Wordpress 2.3 Espiando Seus Usuários

Fabio Mazzarino

Doses Diárias, Internet, Programação, Software Livre - -

Confirmado. A nova versão do Wordpress, um dos blog-engines mais populares do mundo, envia regularmente (a cada 12 horas) informações referentes ao servidor, versões dos plugins instalados, configurações do PHP, Apache, MySQL, aos servidores da Automattic, empresa responsável hoje pelo desenvolvimento do Wordpress e do Akismet.

Infelizmente não existe nenhuma forma simples de se evitar que o Wordpress envie estas informações, muito menos uma opção nas configurações do Wordpress. Quando questionado sobre este assunto na lista WP-Hackers Matt Mullenweg, principal desenvolvedor do projeto, afirmou que não pretende eliminar esta funcionalidade, nem adicionar a opção para desativá-la na administração do Wordpress.

Segundo alguns membros da lista WP-Hackers o armazenamento centralizado de informações sensíveis como versões dos plugins instalados pode ser potencialmente perigoso, dando abertura para uma grande falha de segurança facilmente explorada por pessoas mal intencionadas.

Apesar do barulho, muitos não sabem, mas o filtro anti-spam Akismet envia os mesmos tipos de dados há dois anos. E há muito tempo existem plugins que impedem o Akismet de enviar informações não indesejáveis pela internet.

No mesmo espírito que os plugins de segurança do Akismet já estão disponíveis plugins de seguraça para o Wordpress 2.3, porém estes plugins desabilitam as atualizações de plugins e do Wordpress, uma das grandes novidades do Wordpress 2.3.

• Disable WordPress Plugin Updates
• Disable WordPress Core Updates

Depois de diversas discussões Matt Mullenweg afirmou o pior que poderia ter afirmado (tradução livre):

Se você não confia no wordpress.org, eu sugiro que você tome uma das atitudes:

1. Use um software diferente
   
2. Faça um fork do WordPress
3. Instale um plugin que resolva o problema

Ou seja, chamando os usuários a utilizarem outro software ou mesmo fazer um fork do Wordpress.

No site de notícias Slashdot alguns usuários estão afirmando que não irão instalar a nova versão do Wordpress até que os problemas sejam sanados. Existem, inclusive, propostas para o nome do projeto que resultará do fork do Wordpress. Sugestões como OpenWordPress, ou PrivatePress.

Por outro lado, outros usuários afirmam que os dados enviados não são tão críticos ou sensíveis, afirmando que nada irá mudar e que a maioria dos usuários não vai se importar de ter estes dados armazenados de forma centralizada.

Caso o ‘usuário-médio’ realmente se preocupasse com o envio de informações deste tipo, sistemas operacionais como windows, e…  (não  lembro de nenhum outro agora) não fariam tanto sucesso.

Tags: privacidade, wordpress