WordPress y el presunto espionaje de sus usuarios

Ya estamos, era cuestión de tiempo y aunque no me gusta decirlo (suena muy prepotente) “lo sabía”. Sabía que en cuánto saliese WordPress 2.3 empezarían las insinuaciones de espionaje.

WordPress 2.3 incluye como una de sus nuevas características el informarte de las nuevas versiones de éste CMS y de los plugins que tienes instalados.

El problema es que, se quiera o no, para informarte de que nuevos versiones hay de plugins deben saber qué plugins tienes. Lo cierto es que hay gente en la lista de wp-hackers preocupada por la información que los blogs envían a Automattic.

En cierto modo es comprensible: esa información puede usarse de forma inocua para fines estadísticos o puede ser un perfil casi perfecto de la configuración del blog y por tanto de sus posibles vulnerabilidades.

Sergi además menciona la discusión originada en Slashdot bajo el nombre “medio amarillista” (medio porque es normal preguntarse estas cosas) de ¿Wordpress 2.3 “espía” a sus usuarios?.

Incluso han aparecido dos plugins que desactivan esta funcionalidad:

• Disable WordPress Core Update
• Disable WordPress Plugin Updates

Pero aunque lo veía venir, no me esperaba la reacción de Matt Mullenweg que por un lado me parece lógico su mosqueo pero por otro lo único que hace es añadir más leña al fuego:

If you don’t trust wordpress.org, I suggest you do one of the following:

1. Use different software.
2. Fork WordPress.
3. Install one of the aforementioned plugins.

En castellano:

Si no os fiáis de wordpress.org os sugiero hacer una de las siguientes cosas:

1. Usar un software diferente.
2. Crear un fork de WordPress (una ramificación/proyecto paralelo).
3. Instalar uno de los plugins ya comentados.

Ahora bien la noticia de Slashdot ha sido etiquetada en una actualización posterior como “just wrong” (incorrecta y punto) ya que no es cierto que se envíen “dumps” enteros de $_SERVER o los datos de configuración de PHP/MySQL.

La verdad es que si no llego a leer la actualización, se me hubieran puesto de corbata. Una cosa es decir qué versión del plugin X usas para que te puedan decir que hay una nueva versión y otra que le digas hasta la marca de calzoncillos que usas…

22 Comentarios

1. Sergi:
   

   Es cierto que la entrada de Slashdot es *MUY* alarmista, de hecho está diseñada para generar controversia, y de hecho como dices no se envía tu configuración y demás, pero como decía en el artículo, creo que a la gente lo que le ha molestado han sido las evasivas de Matt sobre lo que se puede hacer con los datos que se recopilan.

   Otra de las preguntas que hay de fondo es que las actualizaciones se pueden gestionar sin enviar esa información, por lo que todavía queda más en cuestión para qué se va a usar la información recopilada.

   Martes, 25 de Septiembre/2007 @ 21:39

2. joshua:
   

   no entendi muy bien amigo, para tener mas privacidad es necesario instalar esos dos plugins?

   saludos :)

   Martes, 25 de Septiembre/2007 @ 22:00

3. joshua:
   

   a ya entendi :D

   Martes, 25 de Septiembre/2007 @ 22:03

4. Armonth:
   

   Sergi lo iba a poner pero esa es otra: con enviar el nombre de los plugins a usar sobra y luego se puede comparar en tu propío blog: enviar las versiones usadas no es para nada necesario.

   Martes, 25 de Septiembre/2007 @ 22:11

5. Alex:
   

   A mí me parece inutil el Wordpress core update ya que realmente no hace falta, uno siempre se entera de las actualizaciones.

   Tal vez el de plugins es útil, pero realmente debieron colocar una manera de “apagar” esos notificadores.
   Sinceramente, instalaré esos plugins (pero primero a echarle un ojo, capaz son vulnerables xD)

   Martes, 25 de Septiembre/2007 @ 22:17

6. alex:
   

   Sergi, las preguntas que haces se han respondido[1] y cuestionado muchas veces en el hilo de wp-hackers.

   Aunque particularmente no me importa enviar estos datos (que se mencionan cuáles son desde que se publicó el anuncio oficial), tampoco me parece correcta esa respuesta que dió Matt ayer.

   [1] http://groups.google.com/group/wp-hackers/msg/d248dcbdafc73740

   Martes, 25 de Septiembre/2007 @ 22:26

7. Croc:
   

   No había oido nada de este tema hasta que en la lista de “features” vi la url api.wordpress.org y entonces supuse que ahí podría haber algo. Aunque en ningún momento pensé algo tan alarmista como “espiar”, sí que pensé que si en algún momento los servidores de WP se ven comprometidos, tienen una pequeña puerta (no sé hasta que punto explotable) en todos y cada uno de los wp instalados por todo el mundo.

   Desde luego no les costaba nada haber añadido un par de opciones para poder deshabilitarlo. Seguro que ya hay un ticket para ello y lo veremos en la 2.3.1

   Un saludo!

   Martes, 25 de Septiembre/2007 @ 22:52

8. j_aroche:
   

   Enviar la URL no es malo, pero lo que preocupa son las respuestas del “lider” del proyecto. Me puse a revisar el código de /wp-admin/includes/update.php y vi que el requeste que envía a api.wordpress.org pesa 13KBs ya que incluye hasta las descripciones de los plugins!!

   ¿Eso lo programó matt? cuanta ineficiencia.

   Creo que este el mejor momento para que salga un OpenPress xDDD

   Martes, 25 de Septiembre/2007 @ 22:58

9. aNieto2k:
   

   La función que envia los datos, envia todos los almacenados en la cabecera del plugin, osea versiones (lógico), nombre, url del autor, autor,…
   No me parece nada alarmante, aunque todo el mundo tiene derecho a elegir si lo quiere o no.

   Perdona el SPAM ;)

   Martes, 25 de Septiembre/2007 @ 23:17

10. Alex:
    

    ¿Esta función no consume mucha memoria?

    Martes, 25 de Septiembre/2007 @ 23:19

11. Armonth:
    

    Alex cuando he leído lo de mirar si es vulnerable he tenido que mirar la URL porque pensaba que hablaba con el otro Alex (Alexander de Buayacorp), esto ya es “deformación profesional” u algo xD

    Miércoles, 26 de Septiembre/2007 @ 1:43

12. j_aroche:
    

    Realmente lo que hay que cambiar es:

    $http_request .= 'User-Agent: WordPress/' . $wp_version . '; ' . get_bloginfo('url') . "\r\n";

    por

    $http_request .= 'User-Agent: WordPress/' . $wp_version . '; http://photomatt.net/‘ . “\r\n”;

    y será de probar si el actualizador funciona con tan solo enviar el nombre de los plugins, sin versión y descripción :)

    Miércoles, 26 de Septiembre/2007 @ 3:36

13. aNieto2k:
    

    j_aroche, yo he probado y actualiza, osea te dice que hay versión nueva.

    No me parece una solución muy óptima ya que usando el referer podrían obtener el sitio de donde se hace la consulta. Y volveríamos al problema inicial.

    Miércoles, 26 de Septiembre/2007 @ 8:33

14. Croc:
    

    Referenciandome a mí mismo, y tal y como ya he comentado en el blog de ANieto, ya existe un ticket y parche para esto: http://trac.wordpress.org/ticket/5066

    Estuvo a punto de entrar en 2.3, pero por algún motivo se ha retrasado para la 2.4, ¿extraño, no?

    Miércoles, 26 de Septiembre/2007 @ 10:42

15. eduo:
    

    El problema, por supuesto, ha sido la pésima forma de contestar de Matt. Si hubiera explicado las razones para hacerlo (perfectamente válidas) y que no entró en 2.3 el opt-out no se le hubieran echado encima.

    Si mezclamos la desinformación (hay varios plug-ins y funcionalidades incluidas que publican la dirección del blog o los plugins que tiene) con el alarmismo tenemos estas reacciones desproporcionadas. Para cuando se logran explicar las cosas como son ya se ha hecho el daño en la imagen pública.

    Como leí en tecnorantes, el problema real ha surgido después de la falta de mano izquierda de Matt contestando a algo que todavía era una sospecha y un rurmor y que podría haberse quedado aclarado sin mayores.

    Hay gente que ha comentado que no es necesario publicar la URL del blog. Esta gente obviamente no sabe que en toda petición por HTTP tienes un host originador y un referrer, usualmente casi suficiente para deducir el resto.

    Lo mejor que he visto es gente con su blog en wordpress.com quejándose que wordpress.org no tiene por qué saber lo que hacen o dejan de hacer con su blog. Estos, incorrectos a tantos niveles, aún así hacen suficiente ruido para que los que no entienden qué sucede queden aún más confundidos.

    Sin relación: Es gracioso que hagas la puntualización de que “just wrong” significa “totalmente incorrecto”. Ayer tuve por casualidad esta discusión con un literalista que insistía que debería ser “apenas incorrecta” (o sea, lo opuesto).

    Miércoles, 26 de Septiembre/2007 @ 12:10

16. eduo:
    

    Finalmente me he leído todos los comentarios de Slashdot (estaba claro que usando un filtro alto me estaba perdiendo de algo) y está claro donde ha estado la confusión.

    El post original de Matt era mucho mas mesurado y comprensivo. Explicaba cómo todos llevan años enviando su URL, cómo desactivar la funcionalidad y cómo a nadie que quiera hackearse a nadie le interesa qué plug-ins tiene instalados (es mucho más rápido probar las vulnerabilidades y el resultado es el mismo).

    Lo que se cita como dicho por Matt es una respuesta a un usuario específico de la lista de wp-hackers (que si me llegara a la oficina y no a la casa podría consultar ahora mismo).

    Armonth: A lo mejor quieres cambiar la traducción. Le contesta sólo a Moritz Strübe, no a la comunidad de Wordpress. Es una respuesta específica a un mail en el que Mortiz empezaba a ponerse francamente prepotente pero no debería ser interpretada como un mensaje a toda la comunidad (sólo a la prepotente, si acaso :)

    El comentario que finalmente lo aclara (y ahora ya votado como “insightful”):

    http://yro.slashdot.org/comments.pl?sid=307899&cid=20745305

    Y el mensaje original de Matt (mucho mas tranquilo)

    http://yro.slashdot.org/comments.pl?sid=307899&cid=20745257

    Miércoles, 26 de Septiembre/2007 @ 12:23

17. Kujaku:
    

    Coincido en que Matt ha respondido como si se tratara de un fansub, en plan “si no te gusta, hazlo tu”, es un “me pico y no respiro” que no se le supone a un desarrollador, con lo que a todos nos deja colocados y con los ojos como platos.

    Miércoles, 26 de Septiembre/2007 @ 14:07

18. Armonth:
    

    Siguiendo el offtopic: eduo, yo siempre he oído “totalmente incorrecto” ¿me equivoco?.

    Miércoles, 26 de Septiembre/2007 @ 15:42

19. eduo:
    

    Armonth: No, no. Te doy la razón. Quería decir que conozco gente que en su cabeza lo traduce literal y el significado que creen que tiene es el opuesto.

    A lo que me refería de cambiar la traducción es que Matt no dice “Si no os fiáis”, sino “Si no te fías”. Le está contestando a una persona específica que le está poniendo a parir. El tono no mejora pero al menos es una respuesta a una persona tocandole los bajos, no a la comunidad en plan “Open Letter”.

    Jueves, 27 de Septiembre/2007 @ 9:51

20. David Carrero fdez-Baillo:
    

    Seria un fork una solución ??

    Jueves, 27 de Septiembre/2007 @ 17:14

21. Armonth:
    

    David la respuesta es que seguramente no.

    Lo que sí se podría considerar como una solución y/o método de “forzar” un cambio de dirección sería algún tipo de script o incluso parche (diff) que automatizará algunas tareas (eliminar servicios innecesarios por ejemplo): si esto se hiciera popular, sería una manera de presionar ya que haría ver que muchos usuarios por encima de todo quieren rapidez, seguridad y privacidad.

    Jueves, 27 de Septiembre/2007 @ 22:49

22. Arias:
    

    Yo uso la 2.5 de Wordpress con los dos plugins instalados y sigue comunicándose con api.wordpress.org. La anterior versión hacía lo mismo. Creo que los plugins para impedir esta comunicación no son útiles.
    Corto la comunicación con el cortafuegos.

    Miércoles, 30 de Abril/2008 @ 15:07

Comentarios cerrados