Checklist kỹ thuật WordPress: 22 mục cần kiểm tra trước khi nghiệm thu website

Checklist kỹ thuật WordPress là bộ kiểm tra nền tảng website trước khi bàn giao, chạy SEO hoặc chạy quảng cáo. Bài này giúp bạn rà 22 hạng mục quan trọng gồm hosting, PHP, database, SSL, TTFB, HTTP/2, WordPress Core, theme, plugin, backup, bảo mật, cấu hình production, database và CDN.

Đối tượng: SEO, web, agency, in-houseIntent: nghiệm thu kỹ thuật websiteDạng bài: checklist auditCập nhật: 2026

Một website WordPress chỉ nên nghiệm thu khi đạt các điều kiện nền tảng: môi trường PHP/database phù hợp, HTTPS hợp lệ, server phản hồi ổn, WordPress Core cập nhật, plugin không chồng chéo, có cache, có backup, có bảo mật, cấu hình production an toàn, database gọn và tài nguyên tĩnh được phục vụ hiệu quả. Nếu các điểm này chưa sạch, website vẫn có thể hiển thị đẹp nhưng dễ chậm, dễ lỗi, khó SEO, khó đo lường và khó bàn giao lâu dài.

Rất nhiều website được bàn giao bằng cách mở trang chủ, bấm thử menu, gửi thử form rồi kết luận “ổn”. Cách nghiệm thu đó chỉ kiểm được phần nhìn thấy bên ngoài. Với WordPress, phần dễ gây rủi ro lại nằm bên dưới: phiên bản PHP, database, SSL, cache, plugin, theme, quyền chỉnh file, debug mode, XML-RPC, trang đăng nhập, database rác và CDN.

Nếu phần kỹ thuật chưa sạch, đội SEO sẽ gặp nhiều lỗi khó truy nguyên: URL được viết tốt nhưng tải chậm, schema đúng nhưng DOM render lỗi, sitemap có URL không nên index, form gửi được nhưng không đo event, bài viết có internal link nhưng Googlebot không đọc được vì link không phải thẻ <a href> chuẩn.

“website vừa dễ mua, vừa dễ hiểu”Nguồn: VLINK Asia, Decision Ladder Navigation

Theo tư duy Decision Ladder Navigation, website không chỉ cần chạy được. Website phải rõ vai trò từng URL, rõ bước tiếp theo, rõ đường đi của người dùng và đủ sạch về kỹ thuật để Google, AI và người dùng hiểu đúng nội dung.

“WordPress là một hệ quản trị nội dung mã nguồn mở miễn phí”Nguồn tham khảo ngữ cảnh: Wikipedia tiếng Việt

Vì WordPress là CMS vận hành trên nhiều lớp gồm PHP, database, theme, plugin, media, cache và hosting, checklist nghiệm thu phải đi theo từng tầng. Không nên kiểm theo cảm giác và cũng không nên đợi đến lúc website tụt tốc độ, lỗi index hoặc bị tấn công mới quay lại xử lý.

Mục lục nhanh #

1. Checklist kỹ thuật WordPress là gì?
2. Khi nào cần dùng checklist này?
3. Nguyên tắc nghiệm thu kỹ thuật WordPress
4. Tổng quan 22 mục checklist kỹ thuật WordPress
5. Nhóm 1: Hosting & Server
6. Nhóm 2: WordPress Core
7. Nhóm 3: Cấu hình WordPress
8. Nhóm 4: Database & CDN
9. Thứ tự kiểm tra nhanh trong 30 phút
10. Thứ tự ưu tiên fix lỗi
11. Lỗi thường gặp khi nghiệm thu kỹ thuật
12. FAQ về checklist kỹ thuật WordPress

Checklist kỹ thuật WordPress là gì? #

Checklist kỹ thuật WordPress là danh sách kiểm tra nền tảng vận hành của website WordPress, giúp xác định website đã đủ điều kiện để bàn giao, chạy SEO, chạy quảng cáo hoặc scale nội dung hay chưa.

Checklist này không thay thế audit SEO tổng thể. Nó là lớp nghiệm thu kỹ thuật tối thiểu trước khi đi sâu vào content, internal link, schema, CRO và đo lường. Khi phần nền ổn, các hạng mục SEO phía sau mới có dữ liệu đáng tin để đánh giá.

1. Kiểm nền hạ tầng

Kiểm PHP, database, SSL, TTFB, HTTP/2 hoặc HTTP/3 để chắc website có môi trường vận hành đủ sạch.

2. Kiểm WordPress Core

Kiểm WordPress, theme, plugin SEO, cache, backup, bảo mật, plugin thừa và theme thừa.

3. Kiểm rủi ro vận hành

Kiểm WP_DEBUG, File Editor, XML-RPC, wp-login.php, table prefix, database rác, CDN và ảnh qua CDN.

Điểm quan trọng là mỗi hạng mục phải có tiêu chuẩn đạt, công cụ kiểm, trọng số và ghi chú xử lý. Nếu chỉ ghi “đã kiểm” mà không có chuẩn pass/fail, checklist sẽ trở thành hình thức.

Khi nào cần dùng checklist này? #

Checklist này nên dùng trước khi nghiệm thu website mới, trước khi chạy SEO, trước khi chạy quảng cáo, trước khi nhận lại website từ đơn vị khác và sau mỗi lần thay đổi lớn về hosting, theme hoặc plugin. Đây là lớp kiểm soát rủi ro trước khi website bước vào giai đoạn tăng trưởng.

Tình huống	Vì sao cần kiểm?	Output cần có
Website mới thiết kế xong	Tránh bàn giao site đẹp giao diện nhưng yếu nền kỹ thuật.	Biên bản nghiệm thu 22 mục, ghi rõ đạt hoặc chưa đạt.
Chuẩn bị triển khai SEO	Tránh lỗi SSL, cache, canonical, sitemap, plugin SEO hoặc tốc độ làm sai dữ liệu SEO.	Danh sách lỗi cần fix trước khi publish thêm nội dung.
Chuẩn bị chạy quảng cáo	Landing page chậm, form lỗi hoặc SSL cảnh báo sẽ làm mất lead và đốt ngân sách.	Landing page ổn định, CTA hoạt động, tracking đo được.
Nhận lại website từ agency hoặc freelancer	Cần kiểm plugin, user admin, backup, bảo mật, theme thừa và cấu hình production.	Checklist bàn giao kèm tài khoản, backup, log và ghi chú kỹ thuật.
Website đang chậm hoặc hay lỗi	Cần tìm nguyên nhân gốc thay vì chỉ nén ảnh hoặc đổi giao diện.	Backlog kỹ thuật theo mức độ ưu tiên P0, P1, P2, P3.

Nguyên tắc nghiệm thu kỹ thuật WordPress #

Nghiệm thu kỹ thuật WordPress phải đi theo thứ tự: kiểm nền hạ tầng, kiểm WordPress Core, kiểm cấu hình production, kiểm database và CDN, sau đó mới mở rộng sang SEO audit sâu hơn. Không nên fix nhiều lỗi cùng lúc vì sẽ khó biết thay đổi nào tạo ra kết quả.

4 nguyên tắc cần giữ khi kiểm checklist #

1. Không kiểm bằng cảm giác: mỗi mục phải có công cụ kiểm hoặc bằng chứng kiểm.
2. Không sửa hàng loạt: mỗi lần chỉ fix một nhóm lỗi chính, sau đó kiểm lại.
3. Không publish khi fail lỗi bắt buộc: SSL lỗi, không có backup, WP_DEBUG bật, plugin SEO trùng hoặc không có cache là nhóm cần xử lý trước.
4. Không bàn giao nếu không có ghi chú: checklist cần người kiểm, ngày kiểm, kết quả, ảnh chụp hoặc ghi chú xử lý.

Trọng số	Ý nghĩa	Cách xử lý khi chưa đạt
Bắt buộc	Không đạt thì chưa nên nghiệm thu hoặc chưa nên chạy SEO chính thức.	Fix trước khi bàn giao hoặc trước khi publish thêm URL quan trọng.
Quan trọng	Có thể chưa làm website hỏng ngay, nhưng ảnh hưởng lớn đến bảo mật, SEO, tốc độ hoặc vận hành.	Lên lịch xử lý trong sprint gần nhất, có owner và deadline.
Nên có	Giúp website sạch hơn, nhẹ hơn, dễ bảo trì hơn và dễ scale hơn.	Đưa vào backlog tối ưu định kỳ, không bỏ quên.

Lưu ý quan trọng: trước khi cập nhật PHP, WordPress Core, theme, plugin, database hoặc cache rule, hãy backup toàn bộ website. Với website đang có traffic hoặc doanh thu, nên test trên staging trước khi deploy production.

Tổng quan 22 mục checklist kỹ thuật WordPress #

22 mục dưới đây được chia thành 4 nhóm: Hosting & Server, WordPress Core, Cấu hình WordPress, Database & CDN. Khi kiểm thực tế, nên đi từ tầng hạ tầng lên tầng ứng dụng, không nhảy cóc sang tối ưu giao diện khi PHP, SSL, cache hoặc backup vẫn chưa đạt.

STT	Hạng mục	Tiêu chuẩn nghiệm thu	Công cụ kiểm tra	Trọng số
1	PHP Version	Pass tối thiểu: PHP 8.1 trở lên. Khuyến nghị mới: PHP 8.3 trở lên nếu theme và plugin tương thích.	cPanel, Plesk, phpinfo(), Site Health	Bắt buộc
2	MySQL / MariaDB	Pass tối thiểu: MySQL 8.0 hoặc MariaDB 10.4. Khuyến nghị mới: MariaDB 10.6 trở lên hoặc MySQL 8.0 trở lên.	Hosting dashboard, phpMyAdmin, Site Health	Bắt buộc
3	HTTPS & SSL	SSL hợp lệ, tự động gia hạn, toàn bộ HTTP chuyển 301 sang HTTPS, không còn mixed content.	SSL Checker, trình duyệt, Screaming Frog	Bắt buộc
4	Server Response Time, TTFB	TTFB từ 200ms trở xuống là tốt, từ 600ms trở xuống là chấp nhận được.	GTmetrix, WebPageTest, DevTools	Bắt buộc
5	HTTP/2 hoặc HTTP/3	Server hoặc CDN hỗ trợ HTTP/2 trở lên để tải tài nguyên hiệu quả hơn.	WebPageTest, Chrome DevTools, CDN dashboard	Quan trọng
6	Phiên bản WordPress	WordPress Core cập nhật, không dùng bản quá cũ hoặc bản đã bỏ cập nhật bảo mật.	WP Admin, WP-CLI, Site Health	Bắt buộc
7	Theme tối ưu	Theme nhẹ, không rác code, responsive tốt, không tải quá nhiều CSS/JS không cần thiết.	PageSpeed Insights, Query Monitor, DevTools	Bắt buộc
8	Plugin SEO	Chỉ dùng một plugin SEO chính như Rank Math SEO hoặc Yoast SEO, không bật song song hai plugin trùng chức năng.	WP Admin > Plugins, View Source, sitemap	Bắt buộc
9	Plugin Cache	Có plugin hoặc cơ chế cache và đã cấu hình đúng, không làm lỗi form, menu, cart, checkout.	WP Admin, headers, GTmetrix, WebPageTest	Bắt buộc
10	Plugin Backup	Có backup tự động hằng ngày hoặc hằng tuần, lưu ngoài hosting nếu có thể.	UpdraftPlus, hosting backup, cloud storage	Bắt buộc
11	Plugin bảo mật	Có giải pháp bảo mật đã cấu hình: firewall, scan malware, login protection, cảnh báo file thay đổi.	Wordfence, Sucuri, iThemes Security hoặc tương đương	Bắt buộc
12	Xóa plugin không dùng	Xóa hoàn toàn plugin không cần thiết, không chỉ deactivate.	WP Admin > Plugins	Quan trọng
13	Xóa theme mặc định	Chỉ giữ theme chính và child theme nếu cần. Xóa theme Twenty Twenty-X không dùng.	WP Admin > Themes	Quan trọng
14	Ngôn ngữ & múi giờ	Cài đúng ngôn ngữ site và múi giờ. Với website Việt Nam thường là tiếng Việt và UTC+7.	Settings > General	Bắt buộc
15	Tắt File Editor	Thêm DISALLOW_FILE_EDIT = true để không sửa file theme/plugin trực tiếp trong admin.	wp-config.php	Quan trọng
16	Tắt WP_DEBUG	WP_DEBUG = false trên môi trường production, không hiện warning ra frontend.	wp-config.php, frontend, error log	Bắt buộc
17	Tắt XML-RPC	Vô hiệu hóa xmlrpc.php nếu website không dùng app, Jetpack hoặc tích hợp cần XML-RPC.	Plugin bảo mật, .htaccess, Nginx, Cloudflare	Quan trọng
18	Bảo vệ wp-login.php	Đổi URL đăng nhập, bật 2FA, giới hạn đăng nhập sai hoặc giới hạn IP khi phù hợp.	Plugin bảo mật, WPS Hide Login, log đăng nhập	Quan trọng
19	Table Prefix	Prefix khác wp_ nếu là site mới hoặc có quy trình đổi an toàn cho site cũ.	wp-config.php, phpMyAdmin	Quan trọng
20	Tối ưu Database	Dọn revisions dư, transients cũ, spam comments, log plugin cũ và dữ liệu rác có kiểm soát.	WP-Optimize, phpMyAdmin, Query Monitor	Nên có
21	Tích hợp CDN	Kết nối Cloudflare, BunnyCDN hoặc CDN tương đương cho static assets.	CDN dashboard, DevTools, response headers	Quan trọng
22	Ảnh qua CDN	Ảnh được phục vụ qua CDN hoặc proxy CDN, không đẩy toàn bộ tải ảnh về origin server.	Browser DevTools > Network > Img	Quan trọng

Nhóm 1: Hosting & Server #

Hosting và server là lớp nền đầu tiên cần kiểm vì nó ảnh hưởng trực tiếp đến bảo mật, tốc độ phản hồi, khả năng tải trang và độ ổn định khi website có traffic. Nếu nhóm này yếu, tối ưu theme hoặc plugin chỉ xử lý được phần ngọn.

PHP Version #

Tiêu chuẩn đạt: PHP từ 8.1 trở lên theo checklist nghiệm thu tối thiểu. Nếu cập nhật theo khuyến nghị hiện tại của WordPress.org, nên ưu tiên PHP 8.3 trở lên khi theme và plugin tương thích.

• Cách kiểm: vào cPanel, Plesk, hosting dashboard, Site Health hoặc kiểm qua file phpinfo nếu được phép.
• Dấu hiệu chưa đạt: đang chạy PHP 7.x, website báo deprecated warning, plugin mới không tương thích hoặc backend chậm bất thường.
• Rủi ro nếu bỏ qua: tăng nguy cơ bảo mật, lỗi plugin, lỗi theme, chậm xử lý request động.
• Cách xử lý: backup trước, test staging, nâng phiên bản PHP theo từng bước, kiểm lại form, checkout, plugin SEO, cache và giao diện mobile.

MySQL hoặc MariaDB #

Tiêu chuẩn đạt: MySQL từ 8.0 hoặc MariaDB từ 10.4 trở lên. Nếu dùng mốc khuyến nghị mới, nên ưu tiên MariaDB 10.6 trở lên hoặc MySQL 8.0 trở lên.

• Cách kiểm: hosting dashboard, phpMyAdmin, Site Health hoặc hỏi nhà cung cấp hosting.
• Dấu hiệu chưa đạt: admin chậm, truy vấn chậm, backup nặng, plugin báo lỗi tương thích database.
• Rủi ro nếu bỏ qua: website khó scale, truy vấn chậm, backup lâu, dễ phát sinh lỗi khi cập nhật.
• Cách xử lý: backup database, kiểm plugin phụ thuộc, nâng phiên bản database hoặc đổi hosting nếu môi trường quá cũ.

HTTPS & SSL #

Tiêu chuẩn đạt: SSL hợp lệ, tự động gia hạn, HTTP chuyển hướng 301 sang HTTPS, không còn mixed content, canonical và sitemap đều dùng HTTPS.

• Cách kiểm: mở trình duyệt, kiểm ổ khóa, test HTTP sang HTTPS, dùng SSL Checker, crawl bằng Screaming Frog để tìm mixed content.
• Dấu hiệu chưa đạt: trình duyệt báo không an toàn, ảnh hoặc script vẫn tải qua HTTP, sitemap còn URL HTTP.
• Rủi ro nếu bỏ qua: giảm niềm tin, mất lead, lỗi trình duyệt, sai canonical, sai sitemap.
• Cách xử lý: cài lại SSL, bật auto-renew, ép redirect 301, replace URL HTTP trong database, kiểm lại sitemap và internal link.

Server Response Time, TTFB #

Tiêu chuẩn đạt: TTFB từ 200ms trở xuống là tốt, từ 600ms trở xuống là chấp nhận được. Nếu TTFB vượt 1 giây, nên ưu tiên xử lý trước khi scale SEO hoặc chạy quảng cáo.

• Cách kiểm: GTmetrix, WebPageTest, Chrome DevTools hoặc server log nếu có quyền.
• Dấu hiệu chưa đạt: trang trắng lâu, backend chậm, giờ cao điểm load kém, LCP xấu dù đã nén ảnh.
• Rủi ro nếu bỏ qua: làm xấu trải nghiệm, kéo chậm LCP, làm giảm hiệu quả cache và CDN.
• Cách xử lý: bật page cache, kiểm plugin nặng, tối ưu database, kiểm object cache, tối ưu hosting hoặc nâng gói server.

HTTP/2 hoặc HTTP/3 #

Tiêu chuẩn đạt: server hoặc CDN hỗ trợ HTTP/2 hoặc HTTP/3 để trình duyệt tải tài nguyên hiệu quả hơn, nhất là với website có nhiều CSS, JS, font và hình ảnh.

• Cách kiểm: WebPageTest, Chrome DevTools cột Protocol hoặc dashboard Cloudflare/CDN.
• Dấu hiệu chưa đạt: protocol vẫn là HTTP/1.1, nhiều request nhỏ làm trang tải chậm.
• Rủi ro nếu bỏ qua: tải tài nguyên kém hiệu quả, nhất là trên mobile hoặc đường truyền yếu.
• Cách xử lý: bật HTTP/2 hoặc HTTP/3 trên hosting/CDN, kiểm lại SSL mode và test lại sau khi bật.

Nhóm 2: WordPress Core #

WordPress Core là nhóm quyết định website có dễ vận hành, dễ cập nhật, dễ tối ưu và dễ bàn giao hay không. Nhóm này gồm phiên bản WordPress, theme, plugin SEO, cache, backup, bảo mật, plugin không dùng và theme không dùng.

“WordPress hỗ trợ SEO tốt nếu cấu hình chuẩn”Nguồn: VLINK Asia, Giới thiệu WordPress cho người làm SEO

Phiên bản WordPress #

Tiêu chuẩn đạt: WordPress Core được cập nhật lên phiên bản ổn định mới, không dùng bản quá cũ hoặc bản đã thiếu bản vá bảo mật.

• Cách kiểm: Dashboard > Updates, Tools > Site Health hoặc WP-CLI.
• Dấu hiệu chưa đạt: WordPress báo update lâu ngày, plugin yêu cầu bản mới hơn, Site Health cảnh báo.
• Rủi ro nếu bỏ qua: lỗi bảo mật, lỗi tương thích plugin/theme, thiếu cải tiến hiệu năng.
• Cách xử lý: backup, test staging, cập nhật core, cập nhật plugin/theme theo thứ tự, test lại frontend và chức năng chính.

Theme tối ưu #

Tiêu chuẩn đạt: theme nhẹ, responsive tốt, không sinh quá nhiều DOM, không tải CSS/JS thừa ở mọi trang, hỗ trợ child theme khi cần chỉnh code.

• Cách kiểm: PageSpeed Insights, Chrome DevTools, Query Monitor, kiểm số lượng CSS/JS, test mobile thật.
• Dấu hiệu chưa đạt: DOM quá lớn, builder lồng nhiều div, trang đơn giản nhưng tải nặng, mobile lệch layout.
• Rủi ro nếu bỏ qua: khó đạt Core Web Vitals, khó bảo trì, khó sửa layout, dễ lỗi khi cập nhật.
• Cách xử lý: tắt module không dùng, giảm script, tối ưu font, dùng child theme, cân nhắc đổi theme nếu nền quá nặng.

Plugin SEO #

Tiêu chuẩn đạt: chỉ dùng một plugin SEO chính, ví dụ Rank Math SEO hoặc Yoast SEO. Không bật song song hai plugin có chức năng trùng nhau.

• Cách kiểm: WP Admin > Plugins, view source để kiểm title, meta, canonical, schema và mở sitemap.
• Dấu hiệu chưa đạt: có nhiều canonical, sitemap trùng, schema bị nhân đôi, meta robots không nhất quán.
• Rủi ro nếu bỏ qua: Google nhận tín hiệu mâu thuẫn, dữ liệu cấu trúc bị trùng, sitemap không sạch.
• Cách xử lý: chọn một plugin chính, export/import dữ liệu nếu cần, tắt plugin còn lại, crawl lại để kiểm canonical và sitemap.

Plugin Cache #

Tiêu chuẩn đạt: có cache hoạt động thật và không làm lỗi giao diện, form, cart, checkout, menu hoặc tracking.

• Cách kiểm: kiểm cache headers, test trước và sau khi bật cache, kiểm GTmetrix, WebPageTest và thao tác form.
• Dấu hiệu chưa đạt: plugin cache active nhưng không cache thật, bật minify làm vỡ giao diện, form không gửi được.
• Rủi ro nếu bỏ qua: server tải nặng, TTFB cao, trải nghiệm mobile kém.
• Cách xử lý: bật cache từng phần, loại trừ trang động, test form, test checkout, ghi lại cấu hình để bàn giao.

Plugin Backup #

Tiêu chuẩn đạt: có backup tự động hằng ngày hoặc hằng tuần, gồm cả file và database, ưu tiên lưu offsite ngoài hosting.

• Cách kiểm: xem lịch backup, vị trí lưu backup, dung lượng backup và thử tải bản backup gần nhất.
• Dấu hiệu chưa đạt: có plugin nhưng chưa cấu hình, backup chỉ lưu cùng hosting, chưa từng test restore.
• Rủi ro nếu bỏ qua: lỗi update, lỗi hack hoặc lỗi thao tác có thể thành khủng hoảng.
• Cách xử lý: cấu hình backup tự động, lưu offsite, giữ nhiều phiên bản và test restore trên staging.

Plugin bảo mật #

Tiêu chuẩn đạt: có giải pháp bảo mật đã cấu hình: firewall, scan malware, login protection, cảnh báo file thay đổi, kiểm user admin.

• Cách kiểm: dashboard plugin bảo mật, log đăng nhập, danh sách user admin, trạng thái firewall.
• Dấu hiệu chưa đạt: nhiều user admin lạ, password yếu, không bật 2FA, log có nhiều brute force.
• Rủi ro nếu bỏ qua: bị chèn mã độc, spam page, redirect lạ, mất dữ liệu hoặc mất quyền quản trị.
• Cách xử lý: cài và cấu hình bảo mật, xóa user lạ, bật 2FA, giới hạn login attempt, scan mã độc.

Xóa plugin không dùng #

Tiêu chuẩn đạt: xóa hoàn toàn plugin không dùng, plugin demo, plugin import cũ hoặc plugin trùng chức năng. Không chỉ deactivate rồi để lại.

• Cách kiểm: WP Admin > Plugins, rà plugin inactive và plugin không rõ chức năng.
• Dấu hiệu chưa đạt: nhiều plugin inactive, plugin không ai biết dùng để làm gì, plugin lâu không cập nhật.
• Rủi ro nếu bỏ qua: tăng bề mặt tấn công, làm rối bàn giao, tăng khả năng xung đột.
• Cách xử lý: backup, xóa plugin thừa, kiểm lại frontend, form, checkout và database nếu plugin để lại bảng rác.

Xóa theme mặc định #

Tiêu chuẩn đạt: chỉ giữ theme chính và child theme nếu cần. Xóa các theme mặc định hoặc theme demo không sử dụng.

• Cách kiểm: WP Admin > Appearance > Themes.
• Dấu hiệu chưa đạt: có nhiều theme Twenty Twenty-X, theme cũ không update, không rõ theme nào là theme chính.
• Rủi ro nếu bỏ qua: tăng tài sản cần quản lý, tăng rủi ro bảo mật, làm rối quy trình update.
• Cách xử lý: xác định theme active, giữ child theme nếu đang dùng, xóa theme không dùng và ghi chú vào bàn giao.

Nhóm 3: Cấu hình WordPress #

Cấu hình WordPress là nhóm nhỏ nhưng dễ gây rủi ro lớn nếu bỏ qua. Ngôn ngữ, múi giờ, File Editor, WP_DEBUG, XML-RPC và wp-login.php đều ảnh hưởng trực tiếp đến vận hành, bảo mật, log dữ liệu và khả năng bàn giao.

Ngôn ngữ & múi giờ #

Tiêu chuẩn đạt: website phục vụ thị trường Việt Nam nên dùng tiếng Việt và múi giờ UTC+7, trừ khi có yêu cầu thị trường khác.

• Cách kiểm: Settings > General, kiểm Site Language và Timezone.
• Dấu hiệu chưa đạt: lịch publish lệch giờ, form ghi nhận sai thời điểm, log bảo mật sai múi giờ.
• Rủi ro nếu bỏ qua: sai dữ liệu báo cáo, sai lịch đăng bài, khó đối soát sự kiện.
• Cách xử lý: chỉnh đúng ngôn ngữ, múi giờ, test lại lịch publish, plugin form, plugin booking hoặc event nếu có.

Tắt File Editor #

Tiêu chuẩn đạt: không cho sửa file theme hoặc plugin trực tiếp trong WordPress Admin trên môi trường production.

Thêm dòng sau vào file wp-config.php:define('DISALLOW_FILE_EDIT', true);

• Cách kiểm: kiểm wp-config.php hoặc xem trong Appearance còn Theme File Editor không.
• Dấu hiệu chưa đạt: admin vẫn sửa được file theme/plugin trực tiếp.
• Rủi ro nếu bỏ qua: nếu tài khoản admin bị lộ, kẻ tấn công có thể chèn mã độc trực tiếp vào file.
• Cách xử lý: tắt File Editor, phân quyền user, không dùng tài khoản admin chung.

Tắt WP_DEBUG trên production #

Tiêu chuẩn đạt: WP_DEBUG phải là false trên website đang chạy thật. Không để warning, notice hoặc lỗi PHP hiện ra frontend.

Cấu hình mẫu:define('WP_DEBUG', false);

• Cách kiểm: kiểm wp-config.php, mở frontend/backend, xem có warning hoặc notice không.
• Dấu hiệu chưa đạt: website hiện lỗi kỹ thuật, lộ đường dẫn file, lộ thông tin server.
• Rủi ro nếu bỏ qua: mất trust, lộ thông tin kỹ thuật, ảnh hưởng trải nghiệm người dùng.
• Cách xử lý: tắt WP_DEBUG trên production, xử lý lỗi trên staging, ghi log nội bộ nếu cần debug.

Tắt XML-RPC nếu không sử dụng #

Tiêu chuẩn đạt: vô hiệu hóa xmlrpc.php nếu website không dùng Jetpack, app mobile hoặc tích hợp cần XML-RPC.

• Cách kiểm: truy cập /xmlrpc.php, kiểm log server, kiểm plugin bảo mật.
• Dấu hiệu chưa đạt: log có nhiều request đến xmlrpc.php, plugin bảo mật báo brute force qua XML-RPC.
• Rủi ro nếu bỏ qua: bị bot gọi liên tục, tăng tải server, tăng rủi ro brute force.
• Cách xử lý: chặn bằng plugin bảo mật, .htaccess, Nginx rule hoặc Cloudflare rule tùy hạ tầng.

Bảo vệ wp-login.php #

Tiêu chuẩn đạt: trang đăng nhập có lớp bảo vệ phù hợp: giới hạn đăng nhập sai, 2FA, đổi URL đăng nhập hoặc giới hạn IP khi cần.

• Cách kiểm: truy cập /wp-login.php, kiểm plugin bảo mật, kiểm log đăng nhập, rà user admin.
• Dấu hiệu chưa đạt: nhiều lần login fail, user admin lạ, username là admin, không bật 2FA.
• Rủi ro nếu bỏ qua: dễ bị brute force, credential stuffing hoặc chiếm quyền quản trị.
• Cách xử lý: bật 2FA, giới hạn login attempt, đổi URL đăng nhập nếu phù hợp, xóa user lạ, đổi mật khẩu mạnh.

Nhóm 4: Database & CDN #

Database và CDN quyết định website có vận hành ổn định khi dữ liệu và traffic tăng lên hay không. Database sạch giúp truy vấn nhanh hơn, backup nhẹ hơn; CDN giúp giảm tải origin server và phục vụ tài nguyên tĩnh hiệu quả hơn.

Table Prefix #

Tiêu chuẩn đạt: prefix database khác wp_ nếu là site mới hoặc nếu site cũ có quy trình đổi an toàn.

• Cách kiểm: kiểm wp-config.php và phpMyAdmin.
• Dấu hiệu chưa đạt: vẫn dùng prefix mặc định wp_, không có ghi chú database khi bàn giao.
• Rủi ro nếu bỏ qua: không phải lỗi chí mạng, nhưng làm tăng rủi ro với các script tấn công quá phổ biến nhắm vào cấu trúc mặc định.
• Cách xử lý: với site mới, đổi prefix ngay từ đầu. Với site cũ, chỉ đổi khi có backup và người đủ kinh nghiệm thao tác.

Tối ưu Database #

Tiêu chuẩn đạt: database được dọn revisions dư, transients cũ, spam comments, log plugin cũ và dữ liệu không còn dùng.

• Cách kiểm: WP-Optimize, Advanced Database Cleaner, Query Monitor hoặc phpMyAdmin.
• Dấu hiệu chưa đạt: database lớn bất thường, backup quá nặng, admin chậm, nhiều bảng plugin cũ.
• Rủi ro nếu bỏ qua: truy vấn chậm, backup lâu, migration khó, dễ tích lũy nợ kỹ thuật.
• Cách xử lý: backup trước, dọn theo nhóm dữ liệu, không xóa bảng khi chưa hiểu plugin nào tạo ra, đặt lịch tối ưu định kỳ.

Tích hợp CDN #

Tiêu chuẩn đạt: website có CDN phù hợp như Cloudflare, BunnyCDN hoặc giải pháp tương đương để phục vụ static assets.

• Cách kiểm: CDN dashboard, response headers, Chrome DevTools, cache HIT/MISS.
• Dấu hiệu chưa đạt: bật CDN nhưng tài nguyên vẫn tải từ origin, cache HIT thấp, trang động bị cache sai.
• Rủi ro nếu bỏ qua: origin server gánh tải lớn, tốc độ kém khi traffic tăng hoặc người dùng ở nhiều khu vực.
• Cách xử lý: cấu hình cache rule, loại trừ trang động, bật nén nếu phù hợp, kiểm SSL mode và test lại form/checkout.

Ảnh qua CDN #

Tiêu chuẩn đạt: ảnh được phục vụ qua CDN hoặc proxy CDN, có nén, có kích thước phù hợp và không làm ảnh hưởng LCP.

• Cách kiểm: Chrome DevTools > Network > Img, kiểm domain phục vụ ảnh, dung lượng ảnh và ảnh nào là LCP element.
• Dấu hiệu chưa đạt: ảnh hero quá nặng, mobile tải ảnh desktop, ảnh không qua CDN, ảnh thiếu width/height.
• Rủi ro nếu bỏ qua: origin tải nặng, LCP xấu, CLS tăng nếu thiếu kích thước ảnh.
• Cách xử lý: nén ảnh, dùng WebP/AVIF nếu phù hợp, bật CDN media, thêm width/height, preload ảnh hero nếu là LCP element.

Thứ tự kiểm tra nhanh trong 30 phút #

Nếu không có nhiều thời gian, hãy kiểm theo thứ tự: SSL, PHP, database, TTFB, WordPress Core, plugin SEO, cache, backup, bảo mật, WP_DEBUG, XML-RPC, CDN và ảnh. Đây là nhóm dễ phát hiện lỗi lớn và ảnh hưởng mạnh đến vận hành website.

1. 5 phút đầu: kiểm HTTPS, SSL, redirect HTTP sang HTTPS và mixed content.
2. 5 phút tiếp: kiểm PHP, MySQL hoặc MariaDB, phiên bản WordPress.
3. 5 phút tiếp: kiểm TTFB, HTTP/2 hoặc HTTP/3, page cache và headers.
4. 5 phút tiếp: rà plugin SEO, cache, backup, bảo mật, plugin trùng chức năng.
5. 5 phút tiếp: kiểm WP_DEBUG, File Editor, XML-RPC, wp-login.php, user admin.
6. 5 phút cuối: kiểm CDN, ảnh qua CDN, database rác và ghi lại hạng mục chưa đạt.

Output sau 30 phút: không cần sửa hết ngay. Quan trọng là có bảng lỗi, mức ưu tiên, owner, deadline và cách verify sau khi fix.

Thứ tự ưu tiên fix lỗi kỹ thuật WordPress #

Không nên fix mọi lỗi cùng lúc. Hãy ưu tiên lỗi có rủi ro cao, ảnh hưởng nhiều URL, ảnh hưởng đo lường hoặc chặn SEO trước. Nguyên tắc thực chiến là fix lỗi nền trước, verify xong mới chuyển sang tối ưu sâu hơn.

Ưu tiên	Nhóm lỗi	Vì sao cần fix trước?	Hành động gợi ý
P0	SSL lỗi, không có backup, WP_DEBUG bật, website bị cảnh báo bảo mật	Rủi ro cao cho dữ liệu, người dùng và niềm tin.	Fix ngay trước khi bàn giao hoặc chạy traffic.
P1	PHP/database quá cũ, WordPress Core cũ, plugin SEO trùng	Ảnh hưởng nền vận hành, SEO signal và khả năng cập nhật.	Backup, test staging, cập nhật có kiểm soát.
P2	TTFB cao, cache chưa chạy, theme quá nặng	Ảnh hưởng tốc độ, LCP và trải nghiệm mobile.	Kiểm hosting, cache, database, script và ảnh hero.
P3	XML-RPC mở, wp-login chưa bảo vệ, plugin/theme thừa	Tăng bề mặt tấn công và làm rối vận hành.	Đóng rủi ro bảo mật, dọn plugin/theme thừa.
P4	Database rác, CDN chưa tối ưu, ảnh chưa qua CDN	Ảnh hưởng hiệu năng dài hạn và khả năng scale.	Đưa vào backlog tối ưu định kỳ.

Lỗi thường gặp khi nghiệm thu kỹ thuật WordPress #

Lỗi thường gặp nhất là chỉ nhìn giao diện frontend mà không kiểm hosting, plugin, bảo mật, cache, database và CDN. Website nhìn đẹp vẫn có thể fail nghiệm thu nếu nền kỹ thuật không sạch.

• Chỉ kiểm homepage: lỗi thật thường nằm ở bài viết, danh mục, sản phẩm, form, checkout hoặc mobile.
• Dùng nhiều plugin trùng chức năng: hai plugin SEO, hai plugin cache hoặc nhiều plugin tối ưu ảnh cùng lúc dễ gây xung đột.
• Có backup nhưng không restore được: backup chỉ có giá trị khi khôi phục được.
• Bật hết tính năng tối ưu tốc độ: minify, defer, delay JS và remove unused CSS nếu bật cùng lúc có thể làm vỡ giao diện.
• Không kiểm mobile thật: nhiều lỗi font, CTA, menu, layout, LCP và CLS chỉ xuất hiện trên thiết bị thật.
• Không kiểm DOM render: nội dung, FAQ, CTA hoặc internal link có thể không xuất hiện đúng trong HTML mà bot nhìn thấy.
• Không có biên bản nghiệm thu: sau này rất khó biết lỗi thuộc giai đoạn nào, ai phụ trách và mục nào đã pass.

Definition of Done cho nghiệm thu kỹ thuật WordPress #

Một website WordPress chỉ nên xem là đạt nghiệm thu kỹ thuật khi các nhóm bắt buộc đã pass, lỗi quan trọng có kế hoạch xử lý và toàn bộ kết quả được ghi lại trong biên bản bàn giao. Đây là điểm chốt để tránh tình trạng “xong miệng” nhưng không ai chịu trách nhiệm khi phát sinh lỗi.

Nhóm	Definition of Done
Hosting	PHP, database, HTTPS, TTFB và HTTP/2 hoặc HTTP/3 được kiểm, có bằng chứng.
WordPress Core	Core, theme, plugin chính cập nhật, không có plugin SEO trùng, không có plugin rác.
Cache	Cache chạy thật, không làm lỗi giao diện, form, cart hoặc checkout.
Backup	Có backup tự động, biết nơi lưu, có thể khôi phục khi cần.
Bảo mật	Có bảo vệ đăng nhập, scan malware, kiểm user admin, tắt rủi ro không cần thiết.
Cấu hình production	WP_DEBUG tắt, File Editor tắt, XML-RPC xử lý theo nhu cầu thật.
Database & CDN	Database không phình vô lý, CDN và ảnh được kiểm bằng DevTools.
Bàn giao	Có checklist pass/fail, ghi chú lỗi còn tồn, owner, deadline và cách verify.

Muốn dùng checklist này để audit website thật? #

Nếu bạn cần bản Excel đầy đủ để nghiệm thu website với khách hàng, team nội bộ hoặc nhà cung cấp thiết kế web, hãy dùng bản checklist full để tick từng hạng mục, ghi kết quả, ghi chú xử lý và lưu biên bản bàn giao.

Xem Checklist Nghiệm Thu Website FullHọc SEO LaunchpadXem khóa học SEO Master

Đọc tiếp trong hệ thống VLINK Asia #

Checklist kỹ thuật WordPress nên được đọc cùng các bài về WordPress SEO, Google Search Console Technical, Technical SEO và DLN để hoàn thiện cả lớp kỹ thuật lẫn lớp điều hướng ra lead.

• Giới thiệu WordPress cho người làm SEO: hiểu WordPress theo góc nhìn SEO, cấu hình, IA, CWV, schema và tracking.
• Google Search Console Technical: khai thác báo cáo trải nghiệm và kiểm tra chuyên sâu trong GSC.
• Technical SEO: đi tiếp sang Indexing & Crawling, Site Architecture, Performance, Security và Audit Tools.
• Decision Ladder Navigation: thiết kế cấu trúc website theo hành trình ra quyết định O, C, P, R, A.

Nguồn tham khảo #

Các nguồn dưới đây dùng để đối chiếu tiêu chuẩn kỹ thuật, không thay thế kiểm thử trên website thật. Khi áp dụng, cần căn cứ vào hosting, theme, plugin, ngân sách và rủi ro vận hành của từng website.

• WordPress.org Requirements: mốc khuyến nghị PHP, MariaDB/MySQL và HTTPS.
• Google Search Central: Core Web Vitals: LCP, INP, CLS và trải nghiệm trang.
• Google Search Central: Link best practices: liên kết crawlable và anchor text.
• Google Search Central: FAQPage structured data: điều kiện dùng FAQPage và yêu cầu nội dung hiển thị cho người dùng.
• Wikipedia tiếng Việt: WordPress: ngữ cảnh khái niệm CMS mã nguồn mở.

FAQ về checklist kỹ thuật WordPress #

Phần FAQ này chia theo ba nhóm intent: hiểu đúng checklist, xử lý kỹ thuật và ra quyết định khi nghiệm thu website. Nếu đang audit site thật, hãy đọc theo thứ tự để chốt action nhanh hơn.

1. Checklist kỹ thuật WordPress có cần làm trước khi viết content SEO không? #

Có. Nếu nền kỹ thuật còn lỗi như SSL, tốc độ, cache, plugin SEO, canonical hoặc backup, việc viết content có thể vẫn lên bài nhưng dữ liệu SEO phía sau dễ bị sai hoặc khó đo.

2. Website nhỏ có cần kiểm đủ 22 mục này không? #

Có, nhưng có thể ưu tiên nhóm bắt buộc trước. Website nhỏ vẫn cần SSL, PHP phù hợp, backup, plugin SEO sạch, cache, bảo mật và WP_DEBUG tắt trên production.

3. PHP 8.1 đã đủ cho WordPress chưa? #

PHP 8.1 có thể là mốc pass tối thiểu trong checklist, nhưng nên cập nhật benchmark theo WordPress.org là PHP 8.3 trở lên nếu hosting, theme và plugin tương thích.

4. TTFB bao nhiêu là đạt khi nghiệm thu website WordPress? #

Trong checklist này, TTFB từ 200ms trở xuống là tốt và từ 600ms trở xuống là chấp nhận được. Nếu cao hơn, nên kiểm hosting, cache, plugin nặng, database và CDN.

5. Có nên dùng cả Rank Math SEO và Yoast SEO cùng lúc không? #

Không nên. Một website chỉ nên dùng một plugin SEO chính để tránh trùng title, meta description, canonical, sitemap, robots meta và schema.

6. Vì sao phải xóa plugin không dùng thay vì chỉ tắt? #

Plugin không dùng vẫn làm rối quản trị và có thể tạo rủi ro bảo mật nếu bị bỏ quên. Khi nghiệm thu, nên backup trước rồi xóa plugin không cần thiết.

7. Có cần tắt XML-RPC trên mọi website WordPress không? #

Không phải mọi website đều cần tắt. Nếu website dùng Jetpack, app mobile hoặc tích hợp cần XML-RPC thì phải cân nhắc. Nếu không dùng, nên vô hiệu hóa để giảm rủi ro bị bot khai thác.

8. CDN có bắt buộc với mọi website WordPress không? #

Không bắt buộc tuyệt đối, nhưng rất quan trọng nếu website có nhiều ảnh, traffic tăng, phục vụ người dùng ở nhiều khu vực hoặc cần giảm tải origin server.

9. Checklist kỹ thuật này khác gì checklist on-page SEO? #

Checklist kỹ thuật kiểm nền vận hành như hosting, SSL, cache, bảo mật, database và CDN. Checklist on-page kiểm nội dung, title, heading, internal link, schema, media và intent của từng URL.

10. Khi nào nên chặn publish vì fail kỹ thuật? #

Nên chặn publish khi fail lỗi bắt buộc như SSL lỗi, WP_DEBUG bật, không có backup, plugin SEO trùng, không có cache cơ bản, website hiển thị lỗi PHP hoặc form quan trọng không hoạt động.

11. Có cần kiểm kỹ thuật lại sau khi bàn giao không? #

Có. Nên kiểm lại sau mỗi lần cập nhật lớn, đổi hosting, đổi theme, cài plugin lớn, thay cấu trúc URL hoặc khi GSC báo lỗi trải nghiệm, coverage, index hoặc Core Web Vitals.

12. Làm sao biết lỗi kỹ thuật nào cần sửa trước? #

Hãy ưu tiên theo rủi ro và tác động. Lỗi chặn index, chặn đo lường, gây mất bảo mật, làm mất lead hoặc ảnh hưởng nhiều URL cần sửa trước. Lỗi tối ưu nhỏ đưa vào backlog sau.

---

131 Checklist Kỹ Thuật WordPress Chuyên Sâu SEO Technical #

Bạn nhận được một file Excel chuyên sâu gồm nhiều sheet, có thể dùng trực tiếp để audit, nghiệm thu và lập kế hoạch sửa lỗi kỹ thuật WordPress.

File được thiết kế để không chỉ nhìn lỗi, mà còn biết phải sửa gì, sửa thế nào và kiểm lại ra sao. File chuyên sâu sẽ có luôn: 131 tiêu chí, tiêu chuẩn, cách kiểm tra, công cụ kiểm tra, dâu hiệu sai, giải pháp và cách sửa…

---

Bản miễn phí tải trong mục “Tải Tài Liệu Mẫu” bên dưới.