wydajności WordPress

Lista kontrolna SEO WordPress

Lista kontrolna zgodności WordPress z GDPR

Zobacz wszystkie artykuły

Sprawdź teraz swoją stronę WordPress

InspectWP analizuje Twoją stronę WordPress pod kątem bezpieczeństwa, problemów SEO, zgodności z RODO i wydajności — za darmo.

Przeanalizuj stronę za darmo