WordPress eist socialmedia-wachtwoord van WordCamp-organisatoren
WordPress heeft organisatoren van WordCamp-conferenties verzocht om de inloggegevens van hun socialmedia-account te delen en tweefactorauthenticatie uit te schakelen. Ook zijn specifieke organisatoren gevraagd om bepaalde berichten op social media te verwijderen. Het verzoek volgt op een ruzie tussen Automattic en WP Engine. WordCamps zijn lokale, door de community georganiseerde evenementen waar allerlei WordPress-gerelateerde zaken worden besproken.
Op 16 oktober werd de organisatie van WordCamps Sydney verzocht om twee berichten op X te verwijderen en de inloggegevens voor het account door te geven. Aanleiding waren berichten over WP Engine. Als de twee organisators dit niet zouden doen moesten ze aftreden, aldus de e-mail afkomstig van een Automattic-medewerker. Afgelopen vrijdag werden alle WordCamp-organisatoren gemail met het verzoek om de inloggegevens voor 8 november te delen. Daarbij werd echter gesteld dat dit vanwege veiligheidsredenen nodig was.
WP Engine is een bedrijf dat klanten 'managed WordPress hosting' biedt. Klanten kunnen via het platform van WP Engine een eigen WordPress-site starten en meteen bij de provider hosten. Matt Mullenweg, mede-ontwikkelaar van WordPress en ceo van Automattic, dat via WordPress.com ook WordPress-hosting aanbiedt, noemde WP Engine onlangs 'een kanker voor WordPress'. Volgens Mullenweg biedt WP Engine klanten een slechte ervaring en profiteert van het bedrijf van de verwarring, doordat mensen denken dat WP Engine WordPress is.
Mullenweg stelde dan ook dat WP Engine een trademark-licentie nodig heeft om WordPress-hosting te blijven aanbieden. Vervolgens stuurde WP Engine een 'cease and desist' brief naar Automattic waarin het bedrijf en Mullenweg werden verzocht om de 'valse en schadelijke' verklaringen over WP Engine in te trekken en dergelijke uitspraken niet meer te doen. WordPress.org blokkeert inmiddels WP Engine-klanten, zodat die hun plug-ins niet kunnen updaten.
Critici stellen dat Mullenweg en Automattic met de laatste e-mails aan WordCamp-organisatoren verdere controle over de WordPress-community proberen te krijgen. Volgens cijfers van W3Techs draait zo'n 44 procent van alle websites op internet op WordPress.
Daarnaast staan ze zelf nu niet bekend om hun geweldige security. Hun anti-spam plugin heeft jarelang onbeveiligd verbindingen gemaakt met de eigen servers en woo-commerce "vereist" min fo meer dat je alle analythics naar ze toe stuurt etc.
Eerder zijn andere anti-spam plugins voor onduidelijke redenen uit de plugin lijst gegooid, waarschijnlijk meer concurrentie voor het bedrijf achter wordpress, en ook website builders zijn hiervan slachtoffer geweest.
Dat ze nu "voor beiligheidsredenen" de login gegevens moeten delen is ronduit debiel, krankzinnig en per definitie niet veilig.
Hieruit blijkt dat de bedenker van Wordpress inmiddels het grootste gevaar is voor Wordpress
Hiermee overtreden ze oa gebruikersvoorwaarden van zo'n beetje alle social media platforms.
Bijna niet te geloven na afgelopen weken, maar de shitstorm groeit nog steeds.
Zijn er eigenlijk websites met WordPress die probleemloos door de W3C validator komen?
Maar we zullen zien wat er gebeurt. Bij belangrijke open source-projecten waar degenen die de leiding hadden niet meer goed functioneerden of ronduit rare dingen gingen doen is vaak een fork ontstaan die levensvatbaar bleek of het gewoon grotendeels overnam. Denk aan x.org in plaats van xfree86, LibreOffice in plaats van OpenOffice, MariaDB als alternatief voor MySql, eind jaren '90 EGCS als fork van GCC, die later de officiële GCC werd waarop ze weer werden samengevoegd... Dat is denk ik uiteindelijk de grootste kracht van open source: als het vastloopt kunnen anderen ermee verder gaan, ontwikkelaars kunnen overstappen naar de fork, en dan gebruikers, waardoor het na een ongemakkelijke episode uiteindelijk toch niet vastloopt, terwijl bij closed source de uitwijkmogelijkheid die een fork oplevert er simpelweg niet is en het risico veel groter is dat het werkelijk vastloopt.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
