Tento dokument slouží jako praktický checklist pro nasazení WordPress webu do produkčního provozu. Vychází z reálné praxe při vývoji, nasazování a správě produkčních webů a je určený pro standardní WordPress instalace na vlastním hostingu (Apache / Nginx), včetně WooCommerce projektů.

Cílem checklistu je pomoci ověřit, že web je před spuštěním technicky připravený. Zaměřuje se na oblasti, které se v praxi nejčastěji podceňují a následně vedou k problémům po nasazení.

Konkrétně pomáhá:

omezit technický dluh hned od začátku,
předejít běžným bezpečnostním a konfiguračním chybám,
zajistit stabilní provoz, výkon a spolehlivé doručování e-mailů.

Checklist je navržený tak, aby šel projít bod po bodu. Pokud některý z bodů není splněný, web by neměl být považován za připravený pro produkční provoz.

1. Infrastruktura a konfigurace serveru

Verze PHP: Server používá nejnovější stabilní verzi PHP podporovanou WordPressem, kompatibilita všech pluginů a šablony je ověřena.
PHP limity: Limity jsou navýšeny oproti výchozí konfiguraci hostingu (memory_limit min. 256M, u náročných projektů 512M+, max_execution_time min. 60 s).
HTTPS: Automatické přesměrování veškerého provozu z HTTP na HTTPS je aktivní.
SSL certifikát: SSL certifikát je platný a bez bezpečnostních varování.
Konzistence URL: V databázi jsou všechny URL adresy vedeny přes https:// (ověřeno, případně opraveno pomocí WP-CLI wp search-replace).
Sanitizace prostředí: Testovací a staging subdomény nejsou veřejně dostupné, testovací obsah je odstraněn.
Úklid instalačních souborů: Soubory readme.html a license.txt jsou odstraněny z rootu instalace.
Cron: WP-Cron je deaktivovaný (DISABLE_WP_CRON = true) a nahrazený systémovým cronem na serveru.

2. Bezpečnost

Aktualizace: WordPress core, aktivní pluginy a šablona jsou aktualizované.
Autentizační klíče a SALT hodnoty: Autentizační klíče a SALT hodnoty jsou unikátní pro produkční prostředí.
Zákaz editace souborů: V wp-config.php je nastaveno define('DISALLOW_FILE_EDIT', true);.
Autentizace: Administrátorské účty používají silná hesla a aktivní 2FA.
WAF: Aktivní web application firewall (např. Cloudflare nebo aplikačně).
Pluginy: Neaktivní a nepoužívané pluginy jsou odstraněny (ne pouze deaktivovány).
Bezpečnostní plugin: Na webu je nainstalovaný, aktivní a správně nakonfigurovaný bezpečnostní plugin.
XML-RPC: XML-RPC je vypnuté nebo omezené, pokud není potřeba.
Oprávnění souborů: Soubory mají oprávnění 644, adresáře 755, wp-config.php 600 nebo 640.
Upload hardening: Ve složce /uploads není povoleno spouštění PHP.
Security headers: Nastavené základní bezpečnostní hlavičky (X-Content-Type-Options, X-Frame-Options, HSTS tam, kde dává smysl).
HTTPS: HTTPS je vynuceno na celé doméně bez výjimek.
Sanitizace instalace: Soubory readme.html a license.txt jsou odstraněny.
User enumeration: Není možné snadno enumerovat uživatele (author query, REST API).

3. Zálohování

Externí úložiště: Zálohy nejsou ukládány pouze na produkčním serveru (např. S3, Google Drive, Dropbox).
Rozsah záloh: Zálohuje se databáze a složky themes, plugins a uploads.
Automatizace: Zálohování probíhá automaticky podle plánu (např. denně databáze, týdně soubory).
Test obnovy: Obnova zálohy byla reálně otestována na staging prostředí.
Nástroj: Použit ověřený zálohovací nástroj (UpdraftPlus, Duplicator Pro).

4. Výkon a optimalizace (WPO)

Page cache: Aktivní stránková cache pro nepřihlášené uživatele (WP Rocket, LiteSpeed Cache).
Object cache: Redis nebo Memcached je připojen pro dynamické weby a e-shopy.
Optimalizace obrázků: Obrázky jsou automaticky komprimovány a převáděny do moderních formátů (WebP / AVIF dle podpory).
Lazy loading: Lazy loading obrázků je aktivní.
Minifikace assetů: CSS a JavaScript jsou minifikované a neporušují funkčnost webu.
Fonty: Použit omezený počet řezů, fonty jsou self-hostované nebo správně preloadované.
Databáze: Revize příspěvků jsou omezené (define( ‚WP_POST_REVISIONS‘, 5 );), staré transients jsou odstraněny.
Cron: WP-Cron je vypnut (define( 'DISABLE_WP_CRON', true );) a nahrazen systémovým cronem.

5. Transakční e-maily (SMTP)

SMTP místo PHP mail(): Odesílání e-mailů probíhá přes SMTP službu (např. SendGrid, Mailgun, Postmark nebo firemní SMTP).
DNS záznamy: SPF a DKIM jsou nastavené, DMARC politika je minimálně p=none.
Logování e-mailů: Aktivní logování odeslané pošty (např. pomocí FluentSMTP).
Test doručení: Doručení testovací zprávy i e-mailů z formulářů je ověřeno.

6. SEO a indexace

Indexace: Web není blokovaný pro vyhledávače (vypnuté „Zakázat prohledávání roboty“).
XML sitemap: Sitemap existuje a neobsahuje přílohové stránky, autorovy archivy ani chybové URL.
SEO plugin: Použit ověřený SEO plugin (Rank Math SEO nebo Yoast SEO).
Meta data: Každá důležitá stránka má nastavený title a meta description.
Canonical URL: Canonical odpovídá finální doméně (www / bez www).
Přesměrování: Staré URL adresy jsou přesměrovány pomocí 301.
Interní odkazy: Interní odkazy fungují a nevedou na 404 stránky.

7. Funkčnost a UX

Responzivita funguje na mobilu, tabletu i desktopu
Prohlížeče Chrome, Safari a Firefox jsou otestované
404 stránka existuje a vrací správný kód
Favicon je nastavený
OG obrázek je definovaný
Formuláře jsou funkční a chráněné proti spamu
Navigace a interakce fungují bez chyb
Komentáře jsou vypnuté, pokud nejsou potřeba
Přístupnost splňuje základní standardy

Cookie lišta blokuje skripty před souhlasem
Consent Mode v2 je správně nastavený
Právní stránky jsou dostupné
Kontakty jsou aktuální a funkční
Licence obsahu jsou v pořádku

9. Monitoring a observabilita

Monitoring kontroluje obsah stránky, ne pouze HTTP kód
SSL expirace certifikátu je hlídaná
Core Web Vitals jsou sledované v produkci

10. Externí integrace a API

GSC web je ověřen v Google Search Console
Sitemap je odeslaná ke zpracování
Měření není vložené duplicitně
Consent Mode blokuje měření bez souhlasu
API klíče jsou v live režimu

11. Specifika pro WooCommerce (pokud relevantní)

Objednávka byla kompletně otestovaná v live režimu
Průchod košík → pokladna → platba funguje
E-maily objednávek jsou doručované
Sklad se správně odečítá
ERP synchronizace je funkční
Indexace košíku a pokladny je vypnutá
Cache neukládá cizí košíky

12. Závěrečná kontrola

Debug (WP_DEBUG) je vypnutý
Environment je nastavený na production
Analytika sbírá data
Monitoring dostupnosti je aktivní
Chyby jsou logované externě
Licence prémiových pluginů jsou aktivní
Aktualizace mají jasný plán
Správa webu má určenou odpovědnou osobu
PageSpeed test neukazuje kritické problémy
SEO kontrola byla provedena
Chyby 4xx / 5xx se nevyskytují

Závěrečná poznámka z praxe

Nejčastější kritické chyby při spuštění WordPress webu nejsou složité. Patří mezi ně zapomenutá blokace indexace nebo nefunkční e-maily z formulářů. Obě lze odstranit během několika minut, pokud se kontrolují systematicky.

Nejste si jistí, že máte všechno pokryté?

Checklist vychází z reálné praxe a řeší nejčastější problémy, které se objevují krátce po spuštění webu. Pokud si nejste jistí některou oblastí, nebo chcete mít nezávislou technickou kontrolu, je lepší to řešit ještě před nasazením.

👉 Ozvěte se a projdeme váš web společně.

Doporučené články

18. 6. 2025

Databáze

Jak na návrh databáze, která zvládne i náročnou aplikaci

Špatný návrh databáze je technický dluh, který vás zaručeně zpomalí. Zjistěte, proč je normalizace klíčová pro výkon a jak se vyhnout chybám, které ohrožují stabilitu aplikace. Postavte základ, který bez problémů unese miliony záznamů a budoucí růst.

23. 2. 2025

Kyberbezpečnost

Jak zabezpečit WordPress? 10+ klíčových kroků k ochraně vašeho webu

Protože je WordPress tak oblíbený, je i častým cílem útoků. V článku vám jednoduše a krok za krokem ukážu, jak svůj web zabezpečit, i když nejste zrovna programátor. Jde o pár základních návyků, které riziko napadení výrazně sníží.

18. 12. 2024

Legislativa

Povinné údaje na firemním webu v roce 2026

Máte na firemním webu všechny povinné údaje? Mnoho firem v tom chybuje, aniž by o tom vědělo. Tento článek slouží jako jednoduchý checklist, díky kterému si za pár minut ověříte, jestli vám nic nechybí a vyhnete se tak zbytečným pokutám i nedůvěře zákazníků.

7. 12. 2025

Vývoj softwaru

Jak modernizovat legacy PHP aplikaci pomocí postupného refaktoringu

Jak bezpečně refaktorovat legacy PHP aplikaci. Praktické kroky, nástroje, typy v PHP 8 a strategie, které snižují technický dluh a riziko regresí.

WordPress checklist před spuštěním webu (produkce 2026)

Obsah článku

1. Infrastruktura a konfigurace serveru

2. Bezpečnost

3. Zálohování

4. Výkon a optimalizace (WPO)

5. Transakční e-maily (SMTP)

6. SEO a indexace

7. Funkčnost a UX

9. Monitoring a observabilita

10. Externí integrace a API

11. Specifika pro WooCommerce (pokud relevantní)

12. Závěrečná kontrola

Závěrečná poznámka z praxe

Nejste si jistí, že máte všechno pokryté?

Doporučené články

Jak na návrh databáze, která zvládne i náročnou aplikaci

Jak zabezpečit WordPress? 10+ klíčových kroků k ochraně vašeho webu

Povinné údaje na firemním webu v roce 2026

Jak modernizovat legacy PHP aplikaci pomocí postupného refaktoringu

Hledáte spolehlivého vývojáře?

WordPress checklist před spuštěním webu (produkce 2026)

Obsah článku

1. Infrastruktura a konfigurace serveru

2. Bezpečnost

3. Zálohování

4. Výkon a optimalizace (WPO)

5. Transakční e-maily (SMTP)

6. SEO a indexace

7. Funkčnost a UX

8. Legislativa (GDPR)

9. Monitoring a observabilita

10. Externí integrace a API

11. Specifika pro WooCommerce (pokud relevantní)

12. Závěrečná kontrola

Závěrečná poznámka z praxe

Nejste si jistí, že máte všechno pokryté?

Doporučené články

Jak na návrh databáze, která zvládne i náročnou aplikaci

Jak zabezpečit WordPress? 10+ klíčových kroků k ochraně vašeho webu

Povinné údaje na firemním webu v roce 2026

Jak modernizovat legacy PHP aplikaci pomocí postupného refaktoringu

Hledáte spolehlivého vývojáře?