Il y a quelques jours, une faille de sécurité critique s’est immiscée dans l’un des thèmes de WordPress. Plusieurs milliers de sites sont donc potentiellement exposés à cette vulnérabilité.
Comme dans plein de domaines, c’est le coût de la dette technologique. Les devs ne mettent pas à jour leurs compétence mais ce sont les clients et utilisateurs qui trinquent.
Ca fait longtemps que les SSG existent et remplacent largement WordPress sans les soucis de sécurité… Mais il faut prendre le temps de les apprendre en tant que dev.
Pour une immense majorité, ca devrait remplacer les sites WordPress, c’est beaucoup moins cher et energivore sur le long terme en plus
1 « J'aime »
Qu’est ce que tu appelles les SSG ? Laravel genre ?
Laravel n’a pas l’air d’etre un Static Site Generator, meme si certains l’ont détourné dans ce but.
Je parle de Hugo, Jekyll, Gatsby, Eleventy
J’avoue que les CMS PHP hyperlourd … je m’en suis détourné depuis un moment.
Cependant, le soucis se porte sur un theme Wordpress, je pense qu’il y aurai toujours les mêmes problématiques SSG ou CMS à papa.
PS : Je jette pas la pierre aux CMS, juste que le coté dynamique, on en a pas forcément besoin en fonction de ce qu’on veux faire/
SSG pour du contenu statique. C’est rarement le cas dans le milieu professionnel
Le principe d’un SSG c’est que c’est quasiment impiratable. Le principal moyen d’avoir un souci c’est si l’hebergeur a un problème de sécurité ou si on se fait piquer nos mots de passe.
C’est du HTML basique, il n’y a aucun PHP ou autre.
justement, c’est ce qui est remis en cause, d’ailleurs des sites vitrines en SSG c’est pas nouveau.
C’est tout le contraire, avec les SSG il y a plus de 10 ans et la Jamstack plus « récemment » le milieu pro a complètement viré de bord. C’est surtout les mauvais dev qui ne se sont pas mis a jour.
Un SSG ne veut pas forcement dire contenu statique. Tu peux avoir un CMS sur un site statique et donc avoir du contenu dynamique. Pas besoin de demander a un dev de tripatouiller le code pour publier un article
On est jamais à l’abri d’un RCE, un vhost foireux, un htaccess douteux.
Étant hébergeur et admin sys linux, on vois de tout.
J’ai déjà vu quelqu’un accéder à la RAM d’un serveur juste avec une page web static.
Cela dit, en effet sans PHP, ça fait de la RAM en plus et une surface d’exposition plus petite.
On sera d’accords sur ce point 
Bricks n’est pas un thème mais un plugin plutôt. Pas vraiment la même chose. Je trouvais étrange que 25000 sites possédaient le même thème …
Bricks est effectivement un plugin, mais qui sert à personnaliser le style du site, donc c’est fonctionnellement comparable à un thème.
Et non, il n’y aurait rien de surprenant à ce que 25 000 sites utilisent le même themes… Il y a des thèmes qui dépassent le million d’installations actives : Thèmes WordPress | WordPress.org Français