Tout savoir sur WordPress

Pourquoi une agence a abandonné WordPress ?

Cette semaine, j’ai eu la chance d’intervenir dans une société de consulting et de développement web pour les former à une utilisation avancée du CMS WordPress. Cette entreprise parisienne est rodée aux développements Ruby on Rails et Symfony pour beaucoup de Grands Comptes et elle est connue pour son expertise et la qualité de ses prestations. Face à la demande croissante de ses clients, dans une optique d’une production plus rapide avec des coûts plus faibles, cette société souhaite réaliser des sites sous WordPress. Avant que je fasse cette formation, elle a ainsi réalisé plusieurs sites, notamment pour elle et ses clients. Faire appel à un consultant WordPress pour les accompagner dans leur stratégie lui permettait d’être formé aux bonnes pratiques de création de thèmes et de développement de plugins.

Au programme : 3 jours de formation

Analyse de l’architecture WordPress, compréhension du modèle de base de données, création avancée de thèmes, création de plugins, optimisations des performances et du SEO, stratégie de rédaction, sécurisation, migration, traitement de la migraine … étaient au programme !

Un des premiers exercices consistait à réaliser l’audit d’une de leurs références sous WordPress : le site de leur société.
Et là … surprise ! On découvre que le site a été hacké. Super, on commence déjà à s’amuser !

Immédiatement je comprends la raison de leurs difficultés : le thème utilisé, un premium de la forêt (comprendre un thème premium acheté sur la plateforme themeforest) ! L’origine de la faille, le plugin Contact Form 7.
Du coup, nous passons à l’exercice suivant : basculer le site en préprod, sur une installation neuve et à jour (WordPress, plugins et thème), nettoyage du Child theme, du dossier d’upload… Et là… Re Suprise ! Des erreurs PHP dans tous les sens. Le thème, à jour et vierge, est totalement instable !

3h de travail pour rien… et comme ce thème est utilisé sur d’autres sites, on s’aperçoit qu’un autre domaine a lui aussi été piraté.

Conclusions immédiates de mon client : « WordPress ce n’est pas rentable, il y a trop de risques niveau sécurité ! En plus nous sommes obligés de vendre de la TMA, sinon ce n’est pas stable alors autant continuer à développer nos sites sous Symfony c’est moins risqué ! »

Ma vision de professionnel WordPress

Plusieurs erreurs conduisent aux conclusions erronées de mon client :

  • – Création d’un site WordPress sans formation préalable (25 jours en interne),
  • – Utilisation d’un thème premium mal conçu et pas adapté aux besoins,
  • – Un site, des plugins et des thèmes non mis à jour,
  • – 0,5 jour d’audit tardif et de tentative de remise en service qui n’ont pas fonctionné

Il ne faut pas hésiter à être formé sur WordPress par des professionnels : cela permet d’acquérir les bons réflexes et d’apprendre les bonnes bases. Cela prend du temps et bien avant de faire des sites ambitieux et de vendre des projets à ses clients, il faut s’assurer de maîtriser les fondamentaux.
Avant tout, les questions que doivent se poser une agence Web, une agence de communication ou une SSII avant de passer à WordPress sont : faut-il que je passe sous WordPress parce que c’est le CMS à la mode et que je risque de perdre un client ? Ou dois-je continuer à utiliser uniquement les outils et méthodes que je maîtrise et externaliser ? Comment monter en compétence ?

Et vous, allez-vous abandonner WordPress ?
Pensez-vous que la TMA est obligatoire pour garantir le bon fonctionnement et la pérennité du site ?

Cet article a été mis à jour il y a 1073 jours - Il n'est peut être plus à jour !

Article écrit par Thierry Pigot

13 Commentaires

  1. Excellent article ! Merci Thierry d’aborder ce sujet tabou : WordPress est un objet technique et demande de s’y former et de le maitriser (comme Drupal, Symfony ou autre Magento).

  2. C’est marrant comme la nature humaine a du mal a se séparer de ses vieux réflexes. Faire des raccourcis sans analyses. Même pour des gens sans doute cultivé avec un bon niveau de réflexions.
    Alors continuer a faire du dev interne, il est certain qu’il y aura moins de chance à se faire pirater, puisque personne ne connait leur architecture. Mais ce n’est pas pour cela que c’est mieux protégé et surement moins bien codé…

  3. Si la personne maîtrisait Symfony et Rails, c’est bizarre qu’il cherche à passer sous WordPress déjà… (si ce n’est que pour baisser les coûts comme tu l’expliques). Il y a beaucoup plus de flexibilité à être sur SF ou Rails que sur WordPress. S’il s’était renseigné aussi, il aurait pu utiliser ce bundle : https://github.com/ekino/EkinoWordpressBundle pour pallier à certaines choses et faire un mix SF / WP.

    Je pense qu’il aurait du investir dans une industrialisation du code sous SF ou Rails que de faire une formation WordPress. De plus, les développeurs Ruby sortent des sites webs aussi rapidement qu’un site sous WordPress (administration non comprise mais quand on voit ça … : http://www.commitstrip.com/fr/page/2/ ).

    Bref… pour revenir au sujet principale ahah… Effectivement, WordPress n’est pas tout beau et il mérite de s’y former comme l’a dit Benjamin Lupu.

  4. Au final, ce qu’il est important de retenir, ce n’est pas s’il faut ou non passer sous WordPress, mais que comme toutes les autres technologies, il y a une courbe d’apprentissage.

    Oubliez donc le vieux mythe de WordPress, un site en 5 minutes. Ce que nous avons en 5 minutes, c’est une install, rien de plus.

  5. Je pense que cette compagnie fait une erreur effectivement – Car comme dit dans l’article il faut bien comprendre qu’un WordPress « pro » ca s’installe correctement et que meme si on travaille sur des bases de themes (premium ou non) il faut de toute facon travailler sur les sites et aller mettre les mains dans le code pour « stabiliser » et sécuriser tout cela.

    Mon ancienne agence fait tous ses sites sous WordPress – et elle n’a jamais eu de probleme de hack – par contre tous les devs de la boite sont des dev « wordpress » / PHP aguérri (entre autres)

  6. Par contre, mon souci avec les devs (Symfony ou autres CMS) que je connais, me font la remarque qu’il n’est pas bon de mélanger du HTML avec du PHP. Donc impossible pour moi de proposer WordPress, même pour un projet de grandeur moyenne… :(. (Sauf pour mon site perso qui est un peu rade par manque de temps.)

    Est-ce que c’est un prétexte ou il y a bel et bien une raison valable à cette remarque?

    • Je penses que c’est un prétexte, je suis développeur PHP sur WordPress et il y a des solutions pour développer dans son environnement sur WordPress. Rien n’empêche de faire ses plugins en objet. Rien n’empêche d’utiliser un Framework pour faire un thème :) etc.

  7. Les mecs font du Ruby et vont s’emmerder à faire du WordPress (soit du php et de l’html cradingue) ? WordPress avec sa config en base de données n’est pas fait pour du travail d’équipe dans un workflow moderne (Git, DevOps etc). Pour les symfonystes s’ils veulent des petits sites légers mieux vaut passer par Silex.

  8. Ce sera l’éternel problème de WordPress. Parce qu’il est accessible au plus grand nombre, il n’est pas toujours pris au sérieux par les grosses boites ou les agences/SSII spécialisées dans le développement.

    Son utilisation facile qui permet à n’importe qui de créer son site web particulier ou pour son association, a grandement contribué au succés de WordPress.

    Mais côté grosse boite on ne prendra au sérieux que des projets qui ont un coût suffisamment important. Si ce n’est pas assez cher, ce n’est pas sérieux.
    Et côté agence spécialisée dans le développement, pour des cadors de RubyOnRails ou de Java, le php reste perçu comme un sous-language, bien qu’avec l’arrivée de symfony et les dernières évolutions du language cette perception change doucement.

    Pourtant dans l’écosystème WordPress des projets se développent pour amener WordPress au niveau des attentes des développeurs « aguerris »: les évolutions dans le coeur de WordPress, l’API REST qui permettra d’utiliser WordPress comme un socle technique et non plus comme un CMS++, ou les frameworks comme Themosis qui apporte une approche MVC changeront peut-être la perception de WordPress pour ce type d’audience.

    Enfin concernant la sécurité, WordPress est une cible de choix de part sa large diffusion et un manque de maintenance dans les briques techniques pour corriger les failles rendues publiques mènera inévitablement à un site piraté.
    Cependant un site sur une base symfony n’est pas à l’abri d’un piratage, aucun développeur n’est à l’abri d’une erreur de programmation menant à une faille de sécurité. Mais il est vrai que bien souvent le code de ces projets est spécifique, parfois unique et n’est pas rendu public. Ce qui limite les appétits des hackers.

    Ceci étant dit, WordPress reste à ce jour une plateforme intéressante pour un grand nombre de projets de petites et moyennes tailles.

    Longue vie à WordPress :)

  9. Bonjour,

    En effet, force est de constater que l’être humain fait de rapides raccourcis qui l’induisent en erreur.
    Et combien ne cherchent même pas à apprendre de leurs erreurs?
    Je me suis moi-même fait pirater plusieurs sites, mais je n’ai pas abandonné pour autant WordPress, bien au contraire, cela m’a motivé plus que jamais à me former sur sa sécurisation et sur les bonnes pratiques.
    Je pense d’ailleurs qu’aucun site, qu’il soit fait avec n’importe quel CMS ou qu’il soit codé, n’est à l’abris de se faire pirater un jour ou l’autre.
    A contrario, WordPress est un formidable outil offrant de très nombreuses possibilités, alors oui, il est pour moi très rentable de se former à son utilisation et à sa sécurisation.

    Cordialement,

    Bruno

  10. Je suis impressionné que des personnes ayant autant de compétences techniques puissent avoir pu agit ainsi , ils vont peut être passer au Flash………
    Wordpress FOREVER

64dc4f10a0c9de3d05febadb6ee20347(((((((((((((((((((((