Сегодня 12 августа 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → wordpress

Создатель WordPress вступил в конфликт с WP Engine

На этой неделе сообщество любителей WordPress — самой популярной в мире платформы для создания сайтов — оказалось втянуто в битву за этические ценности. Соучредитель WordPress Мэтт Мулленвег (Matt Mullenweg) выступил с резкой критикой хостера WP Engine, назвав его «раковой опухолью» сообщества.

 Источник изображения: Fikret tozak / unsplash.com

Источник изображения: Fikret tozak / unsplash.com

Заявление Мулленвега положило начало дебатам о том, как ориентированные на прибыль компании могут или не могут использовать открытое ПО, и обязаны ли они делать какой-то вклад в проекты, на которых зарабатывают. WP Engine — компания, которая оказывает услуги хостинга для сайтов на бесплатной и открытой платформе WordPress. Она была основана в 2010 году и к настоящему моменту выросла настолько, что стала конкурентом платформе WordPress.com — сейчас на серверах WP Engine размещены более 200 тыс. сайтов.

Сам Мулленвег руководит двумя разными WordPress. Это открытый проект WordPress.org, ответственный за разработку CMS WordPress, и сервис WordPress.com, который предлагает размещение сайтов на этой платформе — как и WP Engine. Мулленвег управляет компанией Automattic, которой принадлежит WordPress.com. Если верить статистике, 43 % всех веб-сайтов работают на WordPress, но нет сведений, сколько из них размещены на WordPress.com или WP Engine. Automattic вносит большой вклад в разработку открытого проекта — по словам Мулленвега, это 3988 человеко-часов в неделю.

WP Engine, по её собственным словам, оказывает проекту спонсорскую помощь и побуждает людей пользоваться WordPress, а также проводит мероприятия, развивает обучающие ресурсы и т.д. В 2018 году хостер был приобретён частной инвестиционной компанией Silver Lake, и, по версии Мулленвега, это бизнес, который наживается на открытом исходном коде и ничего не даёт взамен.

На минувшей неделе Мулленвег вышел на сцену конференции WordCamp, которая спонсируется WP Engine, и выступил с резкой критикой хостера: «Компания контролируется Silver Lake — частной инвестиционной компанией с активами $102 млн под управлением. Silver Lake плевать на ваши идеалы open source — они просто хотят отдачи от капитала. Поэтому в этот момент я прошу всех в сообществе WordPress проголосовать своим кошельком. Кому вы отдадите деньги: тому, кто будет лелеять экосистему, или кому-то, кто будет выкачивать из неё все соки, пока та не засохнет?»

 Источник изображения: Lavi Perchik / unsplash.com

Источник изображения: Lavi Perchik / unsplash.com

Продолжением его речи стала публикация, в которой он напомнил, что вклад WP Engine в открытый проект ограничивается всего 40 человеко-часами в неделю. Стоит отметить, что WP Engine не нарушает лицензии WordPress, поскольку та никого не обязывает что-то давать сообществу. Усугубляет ситуацию и то, что Мулленвег защищает не только идеалы open source, но и собственную коммерческую компанию, которая является конкурентом WP Engine. Он также заявил, что WP Engine требуется коммерческая лицензия на «несанкционированное» использование товарного знака WordPress, который принадлежит WordPress Foundation — он направил компании письмо с требованием прекратить противоправные действия в попытке заставить её платить деньги.

В WP Engine отмалчиваться не стали. Компания изложила свою версию событий: Automattic потребовала «очень большую сумму» за несколько дней до выступления Мулленвега на WordCamp 20 сентября — в противном случае он пригрозил применить «ядерный подход выжженной земли» в отношении оппонента. От него поступали звонки и текстовые сообщения, и в WP Engine заранее знали о содержании выступления. «Негласное требование Мулленвега о выплате WP Engine его коммерческой компании Automattic при публичной маскировке под альтруистического защитника сообщества WordPress — это позор. WP Engine не выполнит этих бессовестных требований, которые не только вредят WP Engine и её сотрудникам, но и угрожают всему сообществу WordPress», — говорится в заявлении компании.

Администрация WordPress.org дала понять, что подвергла WP Engine преследованиям не только за то, что компания не оказала поддержки открытому проекту, но и за якобы неправомерное использование торговой марки WordPress. При этом WordPress Foundation лишь в последние дни внесла изменения в правила использования торговых марок. Если ещё 19 сентября любой желающий мог использовать аббревиатуру «WP» «любым способом, который сочтёт нужным», то теперь в документе говорится: «Если вы хотите использовать торговую марку WordPress в коммерческих целях, свяжитесь с Automattic — у них есть исключительная лицензия».

Дошло до того, что WP Engine отключили бесплатный доступ к серверам WordPress.org, на которых размещаются обновления платформы и шаблоны сайтов. Два дня спустя Мулленвег временно снял блокировку, но дал оппонентам срок до 1 октября, чтобы WP Engine запустила собственное зеркало или разрешила конфликт.

Инцидент вызвал смешанную реакцию общественности. С одной стороны, говорят люди, WP Engine действительно следовало увеличить вклад в открытый проект, а использование компанией аббревиатуры «WP» может ввести в заблуждение. Но некоторые участники сообщества WordPress призвали Мулленвега уйти в отставку — его обвинили в злоупотреблении властью над WordPress.org и WordPress.com. Есть также мнение, что в результате конфликта может появиться форк WordPress, потому что нет гарантии, что аналогичные меры Automattic не попытается предпринять в отношении любой другой организации.

В плагине WordPress нашли уязвимость, которая позволила взломать более 9000 сайтов

Вьетнамский эксперт по кибербезопасности Труок Фан (Truoc Phan) обнаружил уязвимость плагина tagDiv Composer для CMS WordPress. Уязвимости присвоен номер CVE-2023-3169, а её эксплуатация позволила разместить вредоносный код на более чем 9000 сайтов.

 Источник изображения: Pexels / pixabay.com

Источник изображения: Pexels / pixabay.com

Плагин tagDiv Composer является обязательным для установки тем Newspaper и Newsmag для WordPress — они продаются на популярных площадках Theme Forest и Envato, а скачали их уже более 155 000 раз. XSS-уязвимость CVE-2023-3169 позволяет злоумышленникам внедрять вредоносный код в веб-страницы. Ей присвоен рейтинг 7,1 из 10. Разработчики tagDiv Composer частично закрыли её с выпуском версии плагина 4.1, а полностью она была ликвидирована в версии 4.2.

На практике злоумышленники эксплуатируют эту уязвимость для внедрения скриптов, которые перенаправляют пользователей на другие сайты с имитацией интерфейса технической поддержки, сообщениями о выигрыше в лотерею и призывами подписаться на сомнительные push-уведомления. Атаки, связанные с уязвимостью плагина tagDiv Composer, являются частью крупной кампании вредоносного ПО Balada — она отслеживается специалистами по кибербезопасности компании Sucuri ещё с 2017 года. За последние шесть лет в рамках кампании Balada были взломаны более 1 млн сайтов; только в сентябре зафиксированы более 17 тыс. инцидентов, а из-за уязвимости CVE-2023-3169 вредоносный код был размещён более чем на 9 тыс. сайтов.

Целью атаки Balada является получение контроля над скомпрометированным сайтом. Самый распространённый способ — внедрение вредоносного кода для создания учётной записи с правами администратора. Настоящим администраторам при обнаружении такого взлома рекомендуется полностью уничтожить все признаки вредоносной активности: чаще всего это вредоносный код и новые учётные записи с администраторскими правами в списке пользователей. Если удалить только вредоносный код, но оставить на сайте нелегитимного администратора, вредоносный код вернётся в новом виде. Сейчас особо рекомендуется проверить признаки взлома владельцам сайтов на WordPress с установленными темами Newspaper и Newsmag.


window-new
Soft
Hard
Тренды 🔥
Изучай, расширяй, эксплуатируй, уничтожай: в Steam стартовал фестиваль 4X-стратегий, а Endless Legend 2 получила временную демоверсию 3 ч.
У DeepSeek произошёл масштабный сбой — регистрация новых пользователей ограничена 3 ч.
Microsoft начала тестировать облачные ПК для аварийной замены обычных через Windows 365 4 ч.
Календарь релизов — 11 – 17 августа: The Scouring, Echoes of the End и ремастер W40K: Dawn of War 8 ч.
Mortal Kombat 1 покорила новую вершину продаж и взяла курс на звание «самой сбалансированной» игры серии 8 ч.
«Займёт своё место в пантеоне "Цивилизаций"»: руководство Take-Two не потеряло веру в Sid Meier’s Civilization VII, несмотря на слабый старт продаж 9 ч.
Россияне пожаловались на массовые сбои при звонках в WhatsApp и Telegram 9 ч.
Бывший президент Blizzard предсказал, что Battlefield 6 «раздавит» Call of Duty: Black Ops 7, и все от этого выиграют 13 ч.
Создатели Delta Force анонсировали хоррор-шутер Crossfire: Rainbow — геймплейный трейлер и первые подробности 14 ч.
Раздача кооперативного боевика Guntouchables в Steam превзошла все ожидания разработчиков, но играют меньше 1 % от скачавших 14 ч.
Новая статья: Обзор ноутбука Acer Swift Go 14 (SFG14-63-R7T4) с процессором Ryzen 9 8945HS и OLED-экраном 3 ч.
«Космический виноград»: древняя галактика сломала представления учёных о процессах в ранней Вселенной 4 ч.
Биткоин приблизился к историческому максимуму, а Ethereum преодолел $4000 5 ч.
LG выпустила первый игровой монитор на матрице WOLED четвёртого поколения — 27-дюймовый UltraGear OLED 27GX700A 6 ч.
SpaceX запустила новую партию интернет-спутников Amazon Project Kuiper — теперь на орбите их 102 из более 3000 7 ч.
Nvidia представила крошечные видеокарты RTX Pro 4000 SFF и RTX Pro 2000 для профессионалов 7 ч.
Vivo показала свою первую MR-гарнитуру — она похожа на Apple Vision Pro, но гораздо удобнее 7 ч.
Apple выпустит MacBook стоимостью от $599 в следующем году, если слухи верны 7 ч.
Ford сделает электромобили дешевле — первым на платформе Universal EV станет пикап за $30 000 8 ч.
Hyundai потребовала $65 за устранение уязвимости в системе бесключевого доступа к электромобилю Ioniq 5 8 ч.