ThemeForest : mettez Revolution Slider à jour vers la 4.5.9 et vérifiez vos plugins !
J'en parlais un peu dans l'article sur le choix d'un thème chez ThemeForest, mais de façon incidente. La mésaventure qui vient d'arriver à Fabrice prouve que c'est un point très important.
Les thèmes de ThemeForest n'incluent pas la mise à jour des plugins distribués
Les plugins les plus fréquemment inclus sont :
- Page Builder, Visual Composer ou Layout Builder
- Sidebar Manager
- un ou plusieurs sliders, dont Revolution, qui a été la porte d'entrée chez Fabrice, ou Layer Slider
Votre licence vous donne droit à toutes les mises à jour du thème. Mais pas à celles des plugins inclus, ou du moins pas systématiquement.
(Lors de la dernière mise à jour d'Invicta, j'ai reçu une mise à jour des plugins, mais cela reste exceptionnel.)
De plus, comme vous n'avez pas acheté le plugin directement, vous ne recevez pas de mail d'information sur l'existence de nouvelles versions.
La solution ? Achetez les plugins que vous décidez d'utiliser.
Avant d'acheter le thème, vérifiez qu'il est distribué avec la dernière version des plugins... ce ne sera sans doute pas le cas si le thème est ancien.
Ensuite, faites le tri entre ce que vous allez utiliser au moment de créer le site (le Page Builder), ce que vous allez utiliser de façon permanente (Sliders) et ce que vous pouvez éventuellement remplacer par des plugins gratuits (formulaires de contact).
Utiliser le Layout Builder uniquement à la création du site
Le Layout Builder ou Page Builder est un plugin qui permet une mise en page visuelle. Derrière les "box" que vous créez avec des clics de souris, des shortcodes sont générés. En quittant le Builder, vous voyez une page remplie de shortcodes.
Par principe, ce plugin est "moins dangereux", puisqu'il n'est pas directement utilisé dans le front-end (mais les shortcodes générés peuvent l'être, eux).
Il est possible, une fois que la page a été générée, de repasser sur la version "normale", en gardant les shortcodes, et de désactiver le plugin.
Acheter le plugin de Slider
Et plus généralement, tout plugin qui a un impact sur le front-end. Un plugin qui n'est utilisé que dans l'admin reste relativement peu dangereux sur un site mono-utilisateur. Un plugin "visible" est une porte ouverte au hack s'il y a une faille. Il est facile à repérer, notamment par ses fichier .js ou .css ou même les classes et les ids qu'il génère dans le code HTML.
Un surcoût important
Le surcoût va être de l'ordre de 30 à 100 $ selon le type de plugin, c'est-à-dire qu'il va doubler à quadrupler le prix du thème. Et, à la différence de nombreux plugins et thèmes premiums sur d'autres sites, les licences ne sont valides que pour une seule installation.
C'est le modèle de licence d'Envato qui veut cela.
Bon en même temps, légalement, les plugins sont GPL.
Faire pression sur Envato pour une meilleure sécurité ?
Envato avait déjà eu quelques réticences à interdire TimThumb, et il existe encore des plugins qui l'utilisent (mais uniquement dans l'admin).
Si tous les utilisateurs d'Envato envoient des mails en demandant une solution économique à cette situation (par exemple, un prix "bundle" légèrement plus élevé) qui n'obligent pas les utilisateurs à investir trois ou quatre fois le prix d'un thème présenté comme "incluant telle ou telle fonction".
Car on ne peut pas demander à un amateur comme sont la majorité des utilisateurs d'Envato de comprendre, au moment où ils achètent un thème à 40 ou 50 dollars, qu'ils doivent aussi payer pour des fonctionnalités incluses dans celui ci.
Par comparaison, sur WordPress.com, les thèmes premiums sont nettement plus chers, et montent jusqu'à 150 $, mais ils sont "toutes fonctionnalités incluses".
(Le cadenas est une photo sous licence CC BY NC SA de ShellyS)
Oui, encore de belles heures de mise à jour promises…
Sinon, pour les thèmes assez avancés (genre Avada) quand on met à jour le thème, il indique quels sont les plugins à mettre à jour en même temps. Malheureusement dans certains cas le développeur reste bloqué dans une version inférieure du plugin (en fonction de sa date de mise a jour à lui).
Exemple pour un thème comme 3Click/ThemeForest, qui a été mis à jour pour la dernière fois au mois de mai 2014, la version Revolution Slider est bien recommandée après la mise a jour du thème, mais celle-ci se fait au maxi en v4.3.6, donc inférieure à la version actuelle.
Finalement, le gain d'acheter un thème tout prêt avec ses "gros" plugins intégrés, dissimule des problèmes de mise à jour ultérieurs donc de maintenance client, voire de sécurité comme démontré sur le blog de Fabrice. Donc si l'on compte en plus de l'acquisition de ce thème le fait d'acheter les plugins additionnels, l'addition peut être salée…
Peut-être qu'il faut de fait commencer à penser différemment, soit acheter des thèmes plus "basiques" en terme de fonctions "sexy", et acquérir les plugins par ailleurs. Ou alors Envato permetun mécanisme de mise à jour plus transparent pour les plugins sous licence.
PS. Je fais mon Antidote ;) : mais ils ont plutôt que "mais ils sont toutes fonctionnalités"
Ah non :) ce serait alors "ils ont toutes les fonctionnalités incluses". J'ai rajouté les guillemets manquants... ^^
Ah ah ah ! Autant pour moi, c'est vrai que j'aurais pu lire avec une meilleure respiration :) Comme quoi, la ponctuation !
Puisque c'est comme ça, je fais mon Prolexis : on écrit « au temps pour moi » et non pas « autant pour moi ». :P
http://www.academie-francaise.fr/la-langue-francaise/questions-de-langue#16_strong-em-au-temps-pour-moi-em-strong
Pour en revenir à l'essentiel, je me pose trois questions de néophyte (qui envisage d'abandonner le thème Suffusion) :
1. En quoi ThemeForest est-il meilleur qu'ElegantThemes ?
(et inversement)
2. Vaut-il mieux travailler avec un thème à options multiples qui exige peu de plugins (par exemple Suffusion) ou avec un thème fruste que l'on outille ensuite de plugins costauds ?
(question de néophyte qui aime savoir à quoi ressemble un moteur sans se salir du cambouis)
3. Quand on change de thème, doit-on forcément continuer avec un nouveau thème dans la même « catégorie » même si l'on veut diminuer/augmenter la palette des possibilités offertes par le nouveau thème et ses plugins ?
Hello cher Philippe,
Si c'était si simple, "au temps" (version militaire) ou autant (de modestie), le débat reste entier, voir ici :http://www.langue-fr.net/spip.php?article14
Entre Grevisse et Duneton, les avis sont argumentés, on va les mettre tous en accord en admettant les deux graphies.
Alors moi, je vais faire mon dinosaure des newsgroups. La netiquette interdit que l'on corrige quelqu'un sur son orthographe ou sa syntaxe, sauf s'il s'agit de l'objet du groupe / du forum / du blog. Autant j'apprécié que l'on m'indique les fautes que je fais quand elles gênent la lecture, autant il ne faudrait pas non plus que cela devienne l'objet de discussions que l'on peut filer sur le blog des correcteurs du Monde, ou sur les quelques articles de ce blog qui parlent de ce sujet.
Entre autres parce qu'un blog n'est pas une œuvre parfaite. Comme dans les forums, d'ailleurs, il y a de nombreuses petites fautes, typos, etc qui ne gênent pas la lecture. Les erreurs de verbe auxiliaires sont nettement plus gênantes :)
Maintenant sur le fond...
ThemeForest est une place de marché qui regroupe des éditeurs de thèmes d'horizons variés. ElegantThemes est une société qui vend des thèmes tous bâtis sur le même framework, donc avec une façon de coder commune. Quand on en a modifié un, on peut beaucoup plus facilement en modifier un autre.
Ils sont moins chargés en options multiples et variées, bien qu'ils évoluent peu à peu vers plus de complexité.
Plus le thème est simple, mieux c'est, parce que cela permet plus de flexibilité pour changer de thèmes. Dans certains cas, le passage d'un thème à l'autre peut-être assez difficile, notamment pour garder ses contenus quand le thème utilise des custom posts spécifiques.
Merci Marie-Aude, pour ces précisions qui me (re)mettent les idées en place.
Bonne soirée aussi à Dominique, Maurice et Claude. :)
La correction orthographique des billets étant un problème insondable sur les blogs – les commentaires de correction sont bienvenus mais "polluent" la discussion, j'ai fini par opter pour un plugin de messagerie privée. – http://www.echodesplugins.li-an.fr/plugins/report-content/ pour ne pas le citer. Conséquence assez étonnante : je reçois des messages privés par ce biais par des personnes... timides qui ne veulent pas apparaître dans les commentaires.
Bon, ce n'est pas le sujet du billet : je me suis précipité pour vérifier si je n'avais pas Revolution Slider et ça a l'air bon. Du coup, je suis assez content de voir que mon thème n'utilisent que des plugins "free" ou des extensions faites maison – peu susceptibles de motiver les piratins.
Et tu n'as pas trop de spam ? J'avais testé un plugin du même ordre sur un autre blog, et j'étais inondée de signalement inutiles, faits manifestement par des bots. Sinon c'est une bonne idée.
Ben non... Croisons les doigts...
Je n'ai pas trouvé d'info sur le problème de sécurité de Revslider. Ceux qui sont concernés peuvent-ils simplement désactiver le plugin si ils n'utilisent pas de slider ?
Merci.
http://wptavern.com/critical-security-vulnerability-found-in-wordpress-slider-revolution-plugin-immediate-update-advised
et
http://wpformation.com/piratage-plugin-theme-wordpress/
Désactiver n'est pas suffisant quand un plugin a une faille – on n'est jamais trop prudent.
Merci.
Difficile de mettre à jour quand il n'y a aucun bouton de mise à jour...
Le mieux c'est d'éviter les sliders :)