Sécurité WordPress | Créer un site en headless avec l’API REST WP

WordPress est le système de gestion de contenu (ou CMS, pour « Content Management System ») le plus utilisé dans le monde. Il fait fonctionner à lui tout seul un peu plus d’un tiers des sites web existants.

S’il est si populaire, c’est qu’il est à la fois très simple à utiliser et très puissant. Le CMS WordPress dispose de nombreuses fonctionnalités natives. Il est extensible quasiment à l’infini à l’aide de modules. Et il suffit de quelques minutes pour installer WordPress et obtenir un site web opérationnel.

Découvrons ensemble ce qu’est le headless et pourquoi est-il si important pour la sécurité de son site vitrine ou son site e-commerce. Mais avant tout, rappelons le fonctionnement d’un site WP standard.

Le fonctionnement classique de WordPress

Une installation standard de WordPress comprend deux parties :

  • La première concerne la gestion du contenu du site au travers d’une interface de type back-office.
  • La seconde concerne l’affichage du contenu sur le site, le front office.

Dans la plupart des cas, ces deux parties sont fortement couplées. C’est-à-dire que tout le contenu que l’on gère dans le back-office est destiné au site. En outre, tout ce qui est affiché sur le site est géré depuis le back-office.

Il s’agit d’un fonctionnement particulièrement simple et qui satisfait un grand nombre d’utilisateurs. Cette solution back-office / front office convient parfaitement à des clients particuliers comme à des professionnels.

De nombreuses fonctionnalités peuvent être ajoutées à l’aide d’extensions. L’époque lointaine des débuts de WordPress, grâce auquel on ne pouvait construire qu’un blog, est bien dépassée !

Désormais, tout est possible. S’il est naturellement possible de construire un site classique ou un blog, vous n’êtes limité que par votre imagination. Une galerie de photos, un site communautaire, un site institutionnel, un intranet ou un extranet, un espace membre ou un site de e-commerce sont autant de solutions couramment employées avec WordPress.

Tout est beau dans le meilleur des mondes… Mais si, finalement, ce couplage back/front office n’était pas encore le meilleur, et que l’on pouvait encore mieux faire ?

Découvrez WordPress en headless pour plus de sécurité

L’un des inconvénients du fonctionnement standard de WordPress vient justement du couplage back-office / front office.

Si pour une quelconque raison le serveur hébergeant WordPress n’est plus accessible, le site ne l’est plus non plus. Pour remédier à ce problème, il faudrait donc pouvoir découpler le back-office et le front office. Autre nécessité : héberger le front office et le back-office sur des serveurs différents. C’est le fonctionnement en « headless » !

Le principe consiste à utiliser le back-office de WordPress uniquement pour la gestion du contenu. L’affichage est géré indépendamment. L’aspect du site web est totalement indépendant du thème sélectionné dans le back-office WordPress : il n’a donc plus vraiment d’utilité ici.

Le site web qui va afficher les données gérées dans le back-office peut être totalement indépendant de WordPress. On se retrouve donc avec une architecture qui permet d’héberger le back-office WordPress, le site web qui affiche les informations et la base de données dans des endroits différents. Les risques d’indisponibilité sont donc grandement réduits et la sécurité WordPress accrue !

Créer un site WordPress en headless est possible. Comment ? Grâce à l’API REST de WordPress.


Bien comprendre le système des API.

API signifie « Application Programming Interface » et REST « REpresentational State Transfer ». Derrière ces sigles se cache en fait la possibilité d’accéder au contenu géré dans WordPress depuis n’importe quelle application ou site web. Elle est même activée par défaut dans WordPress 5. Il est d’ailleurs conseillé de la désactiver si vous n’en avez pas besoin pour des questions évidentes de sécurité.

désactiver API REST

Quel intérêt d’utiliser WordPress en headless ?

L’interface du back-office de WordPress est très simple d’utilisation. C’est d’ailleurs ce qui a fait son succès. Tout un chacun, même avec des connaissances de base en informatique, est capable de créer et de gérer du contenu dans WordPress. Il est donc très intéressant de conserver cette simplicité d’utilisation.

Ce que le headless va permettre de faire ? Proposer un site web pour afficher un contenu qui soit totalement indépendant de WordPress. Il est alors possible de développer des applications ou des sites web proposant des fonctionnalités très spécifiques, et utilisant le contenu géré dans WordPress.

On coupe ainsi le lien avec le thème WordPress, parfois source de failles de sécurité, et on garde une totale maîtrise du site. Cela signifie qu’on va pouvoir héberger WordPress, la base de données, les médias et le site sur des serveurs différents.

On peut même imaginer plusieurs sites ou applications web proposant des fonctionnalités différentes, mais utilisant le contenu provenant d’un seul et même back-office WordPress.

Cela permet également de s’affranchir des technologies utilisées par WordPress, et du mode de développement qui lui est propre. Le site destiné à utiliser le contenu de WordPress pourra se baser sur d’autres langages que le PHP (utilisé pour développer WordPress), comme Java ou Python par exemple. Il ne reprendra que les plus courants.

Cela veut dire que si votre société ne dispose pas en interne de compétences WordPress, vous pourrez vous appuyer sur vos propres développeurs. Ils utiliseront les technologies qui leur sont familières pour utiliser l’API REST WordPress et accéder aux différents contenus !

Et en bonus, une autre vidéo spécifique au REST :

Nos derniers articles
Faire appel à un cabinet de recrutement pour la gestion de votre site vitrine

Que ce soit pour présenter les produits ou services proposés, pour communiquer sur les actualités de l’entreprise, ou encore pour attirer de nouveaux clients, un […]

Un webmarketeur doit-il nécessairement avoir des compétences sur le CMS WordPress au moment de son recrutement ?

Les compétences opérationnelles du webmarketeur Pour savoir comment recruter un webmarketeur, il est nécessaire de connaitre les compétences dont il doit disposer. Le webmarketeur doit […]

Les extensions pour développer l’audience de sa boutique Woocommerce

Découvrez comment améliorer l’audience de votre boutique en ligne WooCommerce. A l’appui, une sélection de plugins (extensions) très pratiques et faciles à utiliser !