Logo Spiria

WordPress, du bon et du moins bon

21 janvier 2016.

Matt Mullenweg, l’homme qui dirige Automattic, l’entreprise derrière le système de gestion de contenu (CMS) WordPress, se félicitait en novembre dernier d’atteindre 25 % de part de marché. Aujourd’hui, un site web sur quatre est maintenu avec WordPress, un résultat très loin devant les Joomla, Drupal et autres SGC réputés. Ce succès repose sur un code source ouvert, la gratuité, une large et active communauté, une facilité d’installation comme d’usage, et une certaine polyvalence. Mais le SGC parfait et universel, répondant à toutes les problématiques, n’existe pas. WordPress convient avec brio à la plupart des besoins courants, mais n’est pas peut-être pas adapté à tous les projets.

Écosystème

Du fait de son immense popularité, un important nombre de programmeurs produisent des thèmes et des plug-ins (extensions) pour WordPress. Le choix est vaste, inégalable à vrai dire, et les fonctionnalités proposées sont parfois pointues. WordPress est un peu comme le iPhone, c’est l’écosystème d’applications qui s’est développé autour qui compte autant sinon plus que le produit de base. La communauté active et la richesse de l’univers des extensions sont la grande force de la plateforme WP (tout comme son talon d’Achille comme nous le verrons plus loin sur les questions de sécurité et de stabilité).

Facilité d’utilisation

L’administration de WordPress est conçue pour être d’un abord intuitif et non intimidant pour le néophyte. On peut même dire qu’elle est vraiment agréable à l’usage. Depuis la version 4.0, l’effort a été porté sur un meilleur environnement WYSIWYG qui abaisse encore la barrière et limite le temps de formation nécessaire à un utilisateur. De plus, du fait de son ubiquité, il est fréquent que les gens aient déjà une expérience préalable de WP. L’installation de WP est également très abordable, ce qui a grandement contribué à son succès.

Développements rapides

L’immense choix de thèmes et plug-ins et la simplicité technique autorisent des cycles très courts pour monter un site, à moins d’avoir des exigences inédites ou très spécifiques. Pour la plupart des besoins communs, il est inutile de réinventer la roue avec WordPress, il est rare de ne pas trouver le plug-in idoine. Et pour les adaptations sur mesure, il est nécessairement plus facile de croiser un spécialiste WP qu’un expert Drupal ou Typo3.

Généraliste, mais pas universel

Quoiqu’on puisse en dire, et le sujet peut être l’objet de débats particulièrement enflammés dont Internet a le secret, la logique profonde et historique de WordPress est celle d’un blogue (fil de publication chronologique), ce qui n’en fait pas vraiment un SGC universel, sauf au prix de certaines contorsions et souvent d’un trop grand nombre d’extensions tierces. WP excelle au format blogue, sans doute aussi à celui d’un site d’information généraliste, mais moins à d’autres structures plus sophistiquées, complexes, moins linéaires. WP est un outil de blogue qui peut faire des sites, mais pas l’inverse. Tout du moins, pas encore… Le carrefour stratégique auquel fait face aujourd’hui Automattic est de définir ce qu’est WP et quel est son avenir. Tout faire est une ambition, tout bien faire n’est pas très réaliste.

Sécurité

WordPress a une longue histoire d’innombrables vulnérabilités. Même si la situation s’est améliorée depuis la version 3.7, qui a vu l’apparition d’un système de mises à jour automatisé, myriade d’extensions et thèmes, d’origines parfois douteuses, mal programmés et/ou mal maintenus, peuvent toujours ouvrir la porte à des actions malveillantes. Les développeurs de WP sont parfois aussi lents à réagir à des bogues inquiétants et documentés. WordPress est également victime de son succès : il est plus rentable pour un pirate de s’attaquer à lui qu’à un obscur système peu utilisé. Des milliers de robots logiciels (bots) arpentent sans cesse le web à la recherche d’installations WP potentiellement exploitables. L’analyse des fichiers log de n’importe quel serveur HTTP démontre l’omniprésence et la virulence de ces robots. Un déploiement WP demande donc une constante vigilance et assurément des compétences en matière de sécurité pour une utilisation professionnelle. Et s’il est très facile d’installer WordPress, sa version de base manque de fonctionnalités de sécurité utiles et nécessaires auxquelles des plug-ins doivent suppléer.

Instabilité potentielle

Plus vous avez recours à des plug-ins tiers, plus votre installation devient alors un système complexe et fragile et plus le risque est élevé que ça “casse” lors d’une mise à jour de WordPress. Or, il est impensable pour des raisons de sécurité de ne pas effectuer en temps et en heure les mises à jour, même s’il elles sont au danger de voir des dysfonctionnements du site plus ou moins importants apparaîtrent du fait d’un plug-in soudainement devenu incompatible. Toute la richesse de WordPress résidant dans ses extensions, on voit là l’ambiguïté affrontée par la plateforme et les frustrations qu’elle peut engendrer. D’autre part, la nouvelle interface d’administration actuellement en préparation, surnommée Calypso et développée en JavaScript (avec les libraires Node.js, React et Flux), promet aussi de rompre toute comptabilité avec des développements antérieurs, ce qui pourrait faire penser qu’il est urgent d’attendre avant de s’engager dans un gros projet basé sur WordPress.