Mise à jour
WordPress vient de passer en 4.2, une mise à jour rapprochée de la 4.1.3 dédiée à des correctifs de sécurité. Les nouveautés sont essentiellement tournées vers le partage et les réseaux sociaux. Vous pouvez maintenant copier directement les liens Twitter, Instagram, Tumblr ou Kickstarter. Si cette fonctionnalité de reconnaissance des liens fonctionnait déjà avec les sites musicaux comme Deezer ou Spotify, ces ajouts rendent vraiment transparent le partage pour les principaux réseaux. Un nouveau bouton “Press this” dans le menu Outils renforce la facilité du partage en offrant la possibilité de capturer un morceau de web que vous voulez mettre dans votre article. Tout ceci n’est pas révolutionnaire mais bigrement pratique et s’ajoute à la longue liste d’améliorations dans la gestion des contenus intégrés au site.
En résumé, WordPress devient encore un peu plus dynamique dans sa façon d’accepter les liens extérieurs et fluidifie un peu plus encore le blogging. Si cette mise à jour apportent des améliorations pour poster des informations, Wordpress reste toujours le CMS le plus souple et le plus simple, même s’il n’est pas parfait et loin de là, sur le marché. Et d’un coup, tout ceci me donne envie de faire un petit point sur la question, presque avec l’envie d’en faire une habitude, promesse que je m’empresserai de ne pas tenir.
Toujours plus CMS
Autrefois, alors que les dinosaures peuplaient la planète web, que les pages d’accueil clignotaient encore dans le noir de multiples gifs, que les arrières plans représentaient des tables ou des carnets et que tous les sites avaient la même typographie, à cette lointaine époque que les moins de 5 ans ne peuvent pas connaître, WordPress servait à faire des blogs. Et aujourd’hui la question revient encore chez un grand nombre de personnes à qui WordPress est proposé. Ce n’est définitivement plus un outils de blog, mais il continue à pourvoir faire tourner des blogs. Il s’agit aujourd’hui d’un CMS relativement mature, pas complètement exempt de défaut, mais à la fois performant et sympa pour les utilisateurs même néophyte qui peuvent facilement mettre leur site à jour. Contrairement à des solutions en ligne de sites à faire soi-même, le système étant open-source, vous pouvez le faire évoluer comme vous les souhaitez.
Côté avantage, le côté administration est simple et accessible pour n’importe qui ou presque. Les nouvelles fonctionnalités permettent à ceux qui le souhaitent d’animer la partie blog sans se préoccuper de ces liens étranges et la capacité à n’afficher que les menus nécessaires pour les utilisateurs rend l’interface encore plus conviviale. Côté inconvénient, l’illusion que tout y est simple dans le meilleur des mondes, qu’il n’y a pas de problème de sécurité, qu’il n’y a pas de problème de rapidité, et qu’il n’y a aucun module néfaste en ciculation. Si les dernières évolutions de ce CMS lui permette d’afficher une bonne implantation dans des sites de moyenne et grande ampleurs pour de grands comptes ( CNN, New York Times, TED, Wired, Forbes, Yahoo!, Samsung, MIT, Harvard…),en dehors d’une utilisation blog (et encore), WordPress n’est donc pas vraiment “clé en main” pour faire un site complet. Il est nécessaire de mettre ses mains dans le code (PHP, CSS principalement), de connaître les bases de données, et enfin de connaître un peu les problèmes de sécurité.
Et alors, la sécurité dans tout ça
WordPress est également modulaire à l’infini, ce qui fait sa force et sa faiblesse. Sa force est de pouvoir répondre rapidement à toutes les situations et demandes, mais la contrepartie est la fabrication de sites tellement surchargés de modules qu’ils peuvent en devenir lents, et potentiellement moins sûrs. La sécurité est en effet un des points d’interrogation qui revient systématiquement lorsqu’on parle de WordPress. Alors oui, nativement, il n’est pas le plus sécurisé des CMS, tout le monde est d’accord la dessus. Mais des modules de qualité tels que Wordfence, Itheme Security, Sucury scanner, All in One Security se chargent de faire le boulot. L’essentiel, dans la plupart des cas, étant la protection des dossiers, empêcher l’injection SQL et l’exécution de codes malicieux. Et j’oubliais la bonne vieille méthode rustique, le verrouillage manuel et la vérification régulière des fichiers. Et nous revenons au début de l’article, à savoir la mise à jour, qui est indispensable à la sécurisation. Pour finir, sauvegarder, SAUVEGARDER, j’ai été assez clair ! Il y a des modules pour ça aussi comme Updraftplus, Backwup, ou en payant Backupbuddy, Snapshotpro de Wpmudev ou encore Vaultpress de l’équipe d’Automattic qui développe WordPress.com.
Et Drupal le tant réputé pour sa sécurité (ce qui est mérité d’ailleurs) a également eu récemment des failles à corriger (par exemple la faille SQL en novembre 2014), donc aucun rempart n’est parfait. Et pour ce qui est du piratage dont on entend parler dans les médias, à savoir le defaçage (replacement d’une partie ou toute la page d’accueil du site), il est couvert par les plugins précédemment cité. Il est évident qu’il est également nécessaire de savoir gérer le fameux .htaccess qui configure un bon nombre de choses pour l’intégralité du site. Et quant aux autres grands piratages, Sony, France 5 Monde, sites de médias en Belgique et au Canada, Orange, des banques et je vous laisse le soin de faire des recherches sur la totalité du phénomène, ils touchent toutes sortes de CMS open-source ou propriétaire. Lorsque quelqu’un veut s’introduire sur un site, aucune sécurité n’est parfaite, reste la vigilance, les mises à jour, et un rien de savoir-faire. Penser qu’une fois son site terminé, il n’y a plus qu’à écrire des articles est une erreur qui peut s’avérer fatale.
Mais WordPress dispose également d’une énorme communauté, réactive et performante. Une faille XSS a été récemment identifiée et a fait immédiatement l’objet d’alerte et de mises à jour. Le nombre de développeurs sur un CMS et son écosystème constitue une sécurité supplémentaire à mon avis supérieure au risque des mauvais développeurs qui sont eux vite repérés.
Rapidement, la vitesse
Oui WordPress n’est pas nativement (là encore) le plus rapide, faute à l’absence de mise en cache native contrairement à Drupal par exemple. Trois modules, parmi d’autres, permettent de résoudre ce problème: Wp Super Cache, W3 Total Cache, et WP Rocket. Ce dernier, payant, et cocorico issu d’une brillante équipe de développeurs français, est le plus efficace, le plus rapide, et surement le plus simple à mettre en oeuvre de l’avis de tous, et pas que du mien (je n’ai pas de lien avec eux pour que le choses soient claires).
La tendance du moment : les constructeurs de sites
Si ceux qui connaissent le code peuvent se reposer sur des frameworks tels que Genesis et ses thèmes, pour les autres, la fabrication d’une page restait souvent dépendante du thème qu’ils avaient acheté. Le développement récent des Builders, des “constructeurs” intégrés aux thèmes capable de construire virtuellement n’importe quelle page . Parmi les plus efficaces, citons évidemment Divi d’Elegant Themes, au code simple et élégant (justement) ou celui de Themify.me, assez efficace mais un peu plus brouillon que celui d’Elegant Themes sur son code CSS à mon goût. Reste le concurrent numéro un du domaine, Visual Composer, modulaire à souhait, presque tentaculaire si on y rajoute des modules complémentaires. Il fonctionne sur n’importe quel thème ou complètement intégré au thème comme the X (Visual Composer en version personnalisée, et peut-être un des thèmes les plus passionnant du moment), Vellum, Kleo, Be theme (qui a également Muffin, son propre constructeur), Unik ou sur certaines autres productions de Tesla Themes. D’autres ont choisi des solutions propriétaires, comme dans le thème Envision par exemple (dont la configuration peut d’ailleurs être assez déstabilisante vu le nombre d’options). Pour être exhaustif, autant que je peux l’être dans ce domaine prolifique (arf), il existe également la solution de l’excellente équipe Wpmudev et leur thème Upfront. Les nouveautés 2015 se feront d’ailleurs dans le sens d’Upfront, c’est à dire avec des constructeurs qui fonctionnent directement côté visible du site (front-office ou front-end) et non plus côté administrateur. The X en version 4 annonce d’ailleurs sa petite révolution dans ce domaine.
Une autre solution, sans trop d’équivalent à ma connaissance, celle qui a servi à la construction de ce site, est un thème appelé Ultimatum et qui fait se rejoindre le framework (architecture principale du site) et le constructeur avec Visual Composer. Il est donc à la fois possible de fabriquer la structure de votre site, mais également de construire chaque page à votre convenance.
Le côté obscure est que si n’importe qui (c’est juste de la théorie ) peut tout faire, il peut également faire d’importe quoi, ce qui nous vaut des pages surchargées, ne respectant aucun critère d’architecture de l’information, de la navigation dans une page, ou des contraintes basiques du design web (emplacement, couleurs par exemple). D’autre part, ces constructeurs ne sont pas nécessairement simples à utiliser ou à personnaliser et un certain nombre de ces thèmes favorisent un rendu surchargé, sur-animé, sur-densifié, sur-coloré, et du coup, pas surprenant.
Et les autres quand même
Si WordPress semble en pleine ascension avec de forts taux de conversion des autres CMS vers lui-même, d’autres solutions existent. Si vous avez un gentil développeur sous la main, Drupal est un CMS de référence, puissant et capable de gérer efficacement des énormes sites. Joomla semble en perte de vitesse malgré ses qualités, de moins en moins de nouvelles installations, des conversions vers WordPress et Drupal, et le nombre de ses modules qui n’a plus la croissance d’antan (voir le site w3techs.com pour des statistiques plus complètes). Il existe une flopée (unité de mesure parfaitement floue) d’autres CMS de qualité qui ont des parts de marché bien moindre et qui demandent souvent une part de développement et donc un financement plus importants. Pour les blogs “purs” en revanche, Blogger continue de faire bonne figure, et Ghost commence à se faire connaître.
Pour l’e-commenrce, Prestashop, Woocommerce pour WordPress et Magento garde le haut de l’affiche. A noter que Prestashop est essentiellement français et que Woocommerce représente prêt de 25% du marché américain par exemple, dominé pour le reste par Magento. Vieux pieu: ce serait bien que l’e-commerce prenne la forme d’un autre article un peu plus tard.