Auditer un site WordPress, c’est indispensable de le faire ponctuellement. Mais pourquoi est-ce important ? Et surtout, comment mener à bien cette analyse pour que cela permette réellement d’améliorer votre site ? Voici la réponse !

La base des audits

C’est quoi un audit ?

Un audit est une analyse détaillée qui permet de vérifier l’état, la santé ou encore la fiabilité d’un élément précis. Dans notre secteur d’activité, nous parlerons souvent de diagnostic de site Internet, d’audit de sécurité, ou encore en ce qui concerne notre spécialité à l’agence SeoMix : l’audit SEO. Vous pouvez le réaliser en interne ou en externe, avec un cabinet d’audit ou une agence spécialisée ou encore avec un indépendant. A vrai dire, il faut surtout une personne qui maîtrise les différents aspects de WordPress.

Et pour WordPress ?

A vrai dire, un audit WordPress n’est ni plus ni moins qu’un audit classique de site Internet. Il y a bien sûr des spécificités liées au CMS, mais les bonnes pratiques de référencement, de performance, de sécurité ou encore d’ergonomie sont communes à toutes les solutions techniques existantes sur le marché.

La vraie différence, c’est surtout les outils et méthodologies que l’on va mettre en place pour l’analyse.

Quels sont les objectifs d’un audit ?

C’est la première question à se poser. Un vrai audit de site (que ce soit WordPress, un autre CMS ou un site sur mesure) doit permettre plusieurs choses :

  • Faire un état des lieux ;
  • Lister toutes les corrections/optimisations à mettre en place ;
  • Définir une stratégie ;
  • Lister les corrections et actions à faire de manière lisible et actionnable.

Et bien entendu, cet examen détaillé n’a une réelle utilité qu’à une seule condition : que l’on applique les préconisations. Cela sous-entend un principe fondamental : Vous devez prévoir après cet audit du temps et/ou un budget pour les correctifs, optimisations et modifications préconisées. Si ce n’est pas le cas, réaliser une étude poussée de votre site Internet n’aura aucun intérêt.

Les éléments nécessaires pour WordPress

Et avant de démarrer, il faut donner les bonnes informations à la personne en charge de l’analyse. Cela implique donc de lui donner un accès global à toutes les informations dont il aura besoin :

  • L’administration du site WordPress ;
  • Le FTP ;
  • Les logs serveurs (si le FTP ne permet pas d’y accéder directement) ;
  • Les logs de WordPress ;
  • La base de données de WordPress ;
  • La Search console de Google ;
  • L’outil de webanalytics mis en place (Google Analytics par exemple).

Pour les logs, plus tôt vous y aurez accès mieux ce sera car :

  • Les logs serveurs ne sont pas conservés très longtemps par les hébergeurs ;
  • Les logs WordPress sont souvent désactivés (nous allons vous expliquer comment les activer plus loin).
Accès aux données d'audit
Pour une analyse réussie, donnez vos accès

Audit de sécurité

Commençons par la 1ère problématique rencontrée lors de ce type d’analyse, la sécurité de WordPress.

Les mises à jour

Gardez bien en tête qu’aucun site Internet au monde ne sera sécurisé à 100%. L’objectif est par contre d’y tendre le plus possible.

On commence donc par vérifier plusieurs éléments :

  • WordPress est à jour
  • Vos extensions et le thème aussi !

Le serveur

Côté hébergement, on va vérifier que le serveur est bien infogéré (sur ce point, on sort clairement du cadre de WordPress et nous vous conseillons de faire appel à des prestataires de confiance).

En ce qui concerne le CMS, on peut cependant vérifier certains éléments importants, à commencer par les droits d’écritures et lectures sur les fichiers et dossiers (ce qu’on appelle le CHMOD) :

  • 755 sur les dossiers
  • 644 sur les fichiers

Dans le même temps,  vérifiez que vous avez une version récente de PHP (la 7.3 étant la dernière version), d’Apache (2.4 actuellement) et de MySQL (déjà en version 8). Cela a un impact non négligeable sur la sécurité, les performances et les possibilités techniques.

Bien entendu, lors de l’audit du site, vérifiez que vous ne laissez pas traîner de fichiers ou d’outils sensibles

HTTPS

C’est indispensable en 2019 pour la sécurité (mais cela n’a aucun impact en référencement naturel). Si cela vous intéresse, on vous conseille notre guide de migration HTTPS de WordPress.

Pour vérifier lors de l’audit de votre CMS que l’HTTPS est correct, c’est assez simple. Testez votre site avec ces deux outils :

SSL Check
Des exemples d’URL non valies HTTPS avec SSL Check

Masquer WordPress ?

Vouloir masquer sa version de WordPress est potentiellement une bonne chose. Cela évite à certains pirates de la connaître et d’en déduire certaines failles qui existeraient encore avec votre version actuelle.

Sachez cependant que l’on peut facilement la retrouver, ceci de multiples façons (dans le code source de vos pages, dans celui des flux RSS, la version des scripts inclus dans le cœur de WordPress, dans certains fichiers sur votre serveur). C’est ainsi un point qu’on ignore assez vite dans ce type d’audit car il existe quasiment toujours un moyen de la récupérer.

La configuration de WP avec wp-config.php

Dans l’analyse, on vérifie également le fichier de configuration de WordPress wp-config.php situé à la racine de l’installation. On va ainsi regarder

  • Si les clés de salage sont présentes et paramétrées
  • Si certaines constantes utiles pour la sécurité sont bien actives dans votre WordPress, notamment :
    • Mises à jour mineurs automatiques : WP_AUTO_UPDATE_CORE => Minor
    • Filtrer les uploads : ALLOW_UNFILTERED_UPLOADS => False
    • Filtrer le contenu HTML : DISALLOW_UNFILTERED_HTML => True
    • Pas d’éditeur de fichier : DISALLOW_FILE_EDIT => True

La page de login

Toujours pour des raisons de sécurité, on vérifie que l’URL de la page de login n’est pas devinable, que les erreurs de logins soient bien masquées et que l’on ne puisse pas faire de Brut Force sur le formulaire de connexion.

La protection Brut Force permet d’éviter qu’un pirate tente un nombre important de logins/mots de passe, et le fait de déplacer la page de login rend bien plus complexes les piratages via la page de connexion de WordPress (par défaut wp-admin ou wp-login ans l’URL).

Les Utilisateurs

De même, on ne doit pas pouvoir deviner un login sur un site WordPress. Nous devons donc contrôler l’identifiant de chaque utilisateur pour ne pas avoir de termes génériques (admin, webmaster, etc.), de noms et prénoms ou encore le nom de la société, de l’organisme ou de l’association.

On vérifie aussi que chaque personne ait un accès unique avec un rôle adapté dans l’installation WordPress (administrateur, éditeur, etc.).

Audit du Paramétrage

Les Contenus par défaut

Lors de l’analyse du site WordPress, il faut s’assurer que le créateur a bien pensé à supprimer les contenus par défaut :

  • La page d’exemple
  • L’article « bonjour tout le monde »
  • La catégorie « non classée »

Configurer WordPress

Dans la foulée, on contrôle la configuration des menus par défaut, et notamment ces points souvent mal configurés :

  • Le slogan ;
  • Le fuseau horaire ;
  • L’extrait pour le flux RSS ;
  • Suffisamment d’articles par page ;
  • Un commentaire doit être approuvé manuellement ;
  • Des URL par défaut avec uniquement l’article (postname).
Paramétrage des permaliens de WordPress
Un grand classique de mauvais paramétrage WordPress

Attention par contre : ne modifiez pas ce paramètre sans préparer vos redirections 301 avant (pour ne pas perdre le référencement naturel de votre WordPress).

Auditer ce qui se passe réellement

Le crawl

Pour mener à bien un contrôle minutieux de ce qui se passe sur votre WordPress, il est indispensable d’utiliser un logiciel de crawl. A l’agence, nous avons une nette préférence pour l’outil Screaming Frog.

Grâce à ce logiciel, nous pouvons parcourir chaque URL comme le ferait un visiteur ou un moteur de recherche. De même, cet outil d’analyse permet de croiser les données avec des API externes comme la Search Console de Google, MajesticSEO, Google Analytics ou encore aHrefs. Il faudra ensuite analyser chaque type d’information (erreurs, duplication, structure, etc.).

Les Logs de votre serveur

Les logs que votre hébergeur peut générer sont d’une très grande utilité lors de l’audit de n’importe quel site. Ils permettent notamment de répondre à certaines questions comme :

  • Que font réellement les visiteurs et les robots ?
  • Quelles pages sont crawlées ou consultées anormalement ?
  • Mes pages renvoient-elles le bon entête HTTP ?
  • Quelles sont les pages les plus sollicitées ?
Analyse de logs serveur
Un exemple d’analyse de logs

Le Debug

Pour un audit complet de WordPress, il est très important d’activer le fichier de debug pour lister toutes les problématiques techniques générées par votre CMS, vos extensions et votre thème. Pour l’activer, il faut rajouter les lignes suivantes dans le fichier wp-config.php :

  • define( ‘WP_DEBUG’, true );
  • define( ‘WP_DEBUG_DISPLAY’, false );
  • define( ‘WP_DEBUG_LOG’, true );

Search Console

Les Search Console des moteurs de recherche peuvent aussi vous aider à auditer les aspects SEO de WordPress, mais aussi certains aspects liés à la sécurité, la performance ou encore l’ergonomie.

Il est ainsi conseillé d’avoir un compte dans la Search Console de Google pour pouvoir contrôler chaque donnée que le moteur de recherche va monitorer :

  • problèmes d’ergonomie mobile ;
  • piratage détecté ;
  • pénalité manuelle ;
  • mauvais balisage schema.org ;
  • etc.

Les extensions utiles

Enfin, pour avoir un réel diagnostic de ce qui se passe réellement sur votre site, on va rajouter différentes extensions qui nous donneront des informations complémentaires :

  • Health Check pour la sécurité et l’état de santé du site (maintenant intégrée nativement dans WordPress) ;
  • Query Monitor pour récupérer de nombreuses informations techniques sur votre installation, vos extensions et votre thème ;
  • WP Crontrol qui vous permet de vérifier tous les CRON WordPress actifs actuellement ;
  • Rewrite Rules Inspector qui vous affiche le détail des règles de réécriture utilisées par votre installation ;
  • Snitch qui permet de contrôler tous les appels externes que fait votre WordPress.
Extension Snitch WordPress
Snitch vous liste tous les appels externes du CMS

Audit de fonctionnement

La gestion quotidienne de votre site doit aussi être contrôlée

Maintenance et Backup

Vous devez :

  • Avoir un système de sauvegarde en plus de celui de l’hébergeur ;
  • Vérifier le place disponible sur votre hébergement (stockage et éventuellement bande passante).

Les WebAnalytics

De même, on doit vérifier la présence d’un outil de webanalytics qui sera utile en webmarketing. Contrôlez donc :

  • qu’un outil est installé (comme Google Analytics) ;
  • que vous n’envoyez pas de données personnelles sur vos utilisateurs à cet outil (nom, adresse, téléphone, ID, etc.) ;
  • que l’on est exclu des statistiques ;
  • que l’on a mis en place le suivi des conversions ;
  • que le tracking fonctionne réellement.

Réglementation

Nous allons aussi vérifier les aspects légaux, notamment la présence et la rédaction correcte :

  • des mentions légales ;
  • des différents aspects liés à la RGPD ou à la gestion des cookies ;
  • les CGV si vous vendez des produits et services et les CGU si vous fournissez un outil ;
  • tout ce qui a trait au droit d’auteur sur vos contenus et vos médias.

Les thèmes et extensions

C’est un très gros aspect de l’analyse d’un site utilisant le CMS WordPress.

La liste

Commençons par la base :

  • on liste les extensions et thèmes inactifs qui devront être supprimé (gardez juste le dernier thème par défaut en cas de plantage de votre thème actif) ;
  • on regarde les extensions / thèmes non mis à jour depuis longtemps
  • on prend le temps de se demander si on a VRAIMENT besoin de certaines extensions

L’audit de code

Si vous avez le budget, on peut aller bien plus loin en analysant le code du thème et de chaque extension utilisée. On peut ainsi réaliser un audit de code pour vérifier :

  • La sécurité ;
  • Le respect des standards ;
  • Les erreurs ;
  • Les performances ;
  • Etc.

Mais comment faire un audit de code ? Il existe plusieurs solutions :

  • le faire soi-même (bon courage…) ;
  • faire appel à un prestataire spécialisé ;
  • utiliser des outils comme Scrutinizer.
Scrutinizer
Scrutinizer permet d’audit une partie de votre code

Pour les thèmes, vous pouvez aussi utiliser ces deux extensions pour analyser partiellement la façon dont ils ont été codés :

WordPress Theme Sniffer
Theme Sniffer vous liste tout ce qui ne va pas dans votre thème WordPress

Pour les extensions et thèmes, on peut aussi citer :

Les autres thématiques d’audit WordPress

Accessibilité et Ergonomie

Pour auditer cet aspect, il faut :

  • Tester manuellement et avoir des compétences dans ce domaine ;
  • Tester manuellement comme un visiteur classique en vous posant constamment une simple question : est-ce que cet élément est compréhensible et facile à utiliser ?
  • Faire exprès de se tromper et d’être « bête » : vous n’imaginez pas le nombre de problèmes d’ergonomie qu’on détecte quand fait exprès de se tromper ;
  • Pensez aux différents types de handicap qui peuvent interférer ou non sur votre site, son affichage et son fonctionnement : personne aveugle, daltonienne, pas de souris sur l’ordinateur, forte luminosité, etc.

Et bien entendu on utilise des outils dédiés :

Audit d'accessibilité
Les outils vous permettent de mieux visualiser les problématiques d’accessibilité

Attention, je parle ici d’un audit basique d’accessibilité. Une vraie analyse en ce domaine nécessite une réelle expertise, et on ne peut que vous conseiller de faire appel à un prestataire spécialisé.

Performance

La vitesse, c’est important. On doit donc l’auditer. On teste ainsi différents aspects, par exemple avec des outils comme GtMetrix ou WebPageTest.

Ce qui est important, c’est de contrôler :

  • le temps de chargement total (tout est entièrement chargé) ;
  • le TTFB : Time to First Byte (le temps mis par votre serveur pour renvoyer les premières données au navigateur).

On regarde bien entendu le poids de la page et le nombre de requêtes. On peut aussi regarder le détail des notes de PageSpeed et Yslow (mais attention, ce sont des notes techniques et une meilleure notation n’implique pas systématiquement un temps de chargement réel plus court).

Temps de chargement et GtMetrix
GtMetrix donne de précieuses informations sur la vitesse d’une URL

Sous le capot, l’audit doit vérifier s’il y a une extension de cache bien paramétré, et l’on doit aussi vérifier si le code utilisé est performant (avec Query Monitor, Snitch ou encore WP Crontrol).

Mobile

2019, vous devez être responsive ! Vous le savez, cela impacte :

  • les conversions ;
  • L’expérience utilisateur ;
  • Le SEO.

Il faut théoriquement tester chaque page séparément. Et pour cela, on peut lister ces méthodes :

  • Manuellement en réduisant la taille de la fenêtre ou sur votre mobile ;
  • Avec la console de développeur Firefox ou Chrome (il y a un bouton pour basculer en version « mobile ») ;
  • Avec l’outil de test mobile de Google ;
  • Avec Browserstack !

Internationalisation

Si le site cible d’autres pays, l’audit du site doit aussi aborder les aspects internationaux.

On peut d’abord regarder la configuration des langues, de préférence avec des domaines différents (seomix.fr, seomix.com, etc.) ou des sous-domaines. Si possible, évitez les répertoires.

On doit aussi vérifier le balisage hreflang (ce sont des lignes de code qui indique les éventuelles traductions du contenu actuellement consulté). Vous retrouvez d’ailleurs un menu dédié dans la Search Console de Google.

Mais attention, pour avoir un site WordPress bien traduit, il faut :

  • vérifier que l’on n’a pas de textes dans la mauvaise langue (par exemple en footer ou en sidebar) ;
  • et ne pas se contenter de traduire ! On s’adapte à la culture du pays cible.

Référencement naturel

C’est bien entendu un sujet important (et qui est notre coeur de métier), l’audit de référencement naturel.

Sans entrer dans le détail complet, voici les grands aspects à vérifier.

Les outils

On utilise de nombreux outils et services en ligne :

  • Les logs
  • La Search Console
  • Un outil de crawl
  • Des outils de mots clés : SemRush, Ubersuggest, Answerthepublic
  • Des outils d’analyse : SemRush, Majestic SEO
  • Des outils de visualisation : Gephi

Les bases SEO du CMS

Quand on fait le bilan SEO d’un WordPress (et de tout autre type de site d’ailleurs), on se pose les bonnes questions :

  • Ai-je un audit de mots clés bien réalisé (et qui sert de base à la stratégie et à la rédaction de contenus) ?
  • Ai-je un contenu unique et pertinent pour chaque expression que je cible ?
  • Ai-je correctement catégorisé mes contenus ?
  • Ai-je réellement réfléchi aux différentes intentions de l’internaute (et suis-je capable d’y répondre) ?
  • Ai-je une stratégie pour obtenir des liens vers mon site ?

Si vous répondez oui à toutes ces questions, bravo, vous avez une base SEO bien meilleure que la plupart des sites.

D’un point de vue technique, il faudra une extension SEO bien paramétrée, des URL canoniques (normalement l’extension s’en charge) et aucun élément bloquant (erreurs 404, navigation à facettes indexées, format flash, site one page, boucles de redirections, etc.).

La conférence

Nous avons eu le plaisir de traiter ce sujet lors d’une conférence à l’excellent WordCamp Bordeaux 2019 ! Voici les slides, les photos et la vidéo !

Audit de site WordPress from Daniel Roch