Сегодня 23 июля 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → wordpress

Создатель WordPress вступил в конфликт с WP Engine

На этой неделе сообщество любителей WordPress — самой популярной в мире платформы для создания сайтов — оказалось втянуто в битву за этические ценности. Соучредитель WordPress Мэтт Мулленвег (Matt Mullenweg) выступил с резкой критикой хостера WP Engine, назвав его «раковой опухолью» сообщества.

 Источник изображения: Fikret tozak / unsplash.com

Источник изображения: Fikret tozak / unsplash.com

Заявление Мулленвега положило начало дебатам о том, как ориентированные на прибыль компании могут или не могут использовать открытое ПО, и обязаны ли они делать какой-то вклад в проекты, на которых зарабатывают. WP Engine — компания, которая оказывает услуги хостинга для сайтов на бесплатной и открытой платформе WordPress. Она была основана в 2010 году и к настоящему моменту выросла настолько, что стала конкурентом платформе WordPress.com — сейчас на серверах WP Engine размещены более 200 тыс. сайтов.

Сам Мулленвег руководит двумя разными WordPress. Это открытый проект WordPress.org, ответственный за разработку CMS WordPress, и сервис WordPress.com, который предлагает размещение сайтов на этой платформе — как и WP Engine. Мулленвег управляет компанией Automattic, которой принадлежит WordPress.com. Если верить статистике, 43 % всех веб-сайтов работают на WordPress, но нет сведений, сколько из них размещены на WordPress.com или WP Engine. Automattic вносит большой вклад в разработку открытого проекта — по словам Мулленвега, это 3988 человеко-часов в неделю.

WP Engine, по её собственным словам, оказывает проекту спонсорскую помощь и побуждает людей пользоваться WordPress, а также проводит мероприятия, развивает обучающие ресурсы и т.д. В 2018 году хостер был приобретён частной инвестиционной компанией Silver Lake, и, по версии Мулленвега, это бизнес, который наживается на открытом исходном коде и ничего не даёт взамен.

На минувшей неделе Мулленвег вышел на сцену конференции WordCamp, которая спонсируется WP Engine, и выступил с резкой критикой хостера: «Компания контролируется Silver Lake — частной инвестиционной компанией с активами $102 млн под управлением. Silver Lake плевать на ваши идеалы open source — они просто хотят отдачи от капитала. Поэтому в этот момент я прошу всех в сообществе WordPress проголосовать своим кошельком. Кому вы отдадите деньги: тому, кто будет лелеять экосистему, или кому-то, кто будет выкачивать из неё все соки, пока та не засохнет?»

 Источник изображения: Lavi Perchik / unsplash.com

Источник изображения: Lavi Perchik / unsplash.com

Продолжением его речи стала публикация, в которой он напомнил, что вклад WP Engine в открытый проект ограничивается всего 40 человеко-часами в неделю. Стоит отметить, что WP Engine не нарушает лицензии WordPress, поскольку та никого не обязывает что-то давать сообществу. Усугубляет ситуацию и то, что Мулленвег защищает не только идеалы open source, но и собственную коммерческую компанию, которая является конкурентом WP Engine. Он также заявил, что WP Engine требуется коммерческая лицензия на «несанкционированное» использование товарного знака WordPress, который принадлежит WordPress Foundation — он направил компании письмо с требованием прекратить противоправные действия в попытке заставить её платить деньги.

В WP Engine отмалчиваться не стали. Компания изложила свою версию событий: Automattic потребовала «очень большую сумму» за несколько дней до выступления Мулленвега на WordCamp 20 сентября — в противном случае он пригрозил применить «ядерный подход выжженной земли» в отношении оппонента. От него поступали звонки и текстовые сообщения, и в WP Engine заранее знали о содержании выступления. «Негласное требование Мулленвега о выплате WP Engine его коммерческой компании Automattic при публичной маскировке под альтруистического защитника сообщества WordPress — это позор. WP Engine не выполнит этих бессовестных требований, которые не только вредят WP Engine и её сотрудникам, но и угрожают всему сообществу WordPress», — говорится в заявлении компании.

Администрация WordPress.org дала понять, что подвергла WP Engine преследованиям не только за то, что компания не оказала поддержки открытому проекту, но и за якобы неправомерное использование торговой марки WordPress. При этом WordPress Foundation лишь в последние дни внесла изменения в правила использования торговых марок. Если ещё 19 сентября любой желающий мог использовать аббревиатуру «WP» «любым способом, который сочтёт нужным», то теперь в документе говорится: «Если вы хотите использовать торговую марку WordPress в коммерческих целях, свяжитесь с Automattic — у них есть исключительная лицензия».

Дошло до того, что WP Engine отключили бесплатный доступ к серверам WordPress.org, на которых размещаются обновления платформы и шаблоны сайтов. Два дня спустя Мулленвег временно снял блокировку, но дал оппонентам срок до 1 октября, чтобы WP Engine запустила собственное зеркало или разрешила конфликт.

Инцидент вызвал смешанную реакцию общественности. С одной стороны, говорят люди, WP Engine действительно следовало увеличить вклад в открытый проект, а использование компанией аббревиатуры «WP» может ввести в заблуждение. Но некоторые участники сообщества WordPress призвали Мулленвега уйти в отставку — его обвинили в злоупотреблении властью над WordPress.org и WordPress.com. Есть также мнение, что в результате конфликта может появиться форк WordPress, потому что нет гарантии, что аналогичные меры Automattic не попытается предпринять в отношении любой другой организации.

В плагине WordPress нашли уязвимость, которая позволила взломать более 9000 сайтов

Вьетнамский эксперт по кибербезопасности Труок Фан (Truoc Phan) обнаружил уязвимость плагина tagDiv Composer для CMS WordPress. Уязвимости присвоен номер CVE-2023-3169, а её эксплуатация позволила разместить вредоносный код на более чем 9000 сайтов.

 Источник изображения: Pexels / pixabay.com

Источник изображения: Pexels / pixabay.com

Плагин tagDiv Composer является обязательным для установки тем Newspaper и Newsmag для WordPress — они продаются на популярных площадках Theme Forest и Envato, а скачали их уже более 155 000 раз. XSS-уязвимость CVE-2023-3169 позволяет злоумышленникам внедрять вредоносный код в веб-страницы. Ей присвоен рейтинг 7,1 из 10. Разработчики tagDiv Composer частично закрыли её с выпуском версии плагина 4.1, а полностью она была ликвидирована в версии 4.2.

На практике злоумышленники эксплуатируют эту уязвимость для внедрения скриптов, которые перенаправляют пользователей на другие сайты с имитацией интерфейса технической поддержки, сообщениями о выигрыше в лотерею и призывами подписаться на сомнительные push-уведомления. Атаки, связанные с уязвимостью плагина tagDiv Composer, являются частью крупной кампании вредоносного ПО Balada — она отслеживается специалистами по кибербезопасности компании Sucuri ещё с 2017 года. За последние шесть лет в рамках кампании Balada были взломаны более 1 млн сайтов; только в сентябре зафиксированы более 17 тыс. инцидентов, а из-за уязвимости CVE-2023-3169 вредоносный код был размещён более чем на 9 тыс. сайтов.

Целью атаки Balada является получение контроля над скомпрометированным сайтом. Самый распространённый способ — внедрение вредоносного кода для создания учётной записи с правами администратора. Настоящим администраторам при обнаружении такого взлома рекомендуется полностью уничтожить все признаки вредоносной активности: чаще всего это вредоносный код и новые учётные записи с администраторскими правами в списке пользователей. Если удалить только вредоносный код, но оставить на сайте нелегитимного администратора, вредоносный код вернётся в новом виде. Сейчас особо рекомендуется проверить признаки взлома владельцам сайтов на WordPress с установленными темами Newspaper и Newsmag.


window-new
Soft
Hard
Тренды 🔥
«Sea of Thieves в космосе»: игроки встретили мультиплеерный шутер Wildgate от компании сооснователя Blizzard «очень положительными» отзывами в Steam 34 мин.
Создатели Until Dawn устроили новую волну сокращений и отложили релиз нелинейного хоррора Directive 8020 2 ч.
Более пяти миллионов ассасинов: Ubisoft похвасталась достижениями игроков Assassin's Creed Shadows 3 ч.
Запутавшие разработчиков изменения Apple в комиссиях App Store скорее всего будут приняты Еврокомиссией 4 ч.
Electronic Arts анонсирует Battlefield 6 уже на этой неделе — запущен обратный отсчёт до выхода первого трейлера 5 ч.
Microsoft узнала о критической уязвимости SharePoint ещё два месяца назад, но не смогла её исправить 5 ч.
Apple почти открыла исходный код своих ИИ-моделей, но что-то пошло не так 5 ч.
Встроенный в Telegram криптокошелёк Wallet стал доступен 87 млн пользователей в США 6 ч.
Nvidia выпустила драйвер GeForce Game Ready 577.00 WHQL с поддержкой DLSS 4 для Wuchang: Fallen Feathers 7 ч.
«Яндекс» выпустит «Нейроаналитика» — ИИ-агента для визуализации данных 7 ч.
Новая статья: Обзор Full HD IPS-монитора Digma Progress 27P504F: больше, чем можно представить 17 мин.
Microsoft представила ноутбук Surface Laptop 5G со слотом для SIM и чипами Core Ultra 200 по цене от $1800 3 ч.
Razer представила беспроводную версию геймерской мыши Cobra 4 ч.
Компактно, но дорого и медленно: ДНК-накопителям до коммерциализации пока ещё далеко 6 ч.
Китайские учёные впервые осуществили квантовую телепортацию с записью состояний в твердотельную память 7 ч.
Всё своё, от «железа» до ПО: «Группа Астра» и YADRO строят полностью российское облако 7 ч.
Sharp представили VR-перчатки, которые передают тактильные ощущения от прикосновений к виртуальным объектам 7 ч.
Samsung теряет рынок складных смартфонов — в этом году её доля почти сравняется с Huawei 7 ч.
Elgato представила карту видеозахвата Game Capture 4K S с поддержкой 4K при 60 FPS по цене $160 7 ч.
xAI купила за $10 территорию бывшей газовой электростанции неподалёку от будущего ИИ ЦОД 8 ч.