1. Configuration de base
Avant tout plugin, les réglages WordPress core doivent être propres. Huit points non négociables :
- 01. Permaliens : Réglages > Permaliens > Nom de l'article. Pas /?p=123, jamais.
- 02. Domain canonique : choisir www ou non-www dès le lancement, ne plus changer.
- 03. HTTPS partout : certificat Let's Encrypt actif, force-HTTPS via plugin Really Simple SSL ou .htaccess.
- 04. XML Sitemap : généré par Yoast / Rank Math, soumis dans GSC dans les 48 h post-lancement.
- 05. Robots.txt : custom via plugin SEO ou physiquement à la racine, autoriser GPTBot/ClaudeBot/PerplexityBot.
- 06. Title template : %% Title %% | %% Site Name %% (configuré dans Yoast/Rank Math, pas dans le thème).
- 07. Meta description par défaut : modèle automatique extrait du content, override manuel sur les pages money.
- 08. Open Graph : og:image 1200×630, og:type article/website selon page, og:locale fr_FR.
2. Plugins essentiels
Liste minimale (et maximale) pour un site SEO performant en 2026. Au-delà de 12 plugins actifs, audit obligatoire.
- 01. Yoast SEO ou Rank Math : plugin SEO principal. Configurer XML sitemap, breadcrumbs, schemas, OpenGraph.
- 02. WP Rocket : cache premium. Coût ~50 €/an mais ROI mesurable sur le LCP (-30 à -50 %).
- 03. Imagify ou ShortPixel : optimisation images automatique avec conversion WebP/AVIF.
- 04. Wordfence Security : firewall + malware scanner. Gratuit acceptable, premium pour e-commerce.
- 05. WP-Optimize ou Asset CleanUp : nettoyage DB et désactivation sélective des scripts par page.
- 06. Redirection : plugin pour gérer les 301 manuellement (ou Rank Math PRO inclus).
- 07. WPML / Polylang : seulement si multilingue. Sinon overkill et lenteur.
- 08. WooCommerce SEO (Yoast/Rank Math addon) : si e-commerce, indispensable pour schemas Product.
3. Core Web Vitals WordPress
Les CWV sont un signal de ranking depuis 2021 et deviennent plus discriminants chaque année. WordPress par défaut n'est pas optimisé : c'est au site builder de configurer.
Quatre leviers pour passer les CWV au vert sur WordPress :
- Thème léger. Astra, GeneratePress, Kadence pèsent < 50 KB CSS+JS. Avada, Divi, Bridge dépassent souvent 200 KB. Cible LCP improbable avec un thème lourd.
- Cache et CDN. WP Rocket configuré correctement + Cloudflare gratuit. Sur un VPS standard, gain LCP -40 à -60 % typique.
- Images optimisées automatiquement. Imagify ou ShortPixel convertissent en WebP/AVIF + compression. Lazy loading natif WP depuis 5.5.
- Réduction JS bloquants. Asset CleanUp pour désactiver les scripts inutiles par page. Defer non-critique automatique via WP Rocket.
4. Schemas WordPress
WordPress core n'injecte aucun schema.org. C'est aux plugins SEO ou aux développeurs de les ajouter. Priorités schémas par type de site :
- Tous sites : Organization + WebSite (avec SearchAction). Configuré dans Yoast/Rank Math.
- Blog éditorial : Article + Person (auteur) + BreadcrumbList sur chaque post.
- Site service / agence : Service + LocalBusiness (si présence physique) + FAQPage sur les money pages.
- E-commerce (WooCommerce) : Product + Offer + AggregateRating sur chaque produit. Yoast WooCommerce SEO ou Rank Math WooCommerce.
- Articles GEO/IA : ajouter manuellement DefinedTerm ou Dataset si pertinent. Plugin Schema Pro ou code custom.
Valider via Google Rich Results Test après chaque modification de plugin SEO.
5. Sécurité et maintenance
Un WordPress hacké perd typiquement 6-12 mois de SEO le temps de nettoyer et restaurer la confiance Google. Trois piliers défensifs :
- Mises à jour automatiques activées pour core + plugins majeurs. Risque de breaking change vs risque de faille non patchée : la faille gagne presque toujours.
- Plugin sécurité (Wordfence ou Sucuri) avec firewall actif. Limite les login attempts, bloque les IPs malveillantes, scan malware quotidien.
- Authentification 2FA pour tous les comptes admin. Plugin gratuit type Two Factor ou WP 2FA. Le brute-force d'admin reste l'attaque #1 sur WordPress.
Backups quotidiens stockés hors serveur (UpdraftPlus + Google Drive / S3). Tester la restauration une fois par trimestre : un backup non testé n'existe pas.
6. Erreurs classiques
- 01Thèmes multipurpose bloated. Avada, Divi, Bridge : 200+ MB JS, des dizaines de CSS, animations lourdes. CWV catastrophiques. Préférer Astra, GeneratePress, Kadence, ou thème custom léger.
- 02Trop de plugins (40+ actifs). Au-delà, conflits, lenteur back-office, vulnérabilités multipliées. Audit annuel pour désactiver les inutiles.
- 03Cache mal configuré. WP Rocket avec lazy load JS critique → casse le LCP. Tester PageSpeed Insights avant ET après configuration cache.
- 04Permaliens dates. /2026/06/29/titre-article/ : lourd, vieillit mal, brouille la hiérarchie thématique. Préférer /titre-article/ pur.
- 05Page d'accueil = blog par défaut. Réglages > Lecture > Page statique. Sinon la home est diluée par les derniers articles, perd son focus money.
Lectures et services connexes
FAQ — SEO WordPress
01WordPress est-il bon pour le SEO en 2026 ?
02Yoast SEO ou Rank Math : que choisir ?
03Combien de plugins SEO WordPress est-ce trop ?
04Comment optimiser les Core Web Vitals sur WordPress ?
05Quels schemas sont natifs sur WordPress ?
06Comment sécuriser un site WordPress SEO ?
En résumé
Un WordPress optimisé en 2026 bat 90 % des solutions custom mal codées. Mais 80 % des WordPress en production sont mal configurés : thème lourd, trop de plugins, cache mal réglé, schemas absents.
Cette checklist couvre les 40 points qui font la différence. Un audit WordPress sérieux passe en revue chaque point et produit un plan d'action priorisé sur 90 jours. Pour les sites avec WordPress > 500 pages et enjeu business sérieux, l'audit est rentable en quelques mois.
Audit SEO Yvarn pour WordPress
Audit 20-30 pages sur 2 semaines, plan d'action 90 jours. 1 490 € HT. Particulièrement pertinent pour les WordPress avec historique (refonte, dette technique, plugins accumulés).
Découvrir l'audit Yvarn
Fondateur d'Yvarn, agence SEO à Bordeaux. Développeur senior (Thales, Capgemini, Betclic). À propos.