WordPress と WP Engine の対立:セキュリティの問題へと拡大している

Automattic blocks WP Engine’s access to WordPress resources

2024/09/26 BleepingComputer — WordPress.org は、WP Engine によるリソースへのアクセスを禁止し、このプラットフォームがホストする Web サイトへのプラグイン更新の配信を停止し、その影響を受けるユーザーに対して、他のホスティング・プロバイダーを選択するよう促している。WordPress の主張は、WP Engine が自社の利益のために WordPress のコア機能を変更しているというものだ。さらに、その行動に対する批判がユーザーに届かないようにするために、何千ものサイトでダッシュボードのニュース・ウィジェットをブロックしたことへの対応だと述べている。

この措置が示すのは、2つの組織間で勃発した紛争の現状であり、実質的に何千人ものエンド・ユーザーがセキュリティ更新を受けられないことになる。その結果として、何百万人ものインターネット・ユーザーが、潜在的なハッキングに直面するとになる。

WordPress.org は、「WP Engine が、WordPress エクスペリエンスを制御したいのであれば、さまざまな機能を独自に開発する必要がある。そこに含まれるものには、ユーザー・ログイン・システムやアップデート・サーバに加えて、プラグイン/テーマ/パターン/ブロック/翻訳/写真などのディレクトリがある。さらに言うなら、求人掲示板/ミートアップ/カンファレンス/バグトラッカー/フォーラム/Slack/Ping-o-matic/ショーケースも自身で実行する必要がある。そして、WP Engine のサーバは、当社のサーバに無料でアクセスできなくなる」と述べている。

WP Engine から起こされている法的措置は、主に Automattic に対するものであるが、ホスティング業者の評判を傷つけるために、WordPress.org のリソースが利用されているという問題も含まれている。

この対立は法的トラブルに向かっており、WordPress の共同設立者で Automattic の CEO である Matt Mullenweg は、「WordPress.org に対する法的請求と訴訟が保留中であるため、WP Engine は WordPress.org のリソースに無料でアクセスできなくなった」と、ブログ記事で述べている。

混乱する WordPress

WordPress.com/WordPress.org/WooCommerce の所有者である Automattic と、WP Engine との対立は、WordPress オープンソース・プロジェクトへの貢献や、ブランドの使用などに関する、リーダーたちの意見の相違から生じている。公開イベントで Mullenweg は、WP Engine について “WordPress のガン” とまで表現した。

WordPress から利益を得ながら十分な還元を行っていないという Mullenweg の批判を受けて、大手 WordPress ホスティング・プロバイダーである WP Engine は Automattic に対して通告書を送っている。WP Engine による反撃は、商標ライセンス料として数百万ドルを支払うよう強要する Mullenweg への非難であり、従わない場合には焦土作戦を行うと脅迫しているとも指摘している。

その後に Automattic も通告書で反撃し、WordPress と WooCommerce の商標などを、WP Engine が侵害していると非難し、WordPress の名前を無断で使用して $400 million もの収益を上げるビジネスを築いたと主張している。

無防備なままの Web サイトとユーザー

Patchstack の Oliver Sild は、WP Engineでホストされているサイトは、現時点において WordPress.org からの更新を受け取っていないため、エンド・ユーザーが脆弱な立場に置かれていると、BleepingComputer に対して認めている。このセキュリティ研究者は、「WordPress のテーマとプラグインでは、毎日のように重要なセキュリティ問題が発見されている。そして、それらに対する修正が準備を整えた WordPress が、パッチ付きのアップデートを自動的に適用するため、管理者にとっては、新しいバージョンを確認してインストールする手間が省ける」と述べている。

Patchstack

Patchstack の決定は、WP Engine の問題が解決するまで、新しい脆弱性の公開を停止するというものだ。つまり、ハッカーが悪用できる情報を制限することで、WP Engine でホストされている脆弱な Web サイトを保護しようとしているのだ。その一方で WordPress.org は、セキュリティ問題を解決する責任は WP Engine にあるとし、同サイトで機能上の問題がある場合には、WP Engine のサポートに連絡するようユーザーにアドバイスしている。

WordPress.org としての発表で Mullenweg は、「WordPress サイトがハッキングされなくなったのは、ホストと協力してネットワーク・レイヤーの脆弱性をブロックしているからである。そのセキュリティ対策を、WP Engine は独自に再現する必要がある」と述べている。

状況は複雑であり、迅速な解決は難しいように思える。また、顧客の要求に直ちに対応するために効果的なセキュリティ・チームを、WP Engine が編成することも非現実的に思える。そうは言っても、WP Engine の顧客は、Web サイトのホスティング・オプションを検討する際に、緊急対策を検討する必要があるだろう。

どちらにも言い分があるのでしょうが、セキュリティ・サポートが止まってしまうような展開は、決して褒められたものではありません。どこかに落とし所を見出してほしいと思いますが、もう手遅れなのでしょうか? さしあたって、WP Engine ユーザーが心配です。ご利用のチームは、状況を判断して、ご対応ください。よろしければ、WordPress で検索も、ご利用ください。