WordPress.org a interdit à WP Engine d’accéder à ses ressources et a cessé de fournir des mises à jour de plug-ins aux sites Web hébergés sur la plate-forme, exhortant les utilisateurs concernés à choisir d’autres fournisseurs d’hébergement.
Le projet open source affirme que cette décision intervient en réponse à la modification par WP Engine d’une fonctionnalité principale de WordPress pour son propre bénéfice et à son blocage du widget d’actualités du tableau de bord sur des milliers de sites pour empêcher les critiques de ses actions d’atteindre les utilisateurs.
Cette décision, qui est la dernière en date d’un conflit qui a éclaté entre les deux entités, laisse essentiellement des milliers d’utilisateurs finaux sans mises à jour de sécurité et, par extension, des millions d’internautes exposés à des piratages potentiels.
» WP Engine veut contrôler votre expérience WordPress, il doit exécuter son propre système de connexion utilisateur, ses serveurs de mise à jour, son répertoire de plugins, son répertoire de thèmes, son répertoire de modèles, son répertoire de blocs, ses traductions, son répertoire de photos, son tableau d’offres d’emploi, ses réunions, conférences, bug tracker, forums, Slack, Ping-o-matic et showcase. Leurs serveurs ne peuvent plus accéder gratuitement à nos serveurs. »– WordPress.org
L’action en justice de WP Engine est principalement dirigée contre Automattic, mais elle implique également des problèmes liés à la manière dont WordPress.org les ressources seraient utilisées pour nuire à la réputation de l’hébergeur.
Le conflit se dirige vers des ennuis juridiques, comme Matt Mullenweg, co-fondateur de WordPress et PDG d’Automattic, l’a déclaré dans le billet de blog que « dans l’attente de leurs réclamations légales et litiges contre WordPress.org, WP Engine n’a plus libre accès à WordPress.org ressources. »
WordPress dans la tourmente
Le conflit entre WP Engine, WordPress.org et Automattic, le propriétaire de WordPress.com et WooCommerce, découle de désaccords sur les contributions au projet open source WordPress, l’utilisation de la marque et les critiques des dirigeants de ces entités.
WP Engine,un important fournisseur d’hébergement WordPress, a envoyé une lettre de cessation et d’abstention à Automattic après les critiques publiques de Mullenweg pour avoir prétendument profité de WordPress sans redonner suffisamment.
Mullenweg est allé jusqu’à décrire WP Engine comme un « cancer pour WordPress » lors d’un événement public.
WP Engine a répondu en accusant Mullenweg d’essayer de les contraindre à payer des millions pour l’octroi de licences de marques et en les menaçant d’une « approche nucléaire de la terre brûlée » s’ils ne se conformaient pas.
Automattic a ensuite riposté avec sa propre lettre de cessation et d’abstention accusant WP Engine d’enfreindre les utilisations commerciales des marques WordPress et WooCommerce et affirmant avoir créé une entreprise générant des revenus de 400 millions de dollars grâce à l’utilisation non autorisée du nom WordPress.
Sites Web et utilisateurs exposés
Oliver Sild de Patchstack a confirmé à Breachtrace que les sites hébergés sur WP Engine ne reçoivent actuellement pas de mises à jour de WordPress.org, laissant les utilisateurs finaux dans une position vulnérable.
Le chercheur en sécurité a commenté que des problèmes de sécurité importants sur les thèmes et plugins WordPress sont découverts quotidiennement. Lorsqu’un correctif est prêt, WordPress peut appliquer automatiquement la mise à jour avec le correctif, évitant aux administrateurs la peine de rechercher de nouvelles versions et de les installer.
Patchstack a décidé d’arrêter de publier de nouvelles vulnérabilités jusqu’à ce que le problème soit résolu, afin d’empêcher les pirates d’obtenir des informations qu’ils pourraient exploiter contre des sites Web non protégés hébergés sur WP Engine.
WordPress.org a confié la responsabilité de résoudre les problèmes de sécurité uniquement à WPEngine, conseillant aux utilisateurs qui ont des problèmes de fonctionnalité avec leurs sites de contacter le support de WP Engine.
« La raison pour laquelle les sites WordPress ne sont plus autant piratés est que nous travaillons avec des hôtes pour bloquer les vulnérabilités au niveau de la couche réseau, WP Engine devra répliquer lui-même cette recherche sur la sécurité », explique Mullenweg dans le WordPress.org annonce.
La situation semble compliquée, donc une résolution rapide est peu probable. Dans le même temps, WP Engine formant une équipe de sécurité efficace pour répondre aux exigences des clients assez tôt semble également irréaliste.
Cela dit, les clients de WP Engine peuvent envisager des mesures urgentes lorsqu’ils explorent d’autres options d’hébergement pour leurs sites Web.