La nueva versión 2.3 de Wordpress ha sido liberada ayer, sin embargo incluye una característica que envía datos de tu blog y los plugins que tienes instalados hacia Wordpress.org, sin que lo hayas autorizado.
Una de las nuevas características de WordPress 2.3 es la notificación de nuevas versiones en los plugins que has instalado en tu blog.
Esta característica es muy valiosa, te permite estar al día con WordPress y los plugins, reduciendo así los riesgos de seguridad, si estas notificaciones son atendidas a tiempo.
La controversia ha surgido en las lista de correo wp-hackers cuando alguien ha cuestionado la razón de que sea enviada la URL del blog para verificar actualizaciones, haciendo referencia al archivo /wp-admin/includes/update.php:
$http_request .= 'User-Agent: WordPress/' . $wp_version . '; ' . get_bloginfo('url') . "\r\n";
Luego, otra persona reporta que no sólo envía la URL del blog que verifica las versión de WordPress y sus plugins, sino que también se transmite toda la información de los plugins incluyendo nombre, versión, descripción y url del plugin.
Para nuestro sitio, toda esa información ocupa unos 13Kb; pareciera poco pero cualquier buen desarrollador sabe que enviar un paquete de tal tamaño solo para comprobar las versiones de plugins es muy ineficiente.
¿Por qué enviar toda esa información de los plugins, cuando realmente lo que importa el nombre del plugin?, ¿Enviar toda esa información junto a la URL del blog no es un riesgo a la privacidad?
Más allá de la paranoia de si un hacker puede afectarnos sabiendo estos datos, se trata de cuestionar ¿Por qué WordPress y Automattic están recolectando toda esa información de los blogs, junto con un identificador como la URL del blog?
Aún cuando puedan surgir ideas interesantes de la recolección de todos estos datos, ¿Por qué se envía a url del blog? Todo parece indicar que deberemos leer las políticas de privacidad antes de continuar blogueando.
Si bien es cierto, la URL del blog no consiste en un riesgo y es algo que muchos queremos dar a conocer; este pareciera ser el primer paso a la recolección de datos de los bloggers.
Asusta más cuando el líder del proyecto, Matt Mullenweg, devuelve este tipo de respuestas, en vez de razones con fundamento:
If you don’t trust wordpress.org, I suggest you do one of the following:
1. Use different software.
2. Fork WordPress.
3. Install one of the aforementioned plugins.
Incluso varios desarrolladores de WordPress han expresado su preocupación por la inclusión de la url del blog en un proceso tan sencillo. Para aquellos que no confían en Automattic y WordPress.org, queda la opción de instalar los plugins que desactivan esta característica.
¿Será hora de darle una oportunidad a Habari, Typo (basado en Ruby), o incluso la versión Open Source Movable Type 4, ya que Matt está tomando malas decisiones?
[…] 2.3 nos espía? Parece que Matt ha decido recolectar información de los blogs aprovechando la liberación de WordPress 2.3. ¿Beware? This entry was written by Javier Aroche […]
Chales!!.. esto mejor deberian ponerlo opcional para que wordpress creara un sitio donde estuviesen una lista de blogs que usan wordpress… pero bueno, no dudo que pronto saldra un articulo donde se venga el desbloqueo de esta opcion antes de hacer el upgrade o instalar wordpress…
y una observacion.. el titulo esta mal escrito..
Worpdress 2.3 y tu privacidad
no es Worpdresss.. es WordPress.. xD
saludos! =)
Gracias por el aviso, un PEBKAC jejeje.
Para desactivar el sistema de actualizaciones solo debes pasar limpiando
/wp-admin/includes/updates.phpy/wp-includes/updates.php😀[…] todos modos, resultan muy interesantes las preguntas que se hace Javier Aroche en Maestros del Web. ¿qué es esto? Se lee en 1’28 minutos | Ver los enlaces a este post | […]
[…] WordPress 2.3 y tu privacidad […]
Mmmmm interesante pero eso de la privacidad es importante gracias por los consejos javier y makesurfer lo tomaremos en cuenta y por cierto buen tema.
De acuerdo totalmente. Se ha criticado mucho que la función no sea opcional, y que no se pida permiso del usuario para hacer la transferencia de información, dos fallos gravísimos en un software tan ampliamente utilizado, aunque las intenciones tal vez sean buenas. Sin embargo, les ha fallado la diplomacia con los que utilizamos el software. No dudo que pronto harán algunas aclaraciones al respecto. A propósito, dicen que la nueva versión de Movable Type está mucho mejor que WordPress, y Pivot está por sacar su versión 2.0, con soporte para bases MySQL y muchas cosas más que no tiene WordPress.
Saludos.
Andrés.
Considero que a pesar de esto también podemos hacer un esfuerzo de MODificar el código fuente que hace que WordPress nos delate. Y seguimos siendo felices.