Сегодня 09 июля 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → wordpress

Создатель WordPress вступил в конфликт с WP Engine

На этой неделе сообщество любителей WordPress — самой популярной в мире платформы для создания сайтов — оказалось втянуто в битву за этические ценности. Соучредитель WordPress Мэтт Мулленвег (Matt Mullenweg) выступил с резкой критикой хостера WP Engine, назвав его «раковой опухолью» сообщества.

 Источник изображения: Fikret tozak / unsplash.com

Источник изображения: Fikret tozak / unsplash.com

Заявление Мулленвега положило начало дебатам о том, как ориентированные на прибыль компании могут или не могут использовать открытое ПО, и обязаны ли они делать какой-то вклад в проекты, на которых зарабатывают. WP Engine — компания, которая оказывает услуги хостинга для сайтов на бесплатной и открытой платформе WordPress. Она была основана в 2010 году и к настоящему моменту выросла настолько, что стала конкурентом платформе WordPress.com — сейчас на серверах WP Engine размещены более 200 тыс. сайтов.

Сам Мулленвег руководит двумя разными WordPress. Это открытый проект WordPress.org, ответственный за разработку CMS WordPress, и сервис WordPress.com, который предлагает размещение сайтов на этой платформе — как и WP Engine. Мулленвег управляет компанией Automattic, которой принадлежит WordPress.com. Если верить статистике, 43 % всех веб-сайтов работают на WordPress, но нет сведений, сколько из них размещены на WordPress.com или WP Engine. Automattic вносит большой вклад в разработку открытого проекта — по словам Мулленвега, это 3988 человеко-часов в неделю.

WP Engine, по её собственным словам, оказывает проекту спонсорскую помощь и побуждает людей пользоваться WordPress, а также проводит мероприятия, развивает обучающие ресурсы и т.д. В 2018 году хостер был приобретён частной инвестиционной компанией Silver Lake, и, по версии Мулленвега, это бизнес, который наживается на открытом исходном коде и ничего не даёт взамен.

На минувшей неделе Мулленвег вышел на сцену конференции WordCamp, которая спонсируется WP Engine, и выступил с резкой критикой хостера: «Компания контролируется Silver Lake — частной инвестиционной компанией с активами $102 млн под управлением. Silver Lake плевать на ваши идеалы open source — они просто хотят отдачи от капитала. Поэтому в этот момент я прошу всех в сообществе WordPress проголосовать своим кошельком. Кому вы отдадите деньги: тому, кто будет лелеять экосистему, или кому-то, кто будет выкачивать из неё все соки, пока та не засохнет?»

 Источник изображения: Lavi Perchik / unsplash.com

Источник изображения: Lavi Perchik / unsplash.com

Продолжением его речи стала публикация, в которой он напомнил, что вклад WP Engine в открытый проект ограничивается всего 40 человеко-часами в неделю. Стоит отметить, что WP Engine не нарушает лицензии WordPress, поскольку та никого не обязывает что-то давать сообществу. Усугубляет ситуацию и то, что Мулленвег защищает не только идеалы open source, но и собственную коммерческую компанию, которая является конкурентом WP Engine. Он также заявил, что WP Engine требуется коммерческая лицензия на «несанкционированное» использование товарного знака WordPress, который принадлежит WordPress Foundation — он направил компании письмо с требованием прекратить противоправные действия в попытке заставить её платить деньги.

В WP Engine отмалчиваться не стали. Компания изложила свою версию событий: Automattic потребовала «очень большую сумму» за несколько дней до выступления Мулленвега на WordCamp 20 сентября — в противном случае он пригрозил применить «ядерный подход выжженной земли» в отношении оппонента. От него поступали звонки и текстовые сообщения, и в WP Engine заранее знали о содержании выступления. «Негласное требование Мулленвега о выплате WP Engine его коммерческой компании Automattic при публичной маскировке под альтруистического защитника сообщества WordPress — это позор. WP Engine не выполнит этих бессовестных требований, которые не только вредят WP Engine и её сотрудникам, но и угрожают всему сообществу WordPress», — говорится в заявлении компании.

Администрация WordPress.org дала понять, что подвергла WP Engine преследованиям не только за то, что компания не оказала поддержки открытому проекту, но и за якобы неправомерное использование торговой марки WordPress. При этом WordPress Foundation лишь в последние дни внесла изменения в правила использования торговых марок. Если ещё 19 сентября любой желающий мог использовать аббревиатуру «WP» «любым способом, который сочтёт нужным», то теперь в документе говорится: «Если вы хотите использовать торговую марку WordPress в коммерческих целях, свяжитесь с Automattic — у них есть исключительная лицензия».

Дошло до того, что WP Engine отключили бесплатный доступ к серверам WordPress.org, на которых размещаются обновления платформы и шаблоны сайтов. Два дня спустя Мулленвег временно снял блокировку, но дал оппонентам срок до 1 октября, чтобы WP Engine запустила собственное зеркало или разрешила конфликт.

Инцидент вызвал смешанную реакцию общественности. С одной стороны, говорят люди, WP Engine действительно следовало увеличить вклад в открытый проект, а использование компанией аббревиатуры «WP» может ввести в заблуждение. Но некоторые участники сообщества WordPress призвали Мулленвега уйти в отставку — его обвинили в злоупотреблении властью над WordPress.org и WordPress.com. Есть также мнение, что в результате конфликта может появиться форк WordPress, потому что нет гарантии, что аналогичные меры Automattic не попытается предпринять в отношении любой другой организации.

В плагине WordPress нашли уязвимость, которая позволила взломать более 9000 сайтов

Вьетнамский эксперт по кибербезопасности Труок Фан (Truoc Phan) обнаружил уязвимость плагина tagDiv Composer для CMS WordPress. Уязвимости присвоен номер CVE-2023-3169, а её эксплуатация позволила разместить вредоносный код на более чем 9000 сайтов.

 Источник изображения: Pexels / pixabay.com

Источник изображения: Pexels / pixabay.com

Плагин tagDiv Composer является обязательным для установки тем Newspaper и Newsmag для WordPress — они продаются на популярных площадках Theme Forest и Envato, а скачали их уже более 155 000 раз. XSS-уязвимость CVE-2023-3169 позволяет злоумышленникам внедрять вредоносный код в веб-страницы. Ей присвоен рейтинг 7,1 из 10. Разработчики tagDiv Composer частично закрыли её с выпуском версии плагина 4.1, а полностью она была ликвидирована в версии 4.2.

На практике злоумышленники эксплуатируют эту уязвимость для внедрения скриптов, которые перенаправляют пользователей на другие сайты с имитацией интерфейса технической поддержки, сообщениями о выигрыше в лотерею и призывами подписаться на сомнительные push-уведомления. Атаки, связанные с уязвимостью плагина tagDiv Composer, являются частью крупной кампании вредоносного ПО Balada — она отслеживается специалистами по кибербезопасности компании Sucuri ещё с 2017 года. За последние шесть лет в рамках кампании Balada были взломаны более 1 млн сайтов; только в сентябре зафиксированы более 17 тыс. инцидентов, а из-за уязвимости CVE-2023-3169 вредоносный код был размещён более чем на 9 тыс. сайтов.

Целью атаки Balada является получение контроля над скомпрометированным сайтом. Самый распространённый способ — внедрение вредоносного кода для создания учётной записи с правами администратора. Настоящим администраторам при обнаружении такого взлома рекомендуется полностью уничтожить все признаки вредоносной активности: чаще всего это вредоносный код и новые учётные записи с администраторскими правами в списке пользователей. Если удалить только вредоносный код, но оставить на сайте нелегитимного администратора, вредоносный код вернётся в новом виде. Сейчас особо рекомендуется проверить признаки взлома владельцам сайтов на WordPress с установленными темами Newspaper и Newsmag.

Установленный более чем на 1 млн веб-сайтов на WordPress плагин регистрировал пароли в открытом виде

Популярный плагин безопасности All-In-One Security (AIOS), предназначенный для сайтов под управлением WordPress, установлен на более чем 1 млн интернет-ресурсов. Оказалось, что плагин несколько недель регистрировал пароли пользователей в открытом виде и хранил их в базе, доступной администраторам сайтов. Для устранения этой проблемы разработчики выпустили соответствующий патч.

 Источник изображения: Pixabay

Источник изображения: Pixabay

AIOS фиксирует пароли пользователей в процессе их авторизации. По словам разработчиков, запись паролей в открытом виде в журнал происходила из-за программной ошибки, которая была допущена в коде AIOS 5.1.9, выпущенного в мае этого года. На этой неделе разработчики выпустили AIOS 5.2.0, после установки которого проблема с записью паролей будет решена, а добавленные ранее в базу данные удалятся.

Представитель разработчиков AIOS подтвердил, что «для извлечения какой-либо выгоды из этого бага требуется войти в систему с административными привилегиями высшего уровня». Однако специалисты по информационной безопасности давно советуют администраторам сайтов не хранить пароли в открытом виде. Это связано с тем, что многие годы хакеры с относительной лёгкостью взламывают сайты и похищают хранящиеся в базах данные. В этом контексте запись паролей в открытом виде в любую базу данных, независимо от того, кто имеет к ней доступ, является нарушением правил безопасности.

Таким образом, плагин AIOS фиксировал пользовательские пароли в открытом виде не менее трёх недель, пока на эту особенность не обратил внимание один из пользователей программного обеспечения. Вместе с выпуском новой версии плагина разработчики принесли извинения пользователям за допущенную ошибку и рекомендовали как можно быстрее обновить AIOS до версии 5.2.0.


window-new
Soft
Hard
Тренды 🔥
В Windows 11 появится официальный способ избавиться от предустановленных программ 44 мин.
Исследователи обнаружили опасный метод взлома Android через невидимый интерфейс 50 мин.
OpenAI удалось заполучить четырёх классных специалистов из Tesla, xAI и Meta 56 мин.
В США появится не только свой TikTok, но и CapCut 8 ч.
Microsoft наконец добавила в Teams цепочки обсуждений — треды 8 ч.
Microsoft устранила 137 уязвимостей, включая 14 критических и одну нулевого дня 8 ч.
Apple Lisa воссоздали в браузере до мельчайших деталей — дорогой компьютер 1983 года стал доступен всем 8 ч.
В Gmail добавят удобный способ отписаться от ненужных рассылок 8 ч.
«Проведите время с пользой, ведь мы все умрём»: экзистенциальная игра о скоротечности жизни Time Flies получила дату выхода и новый трейлер 9 ч.
С новым патчем в The Last of Us Part II Remastered появился хронологический режим — он позволит по-иному взглянуть на сюжет игры 10 ч.
В Apple сменился операционный директор, который может в будущем заменить Тима Кука 46 мин.
Новая статья: Обзор видеокарты GIGABYTE AORUS GeForce RTX 5060 Ti ELITE 16G: цена тишины 5 ч.
Новая статья: Обзор беспроводной колонки Tronsmart Bang Max: дачный певец 6 ч.
Первая национальная ракета Канады «Тайга» стартует в августе — через пару лет полетит «Тундра» 8 ч.
Tecno представила серию тонких и доступных смартфонов Spark 40 с ворохом ИИ-функций 9 ч.
SSD и оперативная память подорожают — Трамп анонсировал 25-% пошлину на все товары из Японии и Южной Кореи 11 ч.
Британская полиция выделит £75 млн на оцифровку своих архивов VHS-видеокассет 12 ч.
«Билайн» модернизировал транспортную сеть, добавив ВОЛС на 1,6 Тбит/с. 12 ч.
Китай впервые в истории дозаправил спутник на высоте 36 000 км — это не точно, но США обеспокоены 12 ч.
Beyerdynamic обновила наушники Aventho — автономность выросла втрое, а Bluetooth стал стабильнее 13 ч.