Il existe plusieurs éléments qui me donne la certitude que WordPress n’est pas (encore ?) un bon outil.
Rappelons que WordPress serait la deuxième plateforme de blog derrière Blogger (google), ce qui n’est pas rien.
Ce logiciel a aujourd’hui 5 ans d’ancienneté, en est à sa version 2.6, mais je recommande la plus grande prudence quant à son emploi.
Pourquoi ?

En tant que développeur PHP / intégrateur HTML, j’ai très vite été séduit par la facilité d’emploi de WordPress, c’est indéniable.
Ajoutons à celà une très bonne documentation, du moins côté anglophone, et une communauté active, et tout semble lui sourire.

Que demande t-on principalement à un logiciel type blog ou autre CMS ?
- qu’il soit simple d’emploi pour des non-développeurs et non geek,
- qu’il comporte suffisament de plugins “à la mode”, style les indispensables, et facilement instalables,
- qu’il puisse être mis à jour simplement, par des non-initiés (vous savez, ceux qu’on appelle les clients et à qui on revend le bébé),
- qu’il soit sécurisé.

Voilà pour moi ce qui me semble être les 4 points principaux qu’on attend d’une telle application ; on pourrait en ajouter, mais j’essaie de mettre le strict minimum.
Voyons maintenant si WordPress répond à ses attentes minimum.

Pour le point N°1, je considère WordPress comme un des plus simples sinon le plus simple des CMS/Blog à utiliser ; ce n’est pas toujours le retour des clients, mais c’est mon avis.

Pour le point N°2, WordPress est également très satisfaisant. Les plugins sont très nombreux, même s’il convient d’être OBLIGATOIREMENT un expert PHP afin de les vérifier, car beaucoup sont écrit avec le derrière (pour rester poli) ; la faute n’en revient pas aux créateurs mais à la liberté même de pouvoir écrire un plugin, de le déposer comme tel pour la communauté, sans que personne ne vérifie sa qualité et sa viabilité. C’est un problème récurrent de l’open source qui devrait faire l’objet d’un autre débat.

Pour le point N°3, on commence à toucher à la faiblesse du produit, et les très nombreux sites, toutes langues confondues, faisant état (comme cet article) des processus de mises à jour montre qu’il n’est jamais simple, même pour des “experts”, de mettre à jour. Si le processus peut paraitre simple pour quelqu’un qui “mange” du WordPress matin, midi et soir, il est en tout cas tellement méthodique et délicat qu’il oblige à facturer ce service au client, qui ne peut évidemment pas le faire lui-même. Si j’étais mauvaise langue, on pourrait presque dire qu’on peut faire un site WordPress gratuit, et ne facturer que ses mises à jour, il y a là de quoi faire pas mal de fric…. Mais je suis pas mauvaise langue, alors je n’ai rien dit, hein ?

Pour le point N°4, c’est le fiasco complet pour moi.
On voit souvent toutes les batteries de CMS publier des infos sur des mises à jour de sécurité, suite à des failles trouvées. C’est un grand classique, et plus le logiciel est connu, plus il est susceptible d’être la cible de personnes malveillantes.
Seulement, on est en droit, en tant que client, d’être un minimum assuré qu’à partir d’une certaine version alpha, le logiciel est considéré comme fiable et sûr.
Oui, la sécurité et le logiciel, c’est un sujet de thèse non résolu à ce jour, mais bien réel.
Or, voici que ce qui était considéré comme une version sécurisée de WordPress, la 2.1.2, a été l’objet de 3 attaques sur 3 domaines différents.
Le résultat de l’attaque est simple, tous les plugins se retrouvent désactivés, et ça peut provoquer carrément un affichage fantôme du site (pas de plugin, pas de contenu).
Je vous parle pas d’un accès piraté parce que le login et le mot de passe auraient été admin, hein. Je parle d’une intrusion (fantome) mais limitée.
Alors, on se dit que la 2.5, pardon la 2.6 sera encore plus sécurisée, mais quelle certitude en a-ton ?

Quand je vois que je suis développeur, ce qui me permet d’aller regarder comment est conçu le produit, mais que j’en ai pas forcément le temps, que doit faire la majorité, qui elle ne comprend rien à ce qui se trouve sous le capot du logiciel ?
J’en ai pas le temps parce que c’est le bouche à oreille, le “buzz” qui nous pousse à aller vers une solution plutôt qu’une autre, selon les besoins du client bien entendu.
Tel logiciel existe depuis X années, il a une très bonne comunauté, il existe beaucoup de sites fait avec lui, et nous en déduisons qu’il est nécessairement fiable.
C’est là que se trouve l’erreur de logique.

Il en est de wordpress comme de n’importe quel autre produit.
En déduire que mon but n’est pas d’asséner un méchant coup à wordpress, juste de dire qu’à la v 2.1.2 il n’était toujours pas suffsamment sécurisé.
Et si on estime le nombre de version de wordpress qui tourne encore en v2.1.2, il y a de quoi se faire du soucis pour l’avenir de la “marque” WordPress, lorsque beaucoup de site auront été piratés…

Et le tour serait joué ?

Y a t’il moyen de récupérer la sauvegarde sql sans passé par phpmyadmin c’est à dire via FTP ?