Infelizmente, o WordPress.org proibiu o WP Engine de acessar seus recursos, deixando milhares de usuários finais sem atualizações de segurança.
O WordPress.org proibiu o WP Engine de acessar seus recursos e parou de entregar atualizações de plugins para sites hospedados na plataforma, pedindo aos usuários afetados que escolham outros provedores de hospedagem.
WordPress.org proibiu o WP Engine de acessar seus recursos
O projeto de código aberto alega que a mudança vem em resposta à alteração do WP Engine de um recurso principal do WordPress para seu próprio lucro e seu bloqueio do widget de notícias do painel em milhares de sites para evitar que críticas sobre suas ações cheguem aos usuários.
A mudança, que é a mais recente em um conflito que surgiu entre as duas entidades, essencialmente deixa milhares de usuários finais sem atualizações de segurança e, por extensão, milhões de usuários da Internet expostos a possíveis hacks.
“[Se] o WP Engine quiser controlar sua experiência no WordPress, eles precisam executar seu próprio sistema de login de usuário, servidores de atualização, diretório de plugins, diretório de temas, diretório de padrões, diretório de blocos, traduções, diretório de fotos, quadro de empregos, meetups, conferências, rastreador de bugs, fóruns, Slack, Ping-o-matic e showcase. Seus servidores não podem mais acessar nossos servidores gratuitamente.” – WordPress.org
A ação legal da WP Engine é principalmente contra a Automattic, mas também envolve questões relacionadas a como os recursos do WordPress.org são supostamente usados para prejudicar a reputação do hoster.
O conflito está caminhando para problemas legais, como Matt Mullenweg, cofundador do WordPress e CEO da Automattic, disse no post do blog que “enquanto suas reivindicações legais e litígios contra o WordPress.org estão pendentes, a WP Engine não tem mais acesso gratuito aos recursos do WordPress.org.”
O conflito entre a WP Engine, WordPress.org e a Automattic, proprietária do WordPress.com e WooCommerce, decorre de desacordos sobre contribuições ao projeto de código aberto do WordPress, uso da marca e críticas de líderes dentro dessas entidades.
A WP Engine, uma grande provedora de hospedagem WordPress, enviou uma carta de cessação e desistência à Automattic após as críticas públicas de Mullenweg por supostamente lucrar com o WordPress sem retribuir o suficiente.
Mullenweg chegou a descrever a WP Engine como um “câncer para o WordPress” durante um evento público.
A WP Engine respondeu acusando Mullenweg de tentar coagi-los a pagar milhões pelo licenciamento de marcas registradas e ameaçá-los com uma “abordagem nuclear de terra arrasada” se eles não cumprissem.
A Automattic então revidou com sua própria carta de cessação e desistência acusando a WP Engine de infringir usos comerciais das marcas registradas WordPress e WooCommerce e alegando ter construído um negócio com US$ 400 milhões em receita por meio do uso não autorizado do nome WordPress.
Sites e usuários expostos
Oliver Sild, do Patchstack, confirmou ao BleepingComputer que os sites hospedados na WP Engine não recebem atualizações do WordPress.org no momento, deixando os usuários finais em uma posição vulnerável.
O pesquisador de segurança comentou que problemas importantes de segurança em temas e plugins do WordPress são descobertos diariamente. Quando uma correção está pronta, o WordPress pode aplicar automaticamente a atualização com o patch, poupando os administradores do trabalho de verificar novas versões e instalá-las.
O Patchstack decidiu interromper a publicação de novas vulnerabilidades até que o problema seja resolvido, para evitar que hackers obtenham informações que possam usar contra sites desprotegidos hospedados no WP Engine.
O WordPress.org colocou a responsabilidade de resolver os problemas de segurança exclusivamente no WP Engine, aconselhando os usuários que têm algum problema de funcionalidade com seus sites a entrar em contato com o suporte do WP Engine.
“O motivo pelo qual os sites WordPress não são mais hackeados tanto é que trabalhamos com hosts para bloquear vulnerabilidades na camada de rede, o WP Engine precisará replicar essa pesquisa de segurança por conta própria”, diz Mullenweg no anúncio do WordPress.org.
A situação parece complicada, então uma resolução rápida é improvável. Ao mesmo tempo, o WP Engine formar uma equipe de segurança eficaz para responder aos requisitos do cliente em breve também parece irrealista.
Dito isso, os clientes do WP Engine podem considerar medidas urgentes ao explorar outras opções de hospedagem para seus sites.