Pataquès chez WordPress : quelle mouche a piqué le CMS ?
L'affaire qui secoue WordPress en ce mois d'octobre pourrait être un psychodrame de plus comme la tech américaine aime, à intervalles réguliers, mettre en scène. Il prêterait même à sourire s'il ne concernait pas le système de gestion de contenu (CSM) le plus populaire au monde. Créée en 2003, WordPress est utilisé par plus de 43% des sites web dans le monde et accaparerait 62,5% des parts de marché selon les statistiques de W3Techs. Sites marchands, blogueurs, médias l'ont, entre autres, largement adopté. Intuitive et simple d'usage, la plateforme doit, en grande partie, son succès à son positionnement open source.
Or, c'est l'écosystème même de WordPress qui est aujourd'hui ébranlé. Petit récapitulatif des épisodes précédents. Le 21 septembre, Matt Mullenweg, l'un des deux cofondateurs du CMS, attaque WP Engine, qui se présente comme le principal fournisseur d'outils et de services d'hébergement de la plateforme. Dans un texte au vitriol, titré "WP Engine n'est pas WordPress", publié sur le blog de WordPress.org, il qualifie ce dernier de "cancer pour WordPress".
Matt Mullenweg reproche à WP Engine d'avoir supprimé l'option de révision des contenus pour diminuer ses coûts de stockage. Privé de l'historique des modifications, l'utilisateur n'aurait plus aucun moyen de récupérer son contenu. WP Engine aurait ainsi rompu "la promesse principale de ce que fait WordPress, qui est de gérer et de protéger votre contenu."
Tentative d'extorsion et diffamation
En conséquence de quoi, WordPress.org a bloqué l'accès de WP Engine aux ressources de son écosystème, comme les thèmes, les plugins et les mises à jour de sécurité. La riposte ne s'est pas faite attendre. Le 2 octobre, WP Engine dépose plainte contre Matt Mullenweg et Automattic, la société dont il est le dirigeant et qui édite la version commerciale de WordPress (WordPress.com). Le prestataire les accuse de tentative d'extorsion, le forçant à payer des "dizaines de millions de dollars" pour une licence d'utilisation de certaines marques commerciales comme WordPress qu'il juge inutile. WP Engine dénonce aussi un conflit d'intérêts, Matt Mullenweg utilisant le site de la fondation WordPress pour attaquer un concurrent direct de l'entreprise (Automattic) qu'il dirige.
Lors d'un discours à WordCamp, l'événement annuel de WordPress, Matt Mullenweg aurait, par ailleurs, fait des "déclarations fausses et diffamatoires" sur WP Engine, visant à ternir son image. Il aurait aussi diffusé des informations trompeuses visant à instiller le doute chez ses clients et ses employés. Le cofondateur de WordPress aurait harcelé au téléphone et par SMS les membres du conseil d'administration de WP Engine et son PDG. Ambiance…
Sans attendre l'issue juridique de cette plainte, Matt Mullenweg a décidé de faire le vide autour de lui. Il a proposé aux collaborateurs d'Automattic qui ne partageaient pas sa vision de partir avec 30 000 dollars ou 6 mois de salaire, le montant le plus élevé étant retenu. Cette "offre d'alignement", comme il l'appelle dans un billet sur son blog, a été acceptée par 159 personnes soit, 8,4% de l'effectif. Pas de chance, cette "purge" a particulièrement affecté le service dédié à l'écosystème de WordPress, avec près de 80% des départs.
Après cet échange d'amabilités, le conflit a pris, plus récemment, une tournure plus technique. Le samedi 12 octobre, Matt Mullenweg annonce, toujours sur le blog officiel de la fondation, la prise de contrôle d'une extension créée par WP Engine et diffusée dans le magasin d'applications de WordPress, invoquant des raisons de sécurité. Ce plugin, Advanced Custom Fields (ACF), est utilisé par des milliers de développeurs pour personnaliser les sites propulsés par WordPress. WordPress a décidé de "forker" (copier) ACF pour le rebaptiser Secure Custom Fields (SCF).
Nouveau tollé. L'équipe de développement d'ACF accuse WordPress d'avoir violé un principe fondamental du monde open source tandis que celui-ci se retranche sur un point du règlement permettant de retirer ou de modifier un plugin sans le consentement de son auteur en cas de problème de sécurité ou de non-conformité. Sur X, l'équipe d'ACF s'est voulue rassurante. La version ACF Pro continuera d'être supportée. Quant aux autres, ils sont invités à télécharger la version "authentique" 6.3.8 depuis le site d'ACF afin de continuer à recevoir les mises à jour, hors du contrôle de WordPress.
La communauté open source ébranlée
Cette guerre de tranchée a suscité de vives réactions au sein de la communauté open source de WordPress et des utilisateurs finaux, craignant d'en être les premières victimes. Le blocage de l'accès aux ressources de WordPress.org a temporairement affecté la sécurité des sites hébergés par WP Engine et provoqué des messages d'erreur. La bataille juridique en cours pourrait également remettre en question la gouvernance du projet WordPress. Dans ce climat de défiance, la communauté des développeurs pourrait se diviser ou une partie d'entre eux se désengager du projet. Certains contributeurs appellent d'ailleurs au départ de Matt Mullenweg.
Des fournisseurs pourraient également être tentés de quitter l'aventure pour ne pas subir le même sort que WP Engine. De même, le conflit en cours est à même de saper la confiance des entreprises utilisatrices qui pourraient être tentées de se tourner vers des CMS concurrents comme Shopify, Wix ou Drupal.
Plus généralement, ce conflit soulève des questions d'éthique sur la gestion des plateformes open source. La frontière est toujours ténue entre un projet libre (WordPress.org) et la société à but lucratif (WordPress.com) qui apporte, moyennant finance, des fonctionnalités étendues. Dans le cas présent, l'affaire met en en lumière le pouvoir important – certains parlent d'abus de pouvoir, de Matt Mullenweg et de l'entreprise commerciale Automattic dans cet écosystème.