我接触WordPress开发到现在,已经16年了。一直想写一篇文章,详细说说WordPress网站质量判断的标准,不为别的,只希望企业建站少走弯路。
大部分企业的官网、外贸独立站都是外包做的,这是行业常态。但超过80%的企业在建站时都是非技术人员赶鸭子上架跟外包协作,不懂技术、不懂标准、不懂验收,评估自己网站的质量只剩下”好看吗,能用吗”。公平的协作约定变成了单方面的技术决策,造就了大量金玉其外、败絮其中的项目。
我遇到过很多客户,满身疲惫带着千疮百孔的项目来找我——架构不合理,需求没彻底剖析,功能不兼容,项目迭代到死胡同,服务商只能跑路。这种项目看过几百个之后,我把建站市场的坑总结成了一份验收清单,给需要建站的企业做个参考。
一、前端验收
前端验收谨记四点:速度、响应式、兼容性、LCP评分。
速度检测
- 为什么重要: 页面加载速度直接影响用户跳出率和SEO排名。超过3秒的加载时间会让超过50%的用户直接离开。
- 验收方法: 用WebPageTest(webpagetest.org)跑一次完整测试,看首屏加载时间是否超过1秒。同时检查图片/字体/视频是否做了延迟加载、素材是否压缩、缓存是否配置。
响应式
- 为什么重要: 移动端流量已经超过PC端,移动端排版崩掉等于丢掉一半用户。
- 验收方法: 浏览器打开开发者工具,切换设备模拟模式(Chrome DevTools → Toggle Device Toolbar),逐一查看手机、平板尺寸下的排版;缩小浏览器窗口拖拽观察断点切换是否流畅;最后用手机真机实测,Android和iPhone各测一遍。重点看:文字是否溢出、图片是否变形、按钮是否可点击、表格是否适配。
兼容性
- 为什么重要: 不同浏览器对CSS的解析存在差异,微信内置浏览器有quirks,不兼容就是部分用户看到的网站是歪的。
- 验收方法: 至少覆盖以下组合——Windows + Chrome、Windows + Edge、Mac + Safari、Mac + Chrome、iPhone + Safari、Android + Chrome、微信内置浏览器。重点比对:字体渲染、间距、动画效果是否一致。
LCP评分
- 为什么重要: LCP(最大内容渲染时间)是Google核心Web指标之一,直接影响SEO排名和用户首屏体验。
- 验收方法: 打开PageSpeed Insights(pagespeed.web.dev),输入网站地址跑一次检测,看LCP分数是否为绿色(小于2.5秒)。红标超过两个的,要求开发方整改后再交付。
二、后端功能验收
后端验收谨记四点:够简单、够灵活、插件数量、功能齐全。
够简单
- 为什么重要: 后台是给客户用的,不是给开发者看的。操作流程复杂意味着日常内容更新依赖开发方,每次改动都要提工单付费,长期运营成本失控。
- 验收方法: 让公司里最不懂电脑的那个人去后台操作一遍——发布文章、上传图片、修改产品信息、调整分类。如果这人能顺畅完成日常内容更新,才算合格。
够灵活
- 为什么重要: 网站上线后内容会更新、需求会迭代,如果每改一个东西都要找开发方改代码,等于把运营锁死在外包方手里。
- 验收方法: 尝试在后台自助完成以下操作:新增产品分类、调整导航菜单结构、更换首页Banner图、修改页面文案、添加新的页面模板。
插件数量
- 为什么重要: 插件越多,安全漏洞风险点越多,插件冲突概率越高,服务器资源消耗越大,更新维护负担越重。47个插件的项目我接过,五分之二功能重叠,后台打开10秒钟,每次更新不亚于一次重构。
- 验收方法: 进入后台 → 插件 → 已安装的插件,数一下活跃插件的数量。展示型网站超过6个、商城型超过12个就要警惕。逐个确认每个插件的用途,功能重叠的必须精简。需要警惕部分服务商会把插件集成到主题里去,在后台看到的插件数量就会显示很少。
功能齐全
- 为什么重要: “功能做出来了”不等于”功能做齐全了”。缺少分支场景的功能,上线后使用限制会较多。
- 验收方法: 尽可能考虑项目后续运营时的使用场景,把所有日常运营会用到的功能都去操作一遍,如果发现部分功能使用方法相对单一就要慎重分析下,其实wordpress后端内容管理方式是高度灵活的,如果您的项目后端使用功能单一,那么大概率是开发者没有遵循官网标准做事。
三、代码层面验收
有技术基础的企业可以自行审查,没有的话可以找第三方帮忙检测。
核心代码不可更改
- 为什么重要: WordPress核心文件(wp-includes和wp-admin目录)被修改后,每次版本更新修改都会被覆盖,功能瞬间失效;同时安全漏洞的修复补丁也可能无法正常生效。
- 验收方法: 将网站wp-includes和wp-admin目录直接删除,从官网下载新版安装包解压后替换这两个目录,然后对比查看网站原来功能是否正常。
插件必须用官方正版,且不可更改插件源码
- 为什么重要: 两个原因——第一,必须使用正版授权插件。破解版插件可能植入后门,第三方渠道的插件可能被篡改过,来源不明的插件安全隐患极大,这不是”可能发生”,是已经在大量项目中发生了。第二,不可更改插件源码。直接改插件文件和改核心文件的问题一样——插件更新时修改会被覆盖,功能失效,且修改后的插件无法获得官方安全补丁。
- 验收方法: 正版验证——商业插件要求提供授权证书或购买凭证,免费插件确认来源于WordPress官方插件库(slug与官方一致),可以下载官网插件进行替换安装后,对比检查网站功能是否正常。
商用主题必须创建并启用子主题
- 为什么重要: 商用主题会定期更新,更新会覆盖主题所有文件。自定义代码直接写在父主题里,一更新就全没了。子主题把自定义代码隔离出来,父主题可以安全更新,自定义内容不受影响。
- 验收方法: 进入后台 → 外观 → 主题,看当前启用的是不是子主题(通常名称带”-child”或”Child”后缀)。如果直接启用的是父主题,说明交付不规范。同时检查子主题目录下是否有style.css和functions.php,以及自定义的模板文件是否都在子主题目录里。
二次开发代码有标准注释
- 为什么重要: 注释不是装饰,是让后来维护的人能快速理解代码逻辑。没有注释的项目,排查一个问题要花几小时读懂代码,时间成本最终都是客户在承担。
- 验收方法: 抽查自定义开发的几个文件(functions.php、自定义模板文件、自定义插件代码),检查注释是否包含:代码用途说明、调用场景说明、作者和编写日期。
代码类型分离
- 为什么重要: PHP负责逻辑、CSS负责样式、JS负责交互,三者混写意味着改一个按钮颜色要在PHP文件里翻半天,维护成本成倍增加。
- 验收方法: 查看自定义代码的文件结构——CSS应该在独立的样式文件里(style.css或单独的.css文件)、JS应该在独立的脚本文件里(单独的.js文件)、PHP模板只负责结构输出和逻辑调用。抽查几个php文件,如果有大量inline CSS(style属性直接写在HTML标签上)或inline JS(script标签直接嵌在模板里),说明代码没有分离。
代码开发标准规范
- 为什么重要: WordPress有一套成熟的开发标准和框架体系——模板层级、钩子机制(Hook)、自定义文章类型、REST API等。不遵守这套规范随意开发,后果是代码结构各凭感觉、复用性为零、后续接手的人完全看不懂项目逻辑。最常见的烂做法包括:自建大量自定义文件绕开WordPress模板体系、用非标准模板引擎替代WordPress原生模板层级、数据库查询直接写SQL不通过$wpdb封装、甚至脱离wordpress生态,强行用前后端分离的架构——这些写法在当时是开发者为了省事,使用自己擅长的方式在做事,但项目一迭代就是死路一条,重构成本远超开发成本。
- 验收方法: 检查项目是否遵循WordPress标准开发框架:查看主题目录结构,确认是否使用WordPress标准模板文件命名(page.php、single.php、archive.php等)而非大量自定义命名的模板文件;检查functions.php和自定义插件中是否通过add_action/add_filter钩子机制挂载功能,而非在核心流程中硬编码逻辑。这里有个最简单的技巧,可以自己尝试安装一些小插件,看看是否能正常运行,比如前端增加小弹窗的插件等;另外在验收时,尝试自己动手改一些样式、颜色,尝试新增布局、删除布局,如果这些操作都必须改代码,那就需要留意了。
四、服务器部署验收
很多人网站做完、服务器配好、能跑起来就觉得万事大吉。但服务器配置决定的是上线后能不能稳定运行、出了问题能不能快速恢复。
关闭缓存后的程序内存占用
- 为什么重要: 缓存是锦上添花,不能靠缓存掩盖程序本身的性能缺陷。上线初期流量小缓存效果不明显,一旦流量上来底层性能问题就会暴露。内存占用过高意味着插件太重、代码有内存泄漏、或数据库查询没优化。
- 验收方法: 先关闭所有缓存——对象缓存(Redis/Memcached)、页面缓存插件、CDN缓存全关掉。然后刷新页面,在服务器上执行
top或free -m查看PHP进程内存占用。占用过高说明程序有性能问题,需要排查具体原因。
Nginx定时日志切割
- 为什么重要: Nginx默认不自动切割日志,access.log和error.log无限增长,几个月后单个日志文件可能好几个GB,占用磁盘空间且排查问题时无法打开查看。
- 验收方法: 查看服务器是否配置了日志切割。检查
/etc/logrotate.d/nginx配置文件是否存在且有有效内容,或检查crontab(crontab -l)中是否有日志切割的定时任务。
程序备份策略
- 为什么重要: 备份没做好,服务器挂了、数据被误删、被黑客入侵——没有有效备份就是零恢复能力。
- 验收方法: 要求开发方提供备份策略文档,写清楚备份周期、存储位置、恢复流程。逐项确认:备份是否自动化执行、备份周期是否合理、备份是否存储到异地(不能和网站同一台服务器)、备份是否做过恢复测试(只备份不验证等于没备份——拿一个备份文件实际恢复一次,验证数据完整性)。没有备份文档或恢复测试记录的,要求补齐再验收。
五、安全验收
安全扫描
- 为什么重要: 网站交付时带着已知漏洞上线,等于把门敞开等黑客进来。WordPress版本号暴露、管理路径默认可访问——这些低级漏洞每年都在发生。
- 验收方法: 用WPScan(wpscan.com)对网站做一次完整扫描,检测内容包括:WordPress版本是否暴露、已知插件漏洞、不安全配置项、暴露的敏感文件、默认管理路径/wp-admin是否可直接访问、SQL注入、XSS跨站等等。扫描结果中任何高危项必须在上线前修复。
防护策略
- 为什么重要: 安全扫描是查已有漏洞,防护策略是防未来攻击。没做防护的网站上线后就是裸奔,WordPress是全球被攻击最多的CMS,不是因为WordPress不安全,是因为没做防护的WordPress太多了。
- 验收方法: 逐项确认以下防护是否到位:登录暴力破解防护、文件编辑器是否关闭、REST API不必要端点是否关闭(访问
/wp-json/wp/v2/users看是否返回用户列表)、后台登录地址是否变更、文件上传类型是否限制。
版本检测
- 为什么重要: 验收时确认所有组件版本最新且更新机制可靠,上线后才有安全保障。还在跑PHP 8.0甚至7.4的项目,性能和安全都有问题,WordPress官方已不再支持这些版本。
- 验收方法: 记录以下组件的当前版本号作为交付文档的一部分:WordPress核心版本(后台 → 更新 → 当前版本号)、PHP版本(后台 → 工具 → 站点健康 → 信息 → 服务器中查看)、MySQL版本、所有插件版本。确认:WordPress核心是否为最新稳定版、所有插件是否为最新版本、PHP是否为8.2以上。
六、第三方服务配置验收
核心原则只有一条:所有第三方服务必须注册在客户自己的账号下,不能和服务商绑定。 服务商用自己的账号帮你注册各类服务看起来省事,一旦停止合作这些资产全拿不到——域名在服务商账号下、CDN是服务商开的、统计分析登录不了,换一家等于从零开始。
域名管理权限
- 为什么重要: 域名是网站的身份标识,域名不在自己手里,网站随时可能被别人关掉或转走。
- 验收方法: 确认域名注册在客户自己或客户公司的账号下,客户能独立登录域名管理面板进行续费、解析、转移操作。如果域名是服务商代注册的,要求立即将域名转移到客户自己的注册商账号下,并确认转移完成。
统计分析服务
- 为什么重要: 网站流量数据是运营决策的基础,数据资产不在自己账号下意味着所有历史数据可能随时丢失。
- 验收方法: 确认Google Analytics或百度统计等分析工具的账号是客户自己注册的,客户有完整的管理员权限,能独立查看所有数据、添加和删除用户。如果用的是服务商的账号,要求新建客户自己的账号并将跟踪代码切换过去,同时确认数据已开始正常采集——登录后台看实时数据有回流。
CDN服务
- 为什么重要: CDN配置涉及缓存规则、SSL证书、域名解析,绑在服务商账号下意味着切换时要把所有配置重新做一遍。
- 验收方法: 确认CDN(如Cloudflare、阿里云CDN等)的账号是客户自己注册的,客户有完整管理权限。检查CDN配置是否合理:静态资源是否走了CDN节点(查看资源请求头有无CDN标识)、缓存规则是否区分了静态和动态内容、是否误缓存了需要实时更新的页面。
邮件发送服务
- 为什么重要: 两个问题——第一是账号归属,SMTP服务绑在服务商账号下,服务商停止合作后发信能力中断,所有联系表单、订单通知、密码找回邮件全部失效。第二是发信隐私,SMTP走服务商账号意味着对方可以在后台查看你网站发出的每一封邮件内容,包括客户的联系方式、订单信息、咨询内容等敏感数据。
- 验收方法: 确认SMTP邮件服务(如阿里云邮件推送、腾讯云SES等)的账号是客户自己注册的。实际发送一封测试邮件到客户邮箱,确认送达。同时确认发送日志和统计数据只有客户自己有权限查看。
SSL证书
- 为什么重要: 没有SSL的网站浏览器会显示不安全提示,影响用户信任和SEO排名。证书绑在服务商账号下,续期时服务商不配合就会导致证书过期网站不可访问。
- 验收方法: 确认SSL证书的管理权限在客户手中。如果使用Let’s Encrypt免费证书,确认自动续期机制已配置。如果使用商业SSL证书,确认购买账号是客户自己的,续费操作客户能独立完成。浏览器访问网站确认证书有效且无警告。
七、SEO基础设施验收
企业做官网和外贸站,SEO是核心诉求,但验收时几乎没人检查SEO基础设施是否到位。上线之后发现搜索引擎不收录、收录了但结构混乱,再回来改比做的时候加进去难十倍。
Sitemap自动生成
- 为什么重要: Sitemap是告诉搜索引擎网站有哪些页面、更新频率的入口文件。没有Sitemap,搜索引擎只能靠爬虫随机发现页面,收录效率和完整性都大打折扣。
- 验收方法: 在浏览器访问
/sitemap.xml或/sitemap_index.xml,确认能正常打开且包含网站的主要页面类型(文章、产品、分类等)。登录Google Search Console或百度站长平台,确认Sitemap已提交且状态正常。
robots.txt配置
- 为什么重要: robots.txt控制搜索引擎爬虫的访问范围。配置不当会导致该收录的页面被屏蔽,不该暴露的路径被收录。
- 验收方法: 在浏览器访问
/robots.txt,检查内容是否合理:允许搜索引擎抓取主要内容路径、屏蔽后台路径(/wp-admin/、/wp-includes/)、屏蔽无意义页面(搜索结果页、标签聚合页等)、确认Sitemap路径已在robots.txt中声明。
页面TDK可后台自定义
- 为什么重要: 标题(Title)、描述(Description)、关键词(Keywords)是搜索引擎理解页面内容的首要信号。TDK不能在后台自定义编辑意味着每次调整SEO都要改代码,运营效率为零。
- 验收方法: 在后台编辑任意一个页面或文章,确认有独立的SEO设置区域可以自定义该页面的标题、描述。前台查看该页面源代码,确认meta title和meta description与后台设置一致,不是自动截取内容生成的。
URL结构语义化
- 为什么重要:
/?p=123这种默认URL对搜索引擎和用户都没有语义信息,/products/wordpress-hosting这种URL一看就知道页面内容,SEO效果和用户信任度都更高。 - 验收方法: 检查网站后台 → 设置 → 固定链接,确认URL结构不是默认的”朴素”模式。查看实际页面URL是否包含有意义的关键词而非数字ID。同时确认:分类、标签、作者等归档页URL是否合理、是否有不必要的层级嵌套。
301重定向规则
- 为什么重要: 旧站迁移到新站时,旧URL必须301重定向到新URL,否则搜索引擎收录的旧页面全部变成404,权重归零,排名暴跌。这不是上线后可以慢慢补的,上线第一天就必须到位。
- 验收方法: 如果项目是旧站迁移,逐条测试旧站的主要URL在新站上的301跳转是否正确。用浏览器或curl命令访问旧URL,确认返回301状态码并跳转到正确的新URL。重点关注:首页、主要栏目页、高流量内容页、带参数的URL。新站项目跳过此项。
结构化数据标记
- 为什么重要: 结构化数据(Schema标记)让搜索引擎理解页面内容的类型——这是产品页、这是文章、这是FAQ,从而在搜索结果中展示富媒体片段(评分星级、价格、FAQ摘要等),直接提升点击率。
- 验收方法: 用Google结构化数据测试工具(search.google.com/test/rich-results)检测主要页面类型——首页、产品页、文章页、联系页。确认每种页面类型有对应的Schema标记且无错误提示。
Open Graph标签
- 为什么重要: Open Graph标签控制网页在微信、Facebook等社交平台分享时的展示效果——标题、描述、缩略图。没有OG标签,分享出去的页面可能显示随机截取的文字和无图或乱图。
- 验收方法: 查看页面源代码,确认head区域有og:title、og:description、og:image等标签且内容正确。用Facebook Sharing Debugger(developers.facebook.com/tools/debug/)或微信开发者工具验证分享预览效果是否符合预期。
八、交付文档和资产验收
我接过的大量烂项目里,客户连自己网站的服务器在哪、用什么账号登录、源码存不存在都不知道。服务商跑了之后,客户除了一个域名可能什么都没有。代码差可以重构,资产丢了就是从零开始。
服务器完整访问权限
- 为什么重要: 没有服务器访问权限意味着任何运维操作都要通过服务商,服务商停止合作后网站运维完全瘫痪。
- 验收方法: 要求交付以下账号密码清单并逐项验证可用:SSH登录账号和密码、FTP/SFTP登录账号、数据库账号和密码(包括数据库主机地址)、WordPress管理员账号(最高权限)、服务器控制面板账号(如宝塔、云服务商控制台)。逐个登录验证每个账号能正常访问,密码不能是服务商的通用密码,必须是客户可控的独立密码。
源码完整交付
- 为什么重要: 只有打包文件不算交付,客户必须有独立部署能力。否则服务商撤走后,换一台服务器客户就无法重建网站。
- 验收方法: 确认拿到完整的源码包(包括主题文件、插件文件、上传的媒体文件、数据库SQL导出文件)。在另一台服务器上用这套源码实际部署一次,验证能独立重建网站且功能完整。如果无法独立部署,说明交付不完整。
第三方服务授权归属
- 为什么重要: 插件和主题的授权如果属于服务商账号,服务商停止续费后功能失效或失去更新权限,客户被动受影响。
- 验收方法: 商业插件和主题要求提供购买凭证,确认授权归属为客户或客户公司名下。逐项列出所有商业插件的名称、授权类型(个人版/企业版/开发者版)、授权有效期、购买账号归属。授权不在客户名下的,要求转移或重新购买。
项目技术文档
- 为什么重要: 没有文档的项目,后续维护的人要花大量时间反推代码逻辑和架构设计,时间成本最终都是客户在承担。
- 验收方法: 按需要求交付以下文档:网站架构说明(技术栈、主题框架、关键插件用途说明)、功能清单(每个功能的实现方式和管理入口)、部署流程文档(从零部署到服务器上的完整步骤)、自定义开发说明(所有二次开发的代码位置、功能说明、与原系统的关系)。
以上这些验收标准,是我16年来接触的WordPress项目中一条一条坑踩出来的,是真实项目教训凝结成的清单。
逐条验收确实有门槛——有些需要技术基础,有些需要额外工具。但比起上线后出问题再补救的成本,验收时的投入微乎其微。
一个好的网站不是做完了就结束,而是上线后能稳定、安全、灵活地持续运营——这才是交付的真正意义。
如果你刚好需要交付一个项目,但又苦于没有相关技术做支撑,欢迎联系我们云策帮您做项目质量验收。
作者简介
云策-大伟,云策 WordPress 建站负责人。十六年开源 CMS 开发经验,专注为企业提供 WordPress 定制开发、系统迁移及长期运维服务。
本文原创,转载请联系授权。
