Automattic bloque l'accès de WP Engine aux ressources de WordPress
WordPress.org a interdit à WP Engine d'accéder à ses ressources et a cessé de fournir des mises à jour de plugins aux sites hébergés sur cette plateforme, incitant les utilisateurs concernés à choisir d'autres fournisseurs d'hébergement.
Ce projet open-source affirme que cette décision fait suite à l'altération par WP Engine d'une fonctionnalité essentielle de WordPress à des fins lucratives et au blocage du widget d'actualités du tableau de bord sur des milliers de sites pour empêcher la critique de ses actions d'atteindre les utilisateurs.
Cette mesure, qui s'inscrit dans un conflit croissant entre les deux entités, laisse essentiellement des milliers d'utilisateurs finaux sans mises à jour de sécurité, exposant par extension des millions d'internautes à des potentielles cyberattaques.
« [Si] WP Engine veut contrôler votre expérience WordPress, ils doivent gérer leur propre système de connexion utilisateur, serveurs de mise à jour, répertoire de plugins, répertoire de thèmes, répertoire de motifs, répertoire de blocs, traductions, répertoire de photos, tableau d'offres d'emploi, rencontres, conférences, traqueur de bogues, forums, Slack, Ping-o-matic et vitrine. Leurs serveurs ne peuvent plus accéder gratuitement à nos serveurs. » – WordPress.org
L'action en justice de WP Engine vise principalement Automattic, mais implique également des questions relatives à l'utilisation présumée des ressources de WordPress.org pour nuire à la réputation de l'hébergeur.
Le conflit se dirige vers des ennuis juridiques, Matt Mullenweg, cofondateur de WordPress et PDG d'Automattic, ayant déclaré dans un article de blog que « en attendant leurs réclamations et litiges juridiques contre WordPress.org, WP Engine n'a plus accès gratuitement aux ressources de WordPress.org. »
Un tumulte chez WordPress Le conflit entre WP Engine, WordPress.org et Automattic, propriétaire de WordPress.com et WooCommerce, découle de désaccords sur les contributions au projet open-source WordPress, l'utilisation de la marque et les critiques émanant des dirigeants de ces entités.
WP Engine, un important fournisseur d'hébergement WordPress, a envoyé une lettre de cessation et d'abstention à Automattic après la critique publique de Mullenweg l'accusant de tirer profit de WordPress sans y contribuer suffisamment.
Mullenweg n'a pas hésité à qualifier WP Engine de « cancer pour WordPress » lors d'un événement public.
WP Engine a répliqué en accusant Mullenweg d'essayer de les contraindre à payer des millions pour la licence de marque et les menaçant d'une « approche nucléaire de terre brûlée » s'ils ne se conformaient pas.
Automattic a ensuite riposté avec sa propre lettre de cessation et d'abstention, accusant WP Engine d'enfreindre les usages commerciaux des marques WordPress et WooCommerce et affirmant avoir construit une entreprise générant 400 millions de dollars de revenus grâce à une utilisation non autorisée du nom de WordPress.
Sites et utilisateurs laissés exposés Oliver Sild de Patchstack a confirmé à BleepingComputer que les sites hébergés sur WP Engine ne reçoivent actuellement pas de mises à jour de WordPress.org, laissant les utilisateurs finaux dans une position vulnérable.
Le chercheur en sécurité a commenté que des problèmes de sécurité importants concernant les thèmes et plugins WordPress sont découverts quotidiennement. Lorsque le correctif est prêt, WordPress peut appliquer automatiquement la mise à jour avec le patch, évitant ainsi aux administrateurs de vérifier les nouvelles versions et de les installer.
Patchstack a décidé de suspendre la publication de nouvelles vulnérabilités jusqu'à ce que le problème soit résolu, pour empêcher les hackers d'obtenir des informations qu'ils pourraient exploiter contre des sites non protégés hébergés sur WP Engine.
WordPress.org a placé la responsabilité de résoudre les problèmes de sécurité uniquement sur WP Engine, conseillant aux utilisateurs rencontrant des problèmes de fonctionnalité sur leurs sites de contacter le support de WP Engine.
« La raison pour laquelle les sites WordPress ne sont plus autant piratés est que nous travaillons avec les hébergeurs pour bloquer les vulnérabilités au niveau du réseau, WP Engine devra répliquer cette recherche de sécurité par eux-mêmes, » déclare Mullenweg dans l'annonce de WordPress.org.
La situation semble complexe, rendant une résolution rapide peu probable. En même temps, la formation par WP Engine d'une équipe de sécurité efficace pour répondre aux exigences des clients dans un délai raisonnable semble également irréaliste.
Tout cela dit, les clients de WP Engine pourraient envisager des mesures urgentes en explorant d'autres options d'hébergement pour leurs sites web.
