Le Web a un problème de logiciel obsolète

Certains pourraient dire que rien ne dure éternellement sur le Web. Et que le changement est peut-être la seule constante. Les sites Web favoris vont et viennent, tout comme les outils et les technologies. Bien sûr, il y a du vrai dans ces déclarations, mais c'est aussi plus compliqué.

Vous voyez, les choses ne disparaissent pas tant qu'elles s'estompent en arrière-plan. Le site Web qui bourdonnait de trafic pourrait se transformer en une ville fantôme. Et il est tout aussi probable que la technologie derrière ce site soit également en train de ramasser la poussière.

Mais ce ne sont pas seulement ces anciens sites sans surveillance qui ont des problèmes. Il existe également des situations où un site Web stratégique repose sur des logiciels obsolètes. Cela peut aller d'un plugin WordPress abandonné à une version non prise en charge de PHP.

C'est loin d'être une situation idéale. Et de nombreux problèmes potentiels peuvent survenir si vous vous en tenez à ces anciennes veilles. Pourtant, c'est aussi la réalité du Web moderne. Aussi rapidement que la nouvelle technologie arrive pour attirer l'attention, l'ancienne continue de traîner dans l'ombre.

Le problème est complexe, tout comme les solutions potentielles. Est-il même possible de débarrasser la toile de ces dinosaures ?

Pourquoi les sites Web continuent-ils d'utiliser le code hérité ?

Lorsque vous imaginez un site Web qui utilise du code hérité, qu'est-ce qui vous vient à l'esprit ? C'est peut-être un blog qui n'a pas vu de nouveau contenu depuis quelques années. Ou une communauté en ligne disparue. Vous pourriez même penser à un site commercial inactif.

Le fil conducteur de ces exemples est qu'il s'agit probablement de sites Web petits et peu coûteux (peut-être gratuits). Des entités figées dans le temps.

Considérons maintenant un site de grande entreprise fortement personnalisé. Cela inclut peut-être une fonctionnalité sur mesure qui permet aux clients de payer leurs factures. Il pourrait y avoir un plugin WordPress personnalisé qui facilite un flux de travail spécifique pour les membres de l'équipe.

La fonctionnalité personnalisée est coûteuse et prend du temps à produire. Et dans certains cas, il peut être fragile. Il peut s'appuyer sur une méthode ou une fonctionnalité qui n'est pas prise en charge dans les versions plus récentes de son logiciel dépendant. Par exemple, une application créée pour PHP 5 peut ne plus fonctionner avec PHP 8.

Et bien qu'un développeur (ou une équipe d'entre eux) puisse refactoriser le code, ce n'est pas toujours facile ou ne rentre pas dans un budget donné. Tout comme les vieilles histoires d'utilisateurs d'entreprise qui ont conservé Internet Explorer 6 longtemps après son époque, le code hérité peut perdurer pendant des années.

L'essentiel est que les logiciels obsolètes restent largement utilisés. C'est vrai aux extrémités haute et basse de l'échelle.

Deux exemples principaux : PHP et WordPress

Les statistiques d'utilisation changent régulièrement - et elles changeront sans aucun doute après la publication de cet article. Mais deux tendances, en particulier, sont d'excellents exemples de logiciels obsolètes en action : PHP et WordPress.

PHP 5 et 7 sont toujours là

Au moment d'écrire ces lignes, la dernière version de PHP est la 8.1. Il a été publié en novembre 2021 et les mises à jour de sécurité devraient se terminer en novembre 2024. La version 8.0 a été publiée en novembre 2020 (les mises à jour de sécurité se terminent en novembre 2023). La version 7.4 a été envoyée dans le monde en novembre 2019 (les mises à jour de sécurité se terminent en novembre 2022).

Ainsi, les versions 8 et supérieures nous accompagnent depuis plusieurs années. Pourtant, selon les statistiques d'utilisation de PHP de W3Techs, un peu plus de 6 % des sites interrogés utilisent PHP 8 ou 8.1. Pendant ce temps, 70% utilisent une version de PHP 7 et près de 23% utilisent toujours PHP 5 (qui a pris fin en 2018).

La transition entre les principales versions de PHP a tendance à être lente. Cela est probablement dû en partie aux changements de compatibilité. WordPress et son écosystème, par exemple, ont parcouru un long chemin vers une prise en charge complète de PHP 8.

De plus, les hébergeurs Web n'ont pas traditionnellement poussé trop les clients à mettre à niveau (plus à ce sujet dans un instant). Dans le même temps, les propriétaires de sites Web vont de l'ignorance de PHP au fait qu'ils ne sont pas trop préoccupés par la mise à niveau.

En bref : il y a eu peu de sentiment d'urgence. Ou pas assez pour inverser la tendance et obtenir plus de sites Web en utilisant la dernière version.

Statistiques de version PHP de W3Techs, en date de novembre 2022

WordPress 4 et 5 en direct

Au moment où nous mettons sous presse (jeu de mots), WordPress 6.1 est sorti. Il s'agit de la dernière version du système de gestion de contenu (CMS) le plus populaire connu de l'humanité.

Et selon les statistiques d'utilisation de W3Techs WordPress, près de 60% des sites interrogés utilisent la version 6 ou supérieure. C'est nettement plus élevé que les taux d'utilisation de PHP 8. Ce n'est probablement pas trop surprenant, cependant.

En comparaison, la mise à jour de WordPress est plus facile et peut même être automatisée. Les propriétaires de sites et les responsables de la maintenance n'ont pas nécessairement besoin de lever le petit doigt pour mettre à niveau. Les fournisseurs d'hébergement géré peuvent également s'en occuper. Et WordPress est connu pour valoriser la rétrocompatibilité, il y a donc moins de chance qu'un problème majeur se produise.

Mais les versions obsolètes sont toujours là. La version 5 alimente 34 % des installations, tandis que plus de 6 % des installations s'accrochent à la version 4.

S'il y a une bonne nouvelle, c'est que le noyau de WordPress continue de publier des mises à jour de sécurité pour plusieurs anciennes versions du logiciel. Pourtant, ces sites perdent de nouvelles fonctionnalités et améliorations de performances. Sans parler des éventuels problèmes de compatibilité des thèmes et des plugins. Oh, et il est peu probable qu'ils fonctionnent avec la dernière version de PHP.

Il convient également de noter que ces statistiques ne tiennent pas compte des sites Web exécutant des plugins et des thèmes obsolètes ou abandonnés. Cela pourrait être une galaxie entièrement différente qui mérite d'être explorée, mais tout aussi pertinente. C'est de là que proviennent la majorité des problèmes de sécurité liés à WordPress.

Statistiques de version de WordPress de W3Techs, en date de novembre 2022

Pourquoi c'est une préoccupation

Le terme « logiciel obsolète » peut évoquer toutes sortes de visions cauchemardesques. Une personne qui achète en ligne avec une version non corrigée de Windows XP me vient à l'esprit. Cela pourrait fonctionner, mais il y a beaucoup de risques à continuer à l'utiliser.

La sécurité est une préoccupation primordiale. Il va de soi que l'utilisation d'une version de PHP qui ne reçoit plus de mises à jour de sécurité est un risque. Les attaques qui pourraient être facilement arrêtées avec des versions plus récentes pourraient endommager une configuration héritée.

Mais il en va de même pour l'utilisation d'une ancienne bibliothèque JavaScript ou d'un utilitaire serveur avec une faille de sécurité ouverte. Les dépendances de tous bords peuvent être dangereuses, après tout. La récente vulnérabilité Log4j n'est qu'un des nombreux rappels.

Ensuite, il y a des problèmes d'efficacité et de performance. Les logiciels obsolètes dépourvus de ces améliorations peuvent avoir un impact négatif sur l'expérience utilisateur, le référencement et la consommation d'énergie.

Et plus le logiciel est obsolète, plus il peut être difficile (et coûteux) de se mettre à niveau à l'avenir. Chaque version ultérieure peut ajouter des obstacles au processus.

Certains hébergeurs Web forcent le problème

Les hébergeurs Web ont un rôle à jouer pour aider leurs clients à mettre en œuvre de nouveaux logiciels. Et certains deviennent plus agressifs dans ces efforts.

PHP a été une cible principale. Certains hébergeurs permettront aux clients de continuer à utiliser une version non prise en charge, mais ont commencé à facturer des frais supplémentaires. Cela pourrait être le résultat de coûts de support plus élevés pour les clients utilisant des logiciels obsolètes. À tout le moins, c'est un moyen de convaincre les utilisateurs de mettre à niveau.

Pourtant, d'autres ont adopté une position plus dure. Ils informeront les clients qui utilisent une version PHP obsolète et leur fourniront une date de mise à niveau planifiée. À partir de là, le site est mis à niveau, qu'il ait été testé ou corrigé pour la nouvelle version.

Reste à savoir quelle sera l'efficacité de ces mesures. Mais nettoyer les logiciels obsolètes est une entreprise colossale. Ainsi, quelqu'un doit lancer le bal. Les hôtes sont bien placés pour le faire.

Fini l'ancien ?

À plus de 30 ans, le Web a hébergé une quantité incalculable de logiciels. Considérez toutes les applications - grandes et petites - qui ont été téléchargées et installées sur des serveurs au fil du temps. Il n'est pas étonnant que certains soient restés en place bien après leur date d'expiration.

Parfois, ce code hérité persiste par nécessité - d'autres applications en dépendent. Mais cela peut aussi se produire simplement parce que le propriétaire d'un site n'est pas au courant de la situation. Personne ne peut les avoir approchés concernant une mise à niveau.

Dans les deux cas, les ressources sont ce qu'il faut pour accroître les efforts de modernisation. Au niveau de l'entreprise, cela signifie consacrer du temps et de l'argent pour faire évoluer les choses avec les nouvelles versions.

Aux échelons inférieurs de l'échelle, l'éducation est un facteur clé. Les hébergeurs commencent à réaliser l'importance de tenir les clients informés. Et les concepteurs de sites Web devraient faire de même.

Cela commence par faire savoir aux clients où ils en sont, les dangers liés à l'utilisation de logiciels obsolètes et les avantages de la mise à niveau. À partir de là, ils peuvent prendre des décisions éclairées.

Non, un seul site mis à jour ne changera pas le monde. Mais chacun est un petit pas vers un Web plus sûr qui peut tirer parti des dernières technologies.