Ten post dostępny jest także w języku:
WordPress w ostatnim czasie (wprowadzanie usług takich jak gravatar, hardkodowane odwołania do Google Fonts) przestaje dbać o prywatność użytkowników. Ma to znaczenie w kilku zastosowaniach: np. wśród aktywistów, którzy chcą założyć stronę dotyczącą spraw o które walczą; dotyczy też użytkowników WP z Polski, którzy z tego właśnie względu mają problemy z wyświetlaniem polskich liter na swoich stronach. Zastosowań jest znacznie więcej, wniosek jest jeden: Instancja WordPressa po instalacji nie powinna łączyć się z żadnym serwerem poza swoim hostem.
Poświęciłem sporo czasu na badanie tego typu problemów. Część z nich ma swoje rozwiązania, jednak często nie są one pełne. Znajdziemy wtyczkę, która wyłącza wszelkie odwołania do Google Web Fonts, jednak wtedy tracimy ładne czcionki zarówno z kokpitu jak i z postów – musimy wprowadzać je ręcznie. Przynajmniej w przypadku kokpitu nie jest to zadanie proste. Odbyłem też kilka rozmów z aktywnymi programistami, którzy na co dzień wykorzystują WP i dostrzegają problem.
Pojawił się wniosek uzupełniający ten postawiony we wstępie: Trzeba WordPressa do tego stanu doprowadzić. Jest zatem plan na projekt stworzenia dystrybucji WordPressa wolnej od zagrożeń prywatności, które obecnie WP ze sobą wnosi na nasze serwery.
Taki fork ma swoje uzasadnienie nie tylko w przypadku użytkowników prywatnych i aktywistów. Ma też spore znaczenie dla zastosowań biznesowych. WordPress świetnie sobie radzi w realizacji nawet skomplikowanych procesów i modeli, jednak by przetwarzać cudze dane trzeba mieć pewność, że nie wypływają one nigdzie indziej.
Podstawowe cele forka:
- usunięcie wszelkich odwołań do zewnętrznych serwerów
- udostępnienie możliwości korzystania z własnych repozytoriów wtyczek
- wprowadzenie ustawień zwiększających bezpieczeństwo WP
Jak będzie wyglądał rozwój
Pierwszym krokiem będzie stworzenie forka obecnego wydania i usunięcie z niego odwołań zarówno do gravatar.com jak i Google Web Fonts. W te miejsca muszą wejść: pole do wysłania na serwer własnego avatara oraz czcionki hostowane lokalnie na serwerze.
Taka wersja każdego wydania będzie pojawiała się wkrótce po każdej nowej, oficjalnej paczce WordPressa. Kolejnym krokiem będzie pojawienie się wtyczki, która wykona wyżej wymienione działania na istniejących już instancjach.
Dalsze prace to wzmacnianie bezpieczeństwa WordPressa (np. problematyczne xmlrpc, domyślnie włączone) oraz wprowadzenie obsługi własnych repozytoriów wtyczek, wraz z oprogramowaniem do ich prowadzenia.
Ten post ma charakter manifestu i opisuje działania, które chcę podjąć w najbliższym czasie. Wszelkie ich wyniki będą pojawiały się na moim GitHubie. Gorąco zachęcam Was do kontaktu i podjęcia współpracy (dane znajdziecie po lewej stronie).
AKTUALIZACJA: Dzięki za Wasze maile i zainteresowanie! Możecie także dołączyć do dyskusji w serwisie Diaspora* lub Reddit (dzieki Fabián!).