C’est une confidence surprenante reçue de la bouche d’un membre de l’équipe core de WordPress. Il m’a confessé que la redistribution d’une extension récupérée sur un serveur est parfaitement légale. Les règles fondamentales du CMS autorisent cet usage. Alors que le grand public l’ignore, les éditeurs de solutions premium profitent de cette méconnaissance pour protéger leur modèle économique. Notre enquête lève le voile sur ces textes de loi.
Au programme de cet article
- Tout plugin WordPress hérite obligatoirement de la licence GPL
- Les éditeurs vendent un service, pas le code
- Modifier un plugin pour usage personnel est un droit GPL
- La split license tente de contourner la GPL sans y parvenir
- WP Engine a découvert que la GPL peut aussi servir d’arme
- Développer un plugin sérieux prend des années
- La GPL ne couvre pas le droit moral ni la contrefaçon
- Installer un plugin cracké a des conséquences très différentes
Tout plugin WordPress hérite obligatoirement de la licence GPL
WordPress est distribué sous la licence GNU GPL v2 (GNU General Public License). Cette licence, créée par la Free Software Foundation, accorde 4 libertés fondamentales à toute personne qui reçoit le logiciel.
- Utiliser le logiciel pour n’importe quel usage.
- Étudier son fonctionnement et le modifier.
- Redistribuer des copies.
- Distribuer des versions modifiées.
La GPL est une licence dite copyleft. Tout logiciel dérivé d’un code GPL hérite automatiquement de cette même licence. Un plugin WordPress utilise les fonctions internes de WordPress (hooks, filtres, API), il s’exécute dans l’environnement WordPress, il interagit avec sa base de données. Il est considéré comme une œuvre dérivée. Il est donc GPL obligatoirement.
C’est la position officielle de WordPress.org et de la Free Software Foundation, confirmée juridiquement lors de la controverse Thesis en 2010. Matt Mullenweg a contraint l’éditeur Chris Pearson à passer son thème commercial sous GPL après des semaines de bras de fer public. Ce même mécanisme a resurgi en 2024 dans le conflit WP Engine.
Les éditeurs vendent un service, pas le code
Un éditeur peut vendre WP Rocket à 59 € par an. Il peut vendre Elementor Pro à 99 €. Il peut vendre Advanced Custom Fields à n’importe quel prix. Mais il ne peut pas interdire la redistribution du code. La GPL ne lui donne pas ce droit.
Il ne vend pas le logiciel, mais la clé de licence qui donne accès aux mises à jour automatiques et au support. Le code lui-même, une fois qu’il est entre vos mains, vous appartient au sens de la GPL. Vous pouvez le copier, le modifier, le donner à quelqu’un d’autre.
C’est d’ailleurs ce que font les revendeurs GPL (GPLDL, GPL Vault et d’autres). Ils achètent une licence officielle, téléchargent le plugin et le redistribuent à leurs clients à un tarif inférieur. Légalement, ils ne font rien d’interdit. La licence qu’ils ont achetée leur donne ce droit. La différence avec un site de crack anonyme, c’est que le fichier distribué est l’original, non modifié.
Modifier un plugin pour usage personnel est un droit GPL
La GPL autorise à utiliser, étudier, redistribuer, modifier. Le texte exact de la GPL 2 stipule que vous pouvez modifier votre copie et distribuer ces modifications, à condition de rendre le code source disponible. Un plugin dont on a supprimé la vérification de licence, c’est techniquement une modification du code source. La GPL l’autorise.
Dire qu’un nulled est illégal est donc faux. Ce que dit la loi, c’est que modifier puis redistribuer sans fournir le code source viole la GPL. Modifier pour usage personnel ou modifier en rendant le code accessible, c’est dans les droits que la licence accorde explicitement.
Un nulled redistribué sans code source viole déjà la GPL.
Quand quelqu’un modifie un plugin pour supprimer une vérification de licence puis le met en ligne gratuitement, rien ne prouve qu’il s’est arrêté là. La modification peut aussi avoir ajouté une backdoor, un script de collecte de données, une redirection vers un serveur externe. Vous ne pouvez pas le savoir sans auditer le code ligne à ligne. Selon le rapport Wordfence sur les plugins malveillants (2024), 52 % des sources de distribution de plugins nulled injectent du code malveillant dans les fichiers.
Si vous avez les compétences pour auditer le code vous-même, un plugin nulled dont vous avez vérifié chaque ligne n’est pas dangereux. Les patterns à chercher en priorité dans un fichier PHP inconnu sont eval(base64_decode(...)), les appels wp_remote_get vers des URLs externes non documentées et les add_action qui injectent des scripts dans wp_head vers des domaines tiers. Si vous ne repérez pas ces patterns, vous installez un fichier inconnu avec des droits d’exécution complets sur votre serveur.
| Revendeur GPL (fichier original) | Nulled (fichier modifié) | |
|---|---|---|
| Modification du code | Aucune | Au minimum la vérif de licence supprimée |
| Légal selon GPL | Oui | Oui si code source fourni, usage personnel sinon zone grise |
| Risque malware | Aucun (fichier original) | Dépend de la source, 52 % des cas selon Wordfence 2024 |
| Mises à jour automatiques | Absentes | Absentes |
| Auditable sans compétences | Oui (fichier connu) | Non (diff impossible sans l’original) |
La split license tente de contourner la GPL sans y parvenir
Certains éditeurs ont tenté de contourner l’obligation en créant une split license. Le PHP passe sous GPL (obligation légale), les CSS, JavaScript, images et autres assets restent sous licence propriétaire.
Matt Mullenweg a clairement rejeté cette approche dans un post de 2015 intitulé « There is No Such Thing as a Split License« . Dès lors que les assets sont nécessaires au fonctionnement du plugin, ils font partie de l’œuvre dérivée et tombent sous GPL. La split license est une tentative légale de contournement que WordPress.org refuse pour tout plugin ou thème référencé dans son dépôt officiel. Hors dépôt officiel, rien n’empêche légalement un éditeur de tenter ce montage, mais il s’expose à des contestations.
En pratique, la quasi-totalité des grands éditeurs de plugins sont passés au 100 % GPL depuis 2015. La split license est aujourd’hui marginale et vue comme une mauvaise pratique dans la communauté WordPress.
WP Engine a découvert que la GPL peut aussi servir d’arme
En septembre 2024, Matt Mullenweg publie un post contre WP Engine, reprochant à l’hébergeur de tirer des revenus importants de WordPress sans contribuer suffisamment au projet. Le conflit dégénère rapidement.
En octobre 2024, WordPress.org prend le contrôle du plugin Advanced Custom Fields (ACF), détenu par WP Engine et utilisé par plus de 2 millions de sites. Le plugin est forké sous le nom Secure Custom Fields. La justification invoquée était qu’ACF est dans le dépôt WordPress.org, sous GPL, il peut donc être forké à tout moment. Légalement, c’est exact.
WP Engine a attaqué Automattic et Mullenweg en justice en Californie pour abus de pouvoir. En décembre 2024, une première injonction préliminaire oblige Automattic à rétablir l’accès de WP Engine à WordPress.org. Un an plus tard, le 10 décembre 2025, la juge fédérale Araceli Martínez-Olguín oblige Automattic à restituer le plugin Secure Custom Fields et supprimer les données de tracking collectées sur les clients de WP Engine. En février 2026, WP Engine produit des documents internes montrant qu’Automattic aurait planifié d’imposer des redevances à 10 hébergeurs concurrents. Le procès devant jury est prévu pour septembre 2027.
Advanced Custom Fields, racheté par WP Engine, a pu être forké du jour au lendemain parce que son code était sous GPL. Le procès ne change rien à ce droit. Le tribunal peut ordonner à Automattic de rétablir un accès à son infrastructure. Il ne peut pas interdire au code d’exister sous GPL.
Développer un plugin sérieux prend des années
La licence GPL autorise la redistribution. Ça ne signifie pas que le travail derrière un plugin premium ne vaut rien.
WP Rocket, c’est une équipe de développeurs à plein temps depuis 2013. Chaque mise à jour majeure de WordPress peut casser des optimisations entières. Les règles de cache changent, les nouvelles APIs apparaissent, les navigateurs évoluent. Maintenir un plugin de performance en état de marche sur des milliers de configurations différentes d’hébergements, de thèmes et d’autres plugins, c’est un travail continu.
Quand vous passez par un revendeur GPL à 5 euros au lieu de payer la licence officielle, vous utilisez légalement le code. Mais vous ne contribuez pas à financer les prochaines mises à jour. Si tout le monde fait ça, les équipes qui maintiennent ces outils n’ont plus les moyens de continuer. La GPL garantit vos droits. Elle ne garantit pas que quelqu’un sera payé pour continuer à améliorer le logiciel.
La GPL ne couvre pas le droit moral ni la contrefaçon
Le droit moral de l’auteur est protégé en France par l’article L.121-1 du Code de la propriété intellectuelle, indépendamment de toute licence. Il est inaliénable : même la GPL ne peut pas l’effacer. Redistribuer un plugin en supprimant la mention de l’auteur original le viole. Vendre un plugin GPL en prétendant en être l’auteur relève de la contrefaçon.
La GPL autorise la redistribution libre. Elle oblige aussi à redistribuer sous les mêmes conditions. Quiconque diffuse une version modifiée doit rendre son code source accessible.
Installer un plugin cracké a des conséquences très différentes
Si vous installez un plugin depuis un revendeur GPL qui distribue des fichiers originaux non modifiés, vous ne faites rien d’illégal. Le risque principal est l’absence de mises à jour automatiques, ce qui expose votre site aux failles de sécurité connues. Un plugin non mis à jour depuis 6 mois sur un site en production, c’est une surface d’attaque ouverte. Les bases pour sécuriser un site WordPress couvrent ce point parmi d’autres vecteurs d’attaque courants.
Si vous installez un plugin cracké sans savoir si le code a été modifié, le risque de malware est là. Une backdoor dans un plugin installé sur votre site donne un accès complet à votre base de données, vos fichiers, vos données utilisateurs. Récupérer un site compromis par ce type d’injection prend des heures et laisse des traces dans Google Search Console pendant des semaines.