WordPress.org, WP Engine’in kaynaklarına erişimini yasakladı ve platformda barındırılan web sitelerine eklenti güncellemeleri göndermeyi durdurdu. Etkilenen kullanıcıları başka barındırma sağlayıcılarını seçmeye çağırdı.
Açık kaynaklı proje, bu adımın WP Engine’in kendi çıkarı için WordPress’in temel bir özelliğini değiştirmesi ve binlerce sitede, eylemleriyle ilgili eleştirilerin kullanıcılara ulaşmasını önlemek için panonun haber widget’ını engellemesine yanıt olarak geldiğini iddia ediyor.
İki kurum arasında çıkan anlaşmazlığın son örneği olan bu hamle, binlerce son kullanıcıyı güvenlik güncellemelerinden mahrum bırakırken, milyonlarca internet kullanıcısını da potansiyel saldırılara karşı savunmasız bırakıyor.
WP Engine’in hukuki eylemi öncelikli olarak Automattic’e karşıdır ancak aynı zamanda WordPress.org kaynaklarının barındırıcının itibarına zarar vermek için nasıl kullanıldığına ilişkin iddialarla da ilgilidir.
Çatışma, WordPress’in kurucu ortağı ve Automattic’in CEO’su Matt Mullenweg’in blog yazısında belirttiği üzere yasal sorunlara doğru ilerliyor; “WP Engine, WordPress.org’a karşı yasal talepleri ve davaları beklerken artık WordPress.org kaynaklarına ücretsiz erişime sahip değil.”
WordPress kargaşada
WP Engine, WordPress.org ve WordPress.com ile WooCommerce’in sahibi olan Automattic arasındaki anlaşmazlık, WordPress açık kaynaklı projesine yapılan katkılar, marka kullanımı ve bu kuruluşların liderlerinin eleştirileri konusundaki anlaşmazlıklardan kaynaklanıyor.
WordPress’in en büyük barındırma sağlayıcılarından WP Engine, Mullenweg’in WordPress’ten yeterince kâr elde etmediği yönündeki kamuoyu eleştirilerinin ardından Automattic’e bir ihtarname gönderdi.
Mullenweg, halka açık bir etkinlikte WP Engine’i “WordPress’in kanseri” olarak tanımladı.
WP Engine, Mullenweg’i kendilerini milyonlarca dolar değerinde ticari marka lisansı ödemeye zorlamakla suçladı ve uymazlarsa “yakıp yıkacak nükleer yaklaşım” ile tehdit etti.
Automattic ise WP Engine’i WordPress ve WooCommerce ticari markalarının ticari kullanımlarını ihlal etmekle suçlayan ve WordPress isminin izinsiz kullanımıyla 400 milyon dolar gelir elde eden bir iş kurduğunu iddia eden kendi ihtarnamesiyle karşılık verdi.
Web siteleri ve kullanıcılar açığa çıktı
Patchstack’ten Oliver Sild, BleepingComputer’a yaptığı açıklamada, WP Engine’de barındırılan sitelerin şu anda WordPress.org’dan güncelleme almadığını ve bu durumun son kullanıcıları savunmasız bir konumda bıraktığını doğruladı.
Güvenlik araştırmacısı, WordPress temaları ve eklentilerindeki önemli güvenlik sorunlarının her gün ortaya çıkarıldığını belirtti. Bir düzeltme hazır olduğunda, WordPress güncellemeyi yamayla birlikte otomatik olarak uygulayabilir ve böylece yöneticilere yeni sürümleri kontrol etme ve yükleme zahmetinden tasarruf sağlar.
Patchstack, bilgisayar korsanlarının WP Engine’de barındırılan korumasız web sitelerine karşı kullanabilecekleri bilgilere ulaşmasını önlemek amacıyla, sorun çözülene kadar yeni güvenlik açıklarını yayınlamayı durdurmaya karar verdi.
WordPress.org, güvenlik sorunlarını çözme sorumluluğunu tamamen WP Engine’e yükledi ve sitelerinde herhangi bir işlevsellik sorunu yaşayan kullanıcıların WP Engine desteğine başvurmalarını önerdi.
Mullenweg, WordPress.org duyurusunda, “WordPress sitelerinin artık eskisi kadar çok saldırıya uğramamasının nedeni, ağ katmanındaki güvenlik açıklarını engellemek için barındırıcılarla birlikte çalışmamızdır. WP Engine’in bu güvenlik araştırmasını kendi başına kopyalaması gerekecektir” diyor.
Durum karmaşık görünüyor, bu nedenle hızlı bir çözüm pek olası değil. Aynı zamanda, WP Engine’in müşteri gereksinimlerine yeterince erken yanıt verecek etkili bir güvenlik ekibi oluşturması da gerçekçi görünmüyor.
Tüm bunların yanı sıra, WP Engine müşterileri web siteleri için diğer barındırma seçeneklerini araştırırken acil önlemleri göz önünde bulundurabilirler.