Open in app

Sign in

Write

Sign in

L’incommensurable succès de WordPress, et pourquoi nous sommes condamnés…

Mathieu Pasquini
Shadow-Moses
Published in
13 min readJan 2, 2018

… à errer dans les flammes de l’enfer. Ce sont les premiers jours de 2018, le temps des nouvelles résolutions. Allez je m’y file au mastic, et parce que je croule sous les demandes -nan je déconne-, je vais partager mon expérience de web développeur et d’admin system. Depuis plus de 20 ans que je traîne mes guêtres, qu’est-ce que tu veux, j’ai fini par rencontrer le génie de la L.A.M.P et je lui ai fait trois vœux.

Faut pas m’en vouloir, j’étais jeune, plein d’espoirs et d’hormones, j’ai pas tout bien pensé en formulant mes vœux, et en plus je venais de recevoir ma première facture de mon F.A.I, et elle était en francs (français !).

  1. Premier vœu : apprendre à parler le langage des internets.
  2. Deuxième vœu : apprendre à parler le langage des machines des internets.
  3. Troisième vœu : apprendre le langage des gens des machines des internets et des internets.

Wouf ! ヽ(`Д´)⊃━☆゚. * ・ 。゚, Me voilà exaucé. Quel con je fus, je te jure, au moins autant qu’une valise sans poignée. Ou pire : un script sans commentaires.

Total et conclusion j’ai appris à parler plein de langues des internets : JS, CSS, HTML, API… les langues des machines des internets : PHP, MySQL, BASH, SHELL, DNS… et les langues des gens : Creatives Commons, GNU/GPL, NetNeutrality, freedom, sharing, knowledge, privacy… Ça a l’air super dit comme ça, mais comme tous ceux qui ont fait les mêmes vœux que moi on se retrouve à comprendre comment tout ça marche. A savoir et comprendre comment tournent tous ces milliards de petits rouages qui font marcher la Grande Horloge. Un peu comme Neo dans Matrix. On voit derrière le miroir et c’est pas joli joli parfois.

Or donc, avec mes vœux à la noix (bah oui j’aurai dû demander à être Elon Musk ça aurait été plus simple) il a bien fallu monétiser ce que je savais faire des mes dix doigts : faire des logiciels tout mignons accessibles depuis un naviga… faire des sites internet. Et quand tu vends des sites internet, surtout à tes débuts, tu te retrouves à faire des sites vitrines. Ça c’est pas grave hein, le problème c’est que ton pire cauchemar se cache derrière cette demande et c’est pas kawaii du tout : WORDPRESS.

Le nom est lâché, notre Némésis, le plus terrifiant de tous les cauchemars des webmasters : WordPress. Nota bene : ne pas écrire “Wordpress” tu vas te faire lyncher en place publique par les puristes, il faut écrire “WordPress” avec un pet majuscule.

Pour des raisons, dont une partie tient du rationnel et une autre du fantasme, la grande majorité des clients ou prospects avec qui je travaille et qui souhaitent un site internet [à pas cher] me demande souvent un WordPress. Pourquoi ? sans le savoir vraiment eux-mêmes ils donnent à peu près les mêmes raisons, liste non-exhaustive :

  • Parce qu’un site internet ça marche avec WordPress
  • Parce que c’est moins cher
  • Parce que “c’est pas comme ça que ça marche internet ?”
  • Parce que tous les autres devis que j’ai, c’est avec WordPress et c’est moins cher que vous
  • Parce que je peux tout faire moi-même après. Du coup/coût ça sera moins cher
  • Parce que c’est écrit sur l’appel d’offre pour la création du site de la marie
  • Parce que tous les sites de mes copains/confrères/concurrents/collègues l’utilisent
  • Parce que le site de Dassault l’utilise, donc si une grosse boîte comme ça utilise WordPress c’est que c’est sérieux
  • Parce que des gens très sérieux disent que c’est bien, voire : mieux !
  • Parce que je sais que c’est gratuit. Vous avez juste à le télécharger, l’installer et voilà !

(╥﹏╥)

Je reviendrai plus tard dans un autre billet sur le prix/coût d’un site internet et/ou de son hébergement il y’a tant à dire. Là je vais m’attarder à expliquer rationnellement et avec calme pourquoi WordPress c’est bien “vu comme ça” et qu’en fait… non. Et pourquoi nous sommes condamnés à se faire suer pire que Sisyphe.

Tout a commencé le 27 mai 2003, trois jours avant la sortie officielle du Nemo de Pixar. Lorsque deux développeurs reprirent le code d’un système de gestion de contenu pour le corriger et en faire un des géants d’internet. Oui, Nemo date de 2003 et WordPress a exactement le même âge. On parle souvent des GAFA (Google, Apple, Facebook, Amazon) ou des GAFAM (+Microsoft) mais beaucoup oublient qu’il faut ajouter une autre hégémonie (ou quasi-) avec WordPress et donc parler des GAFAMW, ce qui rend le truc plus compliqué a dire.

En presque 15 ans WordPress est devenu le plus utilisé des Gestionnaires de Contenus en Ligne, Content Management System en anglais ou CMS, du monde, et de très loin. Les statistiques montrent sans ambiguïté que WordPress écrase la concurrence : sur tous les sites qui utilisent un CMS, WordPress c’est 60 % à lui tout seul. Plus fort, WordPress c’est 29% des sites du monde, quasiment un site sur trois utilise WordPress. Grosso modo il y a 1.3 milliard de sites internet ici-bas. Un rapide calcul montre qu’il y aurait environ 377 millions de sites qui fonctionnent en tout ou partie avec WordPress. Si c’était possible de mesurer que les sites vitrines, de simple présentation, de blogging et les site e-commerce, en ignorant tout les autres types, je pense, mais ce n’est que mon opinion, n’ayant pas trouvé de sources fiables, que WordPress représenterait 75% de cette catégorie de sites. Et c’est bien là tout le problème.

D’un certain point de vue (© Obi-Wan Kenobi), comme pour Google ou Facebook, WordPress est une démonstration de l’effet Pavarotti. En résumé, c’est cet effet cognitif qui dit “que ça doit marcher puisque c’est lui, c’est donc le meilleur, donc je ne veux que lui”. Voilà pourquoi tout ceux qui ne sont pas des “sachants” pensent que WordPress est un site internet. Un peu comme beaucoup pensent que Google n’est pas un site internet… Parce qu’un site internet c’est compliqué à définir formellement dans sa destination. Bref, comme c’est pas simple tout ça, on se tourne vers le connu WordPress, et comme c’est lui le plus présent partout : je l’utilise. Comme Google quoi.

WordPress est une énorme machine de guerre qui compte 581 employés. Qui a publié depuis sa naissance 98 versions, soit 6.5 par an. Le site wordpress.com gère 22 milliards de pages vues par mois, 80 millions de blogs et 40 millions de commentaires. Le code source de WordPress compte aujourd’hui plus de 500 000 lignes utiles, et est publié sous licence GPL (General Public Licence). Ce dernier point est important cela veut dire que le code source de WordPress est connu, accessible, étudiable, modifiable, exécutable et distribuable de manière commerciale ou non par tous sans exception. Et en plus personne ne peut juridiquement s’en approprier la possession. Exactement comme Linux ou FireFox. C’est donc une bonne nouvelle me direz-vous. Et vous aurez mille fois raison. Le problème dans tout ça ce n’est pas l’outil, mais ce qu’on en fait. Par exemple une perceuse peut soit percer un joli trou dans un mur pour y mettre une cheville pour y accrocher un tableau, soit faire un trou dans une tête pour des raisons tout aussi artistiques comme le montre cet excellent film d’Abel Ferrara de 1979 Drill Killer. Que je conseille bien évidemment pour enjouer vos fins de dîner en famille.

Le fait que l’on puisse télécharger WordPress ou l’étudier en ligne -pour y participer par exemple- tout à fait légalement grâce à la GPL, est une aubaine pour tout le monde :

  • Pour les gentils développeurs qui peuvent l’étudier et proposer des corrections de bugs ou de failles, ainsi que l’ajout de nouvelles fonctionnalités
  • Pour tous les gentils webmasters qui peuvent l’installer, le customiser (plus ou moins) et le vendre à leur client
  • Pour les méchants webmasters qui peuvent l’installer, le customiser (plus ou moins) et faire des vilaines choses
  • Pour les méchants développeurs qui peuvent l’étudier et y trouver des failles et créer des mauvaises fonctionnalités très vilaines.

Et ce logiciel, car oui WordPress est un logiciel, là encore on y reviendra dans un autre billet, propulsant plus de 377 millions de sites internet attire toutes les convoitises les bonnes comme les mauvaises. Pourquoi ? parce que c’est un un logiciel libre ? non, ça c’est une très bonne nouvelle. Parce que c’est utilisé par beaucoup de monde et c’est trop la hype ? non, c’est pas la quantité qui compte. Parce que ça marche pas bien en fait ? non, c’est plutôt bien foutu, même si on peut en débattre entre techniciens. Alors pourquoi ?

Parce que dans beaucoup [trop] de cas, les utilisateurs et/ou webmasters ne respectent pas le code.

Dans la vie il y’a quatre types de webmasters :

  1. Ceux qui savent et qui aiment ça.
  2. Ceux qui savent et qui n’aiment pas ça.
  3. Ceux qui ne savent pas et qui aiment ça.
  4. Ceux qui ne savent pas et qui n’aiment pas ça.

Ceux de la catégorie numéro 1. sont ceux en qui vous pouvez confier votre site, votre WordPress, en toute confiance. On les reconnaît facilement leur twitter ou leur facebook sont remplis de posts incompréhensibles aux profanes, ilspassent leur temps sur les sites d’informations et sont constamment à l’affût des infos de leur métier. Ceux de la catégorie 2. sont quasi inexistants en fait, on ne peut pas faire notre métier en professionnels si on aime pas ça. Ceux de la catégorie 3. et de la 4. sont les plus dangereux, parce que n’aimant pas ça ils ne veulent pas passer de longues heures tout au long de leur vie professionnelle à être informés et à se former. Et malheureusement l’appât du gain facile attire les webmasters non formés ou peu scrupuleux des impératifs déontologiques de notre métier. Car oui, malheureusement, l’apparente facilité de faire un site web avec WordPress a condamné notre métier.

Un logiciel n’est pas un truc physique, solide, figé dans le temps. C’est un élément en constante évolution, car qui a fait un jour ne serait-ce qu’une ligne de code sait que l’essence même du métier de développeur est la correction de bugs, car coder c’est buger. Il y’a des erreurs humaines (pour ne parler que d’elles ici) qui se logent dans les lignes de codes que nous faisons, certaines font juste croustiller un affichage ou d’autres peuvent faire s’écraser un robot sur mars. Il en va de même pour WordPress, d’où ses mises à jour régulières que le webmaster du site doit appliquer systématiquement, car les gentils développeurs ont corrigé les bugs pour éviter que les méchants développeurs s’en servent. Et là c’est le premier drame.

Vendre un site web, ou même le faire gratuitement, semble facile. Il existe aujourd’hui de nombreuses solutions d’hébergement pour quelques euros par où l’on peut en quelques minutes installer et déployer un WordPress soi-même. C’est très simple et la toile regorge de tutoriels de tous poils pour accompagner le webmaster. Cette [apparente] facilité fait naître à beaucoup l’envie de se lancer dans l’activité de création de sites internet, et surtout de sites internet vitrine. Là encore je reviendrai dans un autre billet pour expliquer comment et pourquoi ce métier de créateur de sites internet vitrine n’a pas de modèle économique viable. Quoi qu’il en soit j’ai vu de mes yeux des imprimeurs “transformer” leur préposé à la P.A.O en webmaster, des agences de communication faire de leur graphiste un webmaster, des gamins sortant de l’école se transformer en webmaster etc. C’est pas compliqué avec WordPress de faire un site internet, et en plus avec les plug-in et les chartes graphiques toutes prêtes on peut vraiment tout faire ! Hélas.

Ce premier drame c’est le drame de l’installation rapide pour répondre à un besoin urgent. C’est vite fait, mais est-ce bien fait ?

Dans les faits, et c’est ce que découvrent les apprentis webmaster de tous crins, installer un WordPress c’est rapide et ça répond à 95% des besoins du client, du demandeur. Y’a toujours un petit bout de truc à faire, à ajuster, un petit bug d’affichage. Des fois ce n’est rien, un coup de correction CSS avec un peu d’aide et le bug il s’en va, mais des fois il reste là et il s’accroche. Le bug, il vous tourne autour, vous avez beau gueuler, hurler, taper, y’a rien à faire il reste là, il vous regarde dans les yeux, et je vais vous dire, les bugs ça a des yeux tout noir, sans vie, des yeux de nounours en peluche, jusqu’à ce qu’ils vous happent. Alors on bricole, on farfouille le code jusqu’à ce que ça marche, jusqu’à ce que vienne la nouvelle mise à jour de WordPress. Et ça ça arrive tous les 152 jours environ.

Seulement voilà, le bricoling que notre apprenti webmaster nous a fait, est dans le code du WordPress, et s’il met à jour le WordPress le bug va revenir et il va falloir le combattre à nouveau sans aucune garantie de victoire cette fois-ci. Ou peut être que ça va passer cette fois, mais que dans la mise à jour suivante… tout ira très mal. Le site ne marchera peut être plus du tout, et ça c’est pas possible. C’est trop de temps à passer, et ce n’est pas prévu, ce n’est pas vendu.

Le deuxième drame vient des sites qui proposent gratuitement ou pour quelques dollars des templates graphiques spécialement dédiés à WordPress tout jolis et graphiquement “dans le coup”. Ou encore des plug-in, qui sont des portions de code complet qui permettent d’ajouter une ou plusieurs fonctionnalités à WordPress, comme le rendre e-commerçant, afficher un petit chat à la place du pointeur de la souris ou afficher les flux Facebook. Et comme dans le premier drame, ou concomitamment à celui-ci, sa torture tellement le code parfois que, et même si WordPress a prévu des mécanismes de protection de son propre code, la mise à jour devient impossible ou complexe et fastidieuse.

Et je ne rentre pas dans le détail des feignasses qui ne mettent pas à jour parce qu’ils s’en foutent, ou simplement de ceux qui ne savent pas toutes les modifications minimales à faire lors de l’installation du WordPress ou du code périphérique, comme cacher l’accès administrateur par exemple. Et rien que ça, bon courage.

Au final, quand on regarde simplement les statistiques concernant les versions de WordPress, seulement 30% sont à jour de la dernière version. Et même si les mises à jour de sécurité sont déclinées sur les versions inférieures, elles ne le sont pas toutes et ne le seront de tout façon un jour plus du tout. Au moment où j’écris ces lignes plus de 10 000 failles sont répertoriées (!) dont au moins 200 sont des vulnérabilités maximales. Sans compter les failles 0-day, qui circulent sur le marché noir.

70% de 377 millions cela fait au bas mot 264 millions de sites comportant potentiellement des failles exploitables. Mais ce n’est pas le pire.

En installant des plug-in ou des templates glanés “à pas cher” (ou même parfois si, cher) l’apprenti webmaster installe (in)volontairement un logiciel malveillant caché dans le code du plug-in ou du template. Et là c’est franchement le drame. Car, malgré les efforts de WordPress pour protéger tout le binz, il ne peut rien ou pas grand chose contre un code malveillant volontairement installé par le webmaster. C’est très compliqué à lire le code de ces plug-in ou template, car le méchant développeur sait très bien cacher son vilain code. C’est parfois un méchant développeur qui a trouvé un bug dans le code du plug-in d’un gentil développeur, et bam un million de sites par terre. Ou parfois c’est plus sournois, mais rudement efficace, et crac 300 000 sites bien farcis.

C’est sans fin. Il y’aura toujours de plus en plus de WordPress dans les prochaines années, tant qu’il y’aura des apprentis webmaster qui ne savent pas ce qu’ils manipulent. On sera condamnés, tels Sisyphe, à pousser le rocher de l’ignorance toujours plus loin, pour qu’il revienne toujours.

Un petit exemple pour finir. Lors d’une réunion de chef d’entreprise à laquelle j’assistais, chacun avait évidemment son site vitrine, sur la vingtaine de sites dix étaient des WordPress. Vous me connaissez j’ai décidé de me livrer à une petite expérience : j’ai gentiment “bousillé” les dix WordPress en quelques minutes. Simplement réinitialisé les mots de passe administrateur. Pour beaucoup ce ne fut qu’une frayeur, puisqu’ils ont reçu sur leur boîte mail la validation de la réinitialisation du mot de passe, avec le nouveau mot de passe. Mais pour l’un d’entre eux le mail est parti sur une boite mail qui en fait ne fonctionnait plus et le webmaster ayant déposé le bilan... Rassurez-vous j’ai aidé ce chef d’entreprise à recouvrer son accès. Mais qu’est-ce que cette petite expérience in vivo peut bien nous raconter ?

  1. Sur les 10 WordPress, aucun n’avait protégé l’accès à la page d’authentification au back office administrateur
  2. Les mails furent très/trop faciles à trouver
  3. Une rapide conversation avec chacun d’entre eux, me montra combien ils étaient ignorants de la sécurité de leur propre site internet de leur propre société
  4. Un d’entre eux était tellement ignorant, ce n’est pas son métier, qu’il ne savait pas qu’il y avait un “accès” au WordPress. C’est “ma secrétaire qui gère tout les trucs informatiques” (-_-)
  5. Pour deux d’entre eux, une faille était présente dans le formulaire de renvoi du mot de passe, j’aurai pu injecter mon propre mail et m’adresser le mail de recouvrement de mot de passe. J’aurai eu un full acces au WordPress et j’aurai pu absolument tout voler, tout détruire, ou simplement insérer un script malveillant pour récupérer d’autres infos : comme le mot de passe d’un utilisateur du WordPress en la personne du chef d’entreprise. Et ainsi, peut-être, accéder à son compte mail car souvent les gens n’utilisent qu’un seul mot de passe pour tous leurs comptes.
  6. Aucun des 10 WordPress était à jour…

Mais alors que faire ?

Confiez vos projets de site internet à des professionnels aguerris, prouvant de solides références. Ne vous fiez pas à leur site de présentation, ça ne veut rien dire du tout, contactez-les et demandez, si possible, le contact des clients avec qui ils ont travaillé, vous serez vite fixés. Ils utiliseront un WordPress, peut-être, mais ils le feront avec une grande prudence et vous imposeront les mises à jour, la politique d’accès au back office, la sécurité, des backups, un contrôle sérieux de l’environnement du WordPress etc. Et surtout ils ne seront pas les moins chers, ah ça c’est bien certain, parce qu’ils vont passer de longs moments le soir, le week-end, en vacances, la nuit à s’assurer que le WordPress est à jour, que les plug in ne comporte pas de failles connus, que les templates graphiques sont faits dans les règles de l’art, que le suivi est conforme… Bref, que tout soit bien comme il faut là où il faut et tout le temps.

Ça prend du temps.

Mais surtout, souvent, ces professionnels aguerris par des années d’expérience, n’utilisent pas WordPress. Ils codent eux-mêmes.

WordPress
Web
Tech

--

--

Mathieu Pasquini
Shadow-Moses

Written by Mathieu Pasquini

27 Followers
Editor for

Mathieu Pasquini, aka boogieplayer, is a piano player and https://Shadow-Moses.net CEO. L.A.M.P genie, NeuroHacker & BoogieWoogie drifter.

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams