Hacer que Facebook se replantee la oportunidad de cambiar las condiciones de usuario puede parecer un éxito, una muestra de poder por parte de una masa de usuarios. Pero eso es marketing, esos mismos usuarios que se negaban a aceptar las nuevas condiciones de uso no sabían en su mayoría ni cuáles eran las anteriores ni cuáles eran las nuevas, y por supuesto no iban a dejar de usar la aplicación. De toda formas creo que la red social conseguirá su propósito por otro camino.
Y ahora me planteo algo un poco más radical, ¿podemos hacer un paralelismo con otro caso que pueda suponer la ruina de una empresa si no hace caso al usuario o si hace lo contrario de lo que los usuarios esperan sin capacidad de reacción?
Acordémonos de Movable-Type cuando decidió que la mejor manera de hacer negocio era hacer que todo el mundo pasara por caja después de haberles regalado el software que usaban. Por dinero o por traición, pero su cuota de mercado disminuyó más de lo que hubieran imaginado nunca.
Ahora esa cuota de mercado (y un poco más) la tiene Wordpress y la empresa que lo sostiene, Automattic, está ganando mucho dinero con la consultoría y la implementación de soluciones basadas en Wordpress, tanto que se ha dedicado a comprar algunos de los servicios más interesantes que se crearon a su alrededor.
Nosotros mismos estamos utilizando Wordpress como aplicación para diversos usos diferentes de un blog por su versatilidad y plugins existentes. Pero los problemas de seguridad empiezan a ser demasiado graves. La frase “Actualiza a WordPress 2.8.1 por seguridad” o similar que yo vanamente esperaba que desapareciera después de la versión 2.8.0 ha vuelto, o mejor dicho, en realidad nunca se fue.
Todos las aplicaciones tienen incidencias de seguridad, y cuánto más se usan más personas localizan fortuitamente o de manera intencionada los puntos débiles para ser utilizados por los spamers de enlaces en internet. No seré yo quien diga de quién es la culpa, pero la realidad es que empieza a ser insostenible.
Actualizar a la última versión de WP, no siempre posible, no es garantía de que los plugins que estamos utilizando no sean vulnerables. Y tampoco podemos siempre aplicar medidas colaterales para que las vulnerabilidades no puedan ser aprovechadas.
Creo que el negocio de Automattic debería dar un giro que procurara limitar las vulnerabilidades tanto propias como de los plugins que se desarrollan y que la propia empresa relaciona y permite descargar asignándoles una confianza en materia de seguridad que probablemente no se han ganado.
Enlazando con el título de este artículo, ¿podrán los usuarios presionar al equipo de desarrollo de Wordpress para que intervenga seriamente en este asunto? O mejor dicho, ¿querrán los usuarios presionar para conseguirlo? ¿Son los usuarios de WP lo suficientemente maduros como usuarios de software para ejercer esta presión (presupongo que deberían)? ¿Es desmedido por mi parte pedir que Automatic se haga corresponsable de la seguridad de los plugins de otros ya que ellos han establecido la forma en que deben desarrollarse?
La licencia de Wordpress dice que la aplicación se entrega “tal cual”, es decir, allá cada cual si la usa (la licencia GPL es perversa pero no por esto). Y cualquier empresa puede realizar consultoría sobre Wordpress, no sólo sus creadores. ¿Deberíamos también nosostros ser corresponsables de la seguridad de la aplicación y los plugins que permiten que hagamos negocio?
Asumiendo que nadie tiene la culpa y nadie tiene por qué hacer nada al respecto, ¿es hora de que algún valiente desarrolle un nuevo CMS para blogs (y mucho más) con la intención de quedarse con parte de la cuota de mercado de Wordpress a costa de sus vulnerabilidades de seguridad, generando un nuevo negocio empresarial a su alrededor?
Es más, ¿no es una buena oportunidad para una empresa añadir a su negocio el servicio de verificación y certificación de plugins para WP. Por una pequeña cuota anual, los usuarios podrían acceder a un repositorio de plugins verificado y certificado por esta empresa independiente. Y por un poco más, un segundo repositorio con plugins parcheados para evitar incidencias de seguridad. Y por un poco más te revisan cualquier plugin que no esté en los repositorios anteriores. Si alguien se decide a montarlo que nos lo cuente.
13 Julio 2009 at 5:54 pm
El problema de la seguridad es algo que por muy perfeccionista que se sea siempre va a estar allí. Cuantos más usuarios tenga una aplicación más problemas de seguridad se encuentran y más interesante es para los spammers.
Pasó lo mismo con Firefox, mientras era un navegador poco utilizado era muy seguro y estable, cuanto más subía la cuota de mercado más subían los fallos de seguridad. No es que no existieran antes, es que simplemente no era rentable para los que hacen negocio con los fallos de seguridad o no estaba siendo auditado por mucha gente.
Si alguien creara ahora otro software de blogs seguramente sería más seguro que Wordpress, hasta que su cuota de uso subiera hasta cifras “interesantes”.
También hay que tener en cuenta que Wordpress está programado un poco “a saco”, eso por un lado hace que programar un plugin sea muy fácil, pero por otro lado hace la aplicación más insegura.
La gracia sería equilibrar la balanza entre seguridad y prestaciones.
13 Julio 2009 at 5:57 pm
Es muy dificil crear un CMS para blog y competir con wordpress o blogger.
Tiene que ser un valiente como tu bien dices.
13 Julio 2009 at 6:10 pm
Uff, esperemos que no nos cobren por usar determinados plugins…
13 Julio 2009 at 6:34 pm
¿y no me decís nada del modelo de negocio de verificar la seguridad de los plugins? :)
13 Julio 2009 at 6:47 pm
ignacio: totalmente. las aplicaciones gratuitas no estan para garantias. y una manera de hacer dinero seria esa.
13 Julio 2009 at 8:42 pm
Esto lo vemos hasta con software cerrado y de pago (sistemas operativos como Windows o Mac OS X por ejemplo), si tu negocio depende de una solución de este tipo tienes que tener alguien que se encargue de velar por la seguridad, asesoría y encargarse de instalar las actualizaciones pertinentes.
13 Julio 2009 at 9:39 pm
Como dicen todos: mientras mas interesante sea para los malos, mas fallo se van a encontrar.
Obviamente que seria bueno que Wordpress mejore su nucleo, y no solo en lo referido a seguridad sino también a prestaciones. Pero es algo gratis y a lo gratis no podemos pedirles nada.
Aun asi hay todavía mucho tiempo hasta que surja alguna aplicación que lo desbanque.
14 Julio 2009 at 12:15 am
Podriamos encontrar muchos modelos de negocios en torno a un cms tan popular como wordpress. Sin duda seria mas que interesante la certificacion de plugins, que aunque no lo comentas creo que seria logico que quienes pagarian estas certificaciones serian los usuarios que los descargaran y no los programadores del plugin. Y que tal encargarse por una cuota moderada de la fastidiosa tarea de aplicar parches y actualizar un blog?
El dinero ya esta hecho ;)
14 Julio 2009 at 12:49 am
Efectivamente estaba pensando en que los clientes serían los usuarios, no los programadores. La parte de gestión de parches y actualizaciones es algo más tediosa aunque más simple, pero no conozco a ninguna empresa que ofrezca el servicio de manera formalizada.
14 Julio 2009 at 9:18 am
Estariamos dispuestos a pgar por ests sevicios? Y si meten ellas presion. Existen aplicaciones que fueron gratis y ahora son de pago y , ¿ha pasado algo?
14 Julio 2009 at 10:37 am
¿Realmente estas pidiendo a Automattic, que te ofrece su software de forma totalmente gratuita, que evite tener fallos de seguridad porque tus proyectos no están preparados para hacer update?
Creo que es una posición demasiado egoísta por tu parte. Piénsalo bien. Estás montando tu negocio a partir de software completamente gratuito, complementándolos con plugins también gratuitos… ¿Y aún eres capaz de exigir?
Si no te gusta/conviene/interesa wordpress, hay miles de CMS en el mercado. Si necesitas alguien al que responsabilizar, elige uno donde pagues una licencia, y tendrás una empresa a la que quejarte… Pero, mientras aproveches el trabajo libre de otras personas, amigo, lo último que deberías hacer es exigir.
O mejor, contratas a un grupo de programadores, y a partir de un buen CMS, creas el tuyo personalizándolo a tu gusto…
Pero claro, es mucho más fácil juntar cuatro plugins en un wordpress, y pa’ lante…
14 Julio 2009 at 1:20 pm
Totalmente de acuerdo con #11.
Otra cosa es que Automattic haga negocio con eso, y ofrezca consultorias y/o auditorías de seguridad, pero no es algo que tu como usuario de su software libre le puedas exigir como empresa ni mucho menos.
15 Julio 2009 at 3:45 am
He vivido momentos en que los sitios con que trabajé en WordPress han caido por algún error; pero también me di cuenta que esos errores se debieron a la no actualizaciones (WordPress o plugins) – remarco y comparto con los que consideran que las vulnerabilidades siempre estarán presenten – aún con eso no dejo de creer que WP sigue siendo el mejor CMS, muy por encima de sus competidores. http://ayudawordpress.com/cual-es-mas-seguro-wordpress-joomla-drupal-movable-type/
Exigir algo a alguien que nos regala, o que nos brinda algo por un precio bajo (regalado)… no lo veo tan maduro, ni tan prudente.
18 Julio 2009 at 5:21 am
Igualmente de acuerdo con #11,12 y 13.
Sería muy desmedido por tu parte pedir que Automatic se haga corresponsable de la seguridad de los plugins de otros. Si una empresa que se anuncia en este blog me diera un mal servicio, porque tendría que culpar al editor de este blog.
La seguridad es un deber compartido, ellos hacen su parte corrigiendo vulnerabilidades y tu actualizando, si eso no te satisface y buscas un ‘celeste’ entonces que te ‘cueste’.
22 Julio 2009 at 11:24 am
Ya han contado en los comentarios un poco del tema, pero creo que hay que puntualizar unas cuantas cosas.
1.- La seguridad.
Si te fijas, a lo largo de la historia siempre se ha dicho que Linux ha tenido muchos más fallos de seguridad que Windows. Y es verdad. Principalmente porque tiene una comunidad de usuarios que, si tienen problemas, los reportan y se arreglan. Sólo hay que ver lo animados que están los foros y la cantidad de recursos que hay en ellos. (http://wordpress.org/support/)
Cuantos más usuarios utilicen un software, más errores se encontrarán, porque la experiencia de uso de cada uno es distinta. Y eso es lo que lo hace grande.
2.- La comunidad de programadores.
En WP existe una comunidad de programadores, absolutamente abierta para todo el mundo, que vela por la seguridad de sus usuarios y les pregunta antes de emprender nuevas acciones. Quizá ese modelo de negocio es el que ha hecho de WordPress un sistema con una comunidad de usuarios tan sólida.
3.- Vulnerabilidades.
Hmmm… Complicado. Hay que luchar contra las vulnerabilidades propias de WordPress (normalmente, algún typo o un olvido que deja abierta una puerta). Pero también hay que luchar contra las vulnerabilidades de Apache, de IIS, de PHP, de MySQL y de MSSQL. La última vulnerabilidad, que ha hecho que la gente tenga que actualizar rápidamente, ha sido un olvido de una función htmlentities(). Qué le vamos a hacer, todavía somos humanos y estas cosas pasan. Debo decir, por tanto, que decir que hay que procurar limitar las vulnerabilidades es exagerado teniendo en cuenta la cantidad de errores que se cometen. Si comparáramos con otros sistemas, probablemente no encontraríamos muchas cosas más seguras.
4.- Actualizaciones.
Las actualizaciones ya no son un coñazo. Actualizar es hacer un simple click. Tanto para el sistema como para los plugins. Si la cosa no te funciona con un click, es que tienes mal configurado tu servidor. Y ahí ya te tienes que plantear si deberías ser mejor usuario de wordpress.com o si deberías hablar con tu proveedor.
5.- Certificaciones de plugins y temas.
Todos los plugins y temas que están en el repositorio de WordPress han pasado por los filtros de verificación y seguridad. Hay dos personas, una para cada sector, dedicadas a revisar y aprobar los temas y plugins para que entren en el repositorio oficial. Si instalas algo que no esté en el repositorio, como se suele decir, lo haces at your own risk, porque lo haces sin garantías.
Si eres usuario de WordPress.com no tendrás problemas, ya que sólo puedes utilizar plugins y temas que estén en el repositorio oficial.
Creo que estas puntualizaciones son necesarias para terminar de entender lo que has escrito :).