Audit WordPress en read-only : comparatif des outils existants et pourquoi ils ne répondent pas tous au même besoin
Un comparatif pratique des outils d'audit externes et l'angle mort qu'ils laissent aux freelances et agences.
- Le marché de l'audit WordPress est segmenté : performance, SEO et sécurité couvrent chacun leur domaine sans combler les écarts
- Aucun outil existant ne répond pleinement à la question centrale du freelance : que faire, dans quel ordre, et comment le justifier au client
- Orilyt comble cet angle mort en transformant les constats techniques externes en décisions structurées, prêtes pour le client
Si vous travaillez sur WordPress — en freelance, en agence ou en formation — vous avez forcément déjà utilisé un outil d'audit. GTmetrix pour la performance. WPScan pour la sécurité. Ahrefs ou Semrush pour le SEO technique. Google PageSpeed Insights pour les Core Web Vitals.
Ces outils sont utiles. Certains sont même excellents dans leur domaine.
Mais répondent-ils vraiment au besoin concret d'un freelance qui veut comprendre rapidement l'état d'un site WordPress, décider quoi faire en priorité, justifier une intervention auprès d'un client, ou structurer une offre de maintenance ?
Pas toujours. Et c'est précisément ce constat qui a donné naissance à Orilyt.
Dans cet article, nous passons en revue les principaux outils d'audit WordPress fonctionnant en read-only — c'est-à-dire sans accès au back-office, sans plugin à installer, sans FTP — et nous expliquons en quoi leurs approches diffèrent fondamentalement.
Ce que signifie "audit read-only"
Un audit read-only repose sur un principe simple : analyser un site WordPress uniquement depuis l'extérieur, via des requêtes HTTP, du crawl, ou des appels API publics.
Concrètement, cela implique qu'aucun accès administrateur n'est requis, qu'aucun plugin ne doit être installé sur le site audité, et qu'aucun accès FTP ou base de données n'est nécessaire.
Cette approche présente plusieurs avantages. Elle est rapide à mettre en œuvre, totalement non intrusive, et utilisable sur un site prospect avant même d'avoir signé un contrat. En contrepartie, la visibilité reste partielle : on ne voit que ce qui est exposé publiquement, sans accès aux réglages internes du CMS.
Tous les outils présentés dans cet article fonctionnent principalement selon ce mode.
Les outils orientés performance
Google PageSpeed Insights
PageSpeed Insights est l'outil de référence de Google pour mesurer la performance web. Il combine les données de laboratoire Lighthouse avec les données terrain du Chrome User Experience Report (CrUX) pour produire des scores sur les Core Web Vitals : Largest Contentful Paint, Cumulative Layout Shift, Interaction to Next Paint.
L'outil est gratuit, sans création de compte, et fournit des recommandations techniques détaillées. C'est un passage obligé pour tout développeur soucieux de la performance.
En revanche, les résultats sont bruts, très techniques, et difficilement exploitables pour une restitution client. Un score de 45 sur 100 ne dit rien sur ce qu'il faut faire concrètement ni dans quel ordre.
Tarif : entièrement gratuit.
GTmetrix
GTmetrix va plus loin que PageSpeed en proposant une analyse visuelle détaillée : waterfall chart, filmstrip, historique de performance et possibilité de tester depuis différentes localisations géographiques.
C'est un outil apprécié des développeurs pour sa profondeur d'analyse. Le waterfall permet de comprendre précisément quel fichier ralentit le chargement et pourquoi.
Mais comme PageSpeed, GTmetrix reste un outil technique qui parle aux développeurs. Un client non-technique n'y trouvera pas de réponse à la question « que dois-je faire ? ».
Tarif : version gratuite limitée (3 URLs), plans Pro à partir de 5 $/mois (Micro) jusqu'à 42,50 $/mois (Growth).
Les outils orientés SEO technique
Screaming Frog
Screaming Frog est un crawler desktop extrêmement puissant. Il analyse la structure complète d'un site : métadonnées, liens internes, redirections, profondeur de pages, balises canoniques, données structurées.
Pour un audit SEO technique approfondi, c'est probablement l'outil le plus complet du marché. Il permet d'exporter des données massives et de croiser des métriques que peu d'autres outils offrent.
Le problème : son interface est dense, ses exports sont volumineux, et sans expertise SEO, les données produites sont difficilement interprétables. Ce n'est pas un outil qu'on utilise pour convaincre un client, c'est un outil qu'on utilise pour analyser un problème déjà identifié.
Tarif : version gratuite limitée à 500 URLs, licence complète à 259 £/an.
Ahrefs et Semrush (Site Audit)
Les deux poids lourds du SEO proposent chacun un module d'audit de site. Ces outils crawlent un domaine et produisent un score de santé technique accompagné d'une liste de problèmes classés par gravité : liens cassés, pages orphelines, balises manquantes, temps de réponse serveur.
Leur force réside dans l'écosystème : l'audit s'inscrit dans une suite complète d'outils SEO (backlinks, positions, recherche de mots-clés). Leur limite, dans le contexte qui nous intéresse, est qu'ils sont orientés marketing et SEO, pas spécifiquement WordPress. Ils ne détectent pas les versions de plugins, ne vérifient pas les vulnérabilités connues, et ne structurent pas leurs recommandations pour un freelance qui doit vendre une prestation.
Tarif : Ahrefs à partir de 129 $/mois, Semrush à partir de 139 $/mois. Pas de version gratuite complète.
Les outils orientés sécurité WordPress
WPScan
WPScan est la référence historique en matière de sécurité WordPress. Acquis par Automattic (la société derrière WordPress.com), il maintient une base de données de plus de 55 000 vulnérabilités connues, mise à jour quotidiennement par des spécialistes.
En scan externe, WPScan détecte la version de WordPress, les plugins et thèmes exposés, et les compare à sa base de vulnérabilités. C'est un outil incontournable pour quiconque s'intéresse à la sécurité WordPress.
Cependant, WPScan ne couvre ni la performance, ni le SEO, ni la structure globale du site. Et son interface en ligne de commande (CLI) le rend peu accessible aux non-développeurs.
Tarif : CLI gratuit pour usage non-commercial (25 requêtes API/jour), tarification entreprise sur devis. Jetpack Protect offre une version gratuite basée sur les données WPScan.
Sucuri SiteCheck
Sucuri propose un scan externe rapide qui vérifie la présence de malware, le statut sur les listes noires (Google, Norton, etc.) et les headers de sécurité. C'est un premier niveau de vérification utile mais superficiel.
Le scan gratuit ne détecte que ce qui est visible publiquement, ce qui limite considérablement sa profondeur. Les fonctionnalités avancées (pare-feu, nettoyage malware) nécessitent un abonnement.
Tarif : scan de base gratuit, plans de protection à partir de 199 $/an.
Les outils généralistes
Website Grader (HubSpot)
Website Grader analyse rapidement un site sur quatre axes : performance, SEO, sécurité et mobile. Il produit un score global et quelques recommandations de haut niveau.
C'est probablement l'outil qui se rapproche le plus d'un format « client-friendly », mais sa profondeur d'analyse reste limitée et ses recommandations sont trop génériques pour être directement actionnables. Il n'est pas spécifique à WordPress.
Tarif : entièrement gratuit.
Le constat : un marché segmenté, un angle mort
En cartographiant ces outils, un schéma apparaît clairement. Le marché de l'audit WordPress read-only est segmenté en trois grandes catégories, et chacune excelle dans son domaine sans chercher à couvrir les autres.
Les outils de performance (PageSpeed, GTmetrix) produisent des métriques précises mais techniques. Les outils SEO (Screaming Frog, Ahrefs, Semrush) analysent la structure et la visibilité mais ignorent la sécurité WordPress. Les outils de sécurité (WPScan, Sucuri) se concentrent sur les vulnérabilités mais n'abordent ni la performance ni le SEO.
Aucun de ces outils ne répond à une question pourtant fondamentale pour un freelance ou une petite agence.
Où se situe Orilyt
Orilyt n'est pas un concurrent frontal de GTmetrix, d'Ahrefs ou de WPScan. Ce n'est pas son objectif.
Orilyt ne cherche pas à crawler 10 000 pages, à produire 200 métriques, ou à analyser chaque micro-ressource d'un waterfall. D'autres outils le font déjà très bien.
Orilyt se concentre sur un objectif différent : transformer des constats techniques externes en décisions exploitables.
Chaque point d'audit dans Orilyt est structuré selon une logique décisionnelle : les faits observés, une interprétation claire de ce que cela signifie, pourquoi cela compte, ce qu'il faut faire, ce qu'il ne faut pas faire, comment vérifier que la correction est effective, et une estimation de l'effort et du risque.
Cette structure sert un objectif précis : permettre à un freelance de prendre une décision, de prioriser ses interventions, de justifier une prestation auprès d'un client non-technique, et de vendre une maintenance récurrente sur des bases factuelles.
Tableau comparatif synthétique
| Critère | PageSpeed | GTmetrix | Screaming Frog | Ahrefs / Semrush | WPScan | Sucuri | Orilyt |
|---|---|---|---|---|---|---|---|
| Read-only | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Performance | ★★★★ | ★★★★ | ★★ | ★★ | — | — | ★★★ |
| SEO technique | ★ | ★ | ★★★★ | ★★★★ | — | — | ★★ |
| Sécurité | — | — | — | ★ | ★★★★ | ★★★ | ★★★ |
| Vulnérabilités WP | — | — | — | — | ★★★★ | ★★ | ★★ |
| Rapport client-ready | — | — | — | Partiel | — | — | ★★★★ |
| Structure décisionnelle | — | — | — | — | — | — | ★★★★ |
| Spécifique WordPress | — | — | — | — | ★★★★ | ★★★ | ★★★★ |
| Tarif entrée | Gratuit | Gratuit | Gratuit (limité) | ~130 $/m | Gratuit (limité) | Gratuit (limité) | Gratuit (limité) |
Quand utiliser quel outil
La question n'est pas de savoir quel outil est « le meilleur » — c'est de savoir lequel répond à votre besoin du moment.
- PageSpeed / GTmetrix — Utilisez PageSpeed ou GTmetrix si vous optimisez un site en profondeur, si vous avez besoin d'un waterfall détaillé, ou si vous travaillez sur des micro-optimisations de performance.
- Screaming Frog / Ahrefs / Semrush — Utilisez Screaming Frog, Ahrefs ou Semrush si vous menez un audit SEO technique avancé, si vous analysez un site volumineux, ou si vous avez besoin de données massives sur la structure d'un domaine.
- WPScan — Utilisez WPScan si vous vérifiez des vulnérabilités connues sur des plugins ou thèmes WordPress, ou si vous travaillez spécifiquement sur la sécurité.
- Orilyt — Utilisez Orilyt si vous devez décider rapidement quoi faire sur un site WordPress, si vous préparez un devis, si vous devez convaincre un client non-technique, si vous voulez structurer un audit récurrent, ou si vous cherchez un outil clair et actionnable pour un usage freelance ou petite agence.
Ce qui manque sur le marché
Le marché de l'audit WordPress regorge d'outils qui produisent des constats. Des scores, des listes, des métriques, des graphiques.
Mais très peu d'outils transforment ces constats en décisions. Très peu structurent leurs résultats pour qu'un professionnel puisse s'en servir directement dans sa relation client. Très peu prennent en compte le fait qu'un audit, dans la vraie vie d'un freelance, sert avant tout à répondre à trois questions :
- Quel est l'état réel de ce site ?
- Que faut-il faire en priorité ?
- Comment justifier cette intervention auprès du client ?
C'est dans cet espace — entre le constat technique et la décision commerciale — qu'Orilyt a choisi de se positionner.
Et c'est précisément ce qui le distingue.