Casares.blog

WordPress y los límites de expresión

·

Javier Casares

Esta mañana me he levantado con un pequeño WordPress drama que, directamente, me afecta.

El mensaje está en el canal de WordPress TV del Slack de WordPress global, y básicamente lo que plantea es que digo cosas que no cumplen los estándares de la Comunidad WordPress.

El mensaje es este:

Hey everyone! For once, I’m not popping in for something YouTube related.

This WordCamp video, FAIR: Descentralizando la infraestructura de WordPress, was brought to my attention, as it does not appear to meet the WPTV approval standards.

Is there offensive or incorrect content in the video? If so, do not publish.

The following are a few of the incorrect statements:

  • 06:33 Claim that “behind WordPress there is a foundation that depends on a company”, which conflates operational sponsorship with monopolistic control.
  • 06:48 Claim that WordPress sites “stop working” when WordPress.org is down, which is just factually incorrect.
  • 09:30 Claim that “the project is no longer the community’s… we are working for free for one person.” and the mischaracterization that “the entire WordPress website does not belong to the community, it belongs to one person and their company”, which implies exploitation without acknowledging contributor agency or the voluntary nature of participation.
  • 28:00 Incorrect claim about lack of package integrity verification “when you download the zip, you cannot validate that that zip is actually the one the developer uploaded”, which is incorrect.
  • 31:32 Claim that installing WordPress is “completely illegal” under GDPR, which is also false.
  • 45:09 Mischaracterization of Gravatar as surveillance “Automattic knows all the people who are within a WordPress… every time you call Gravatar, they do know what users there are”, when Gravatar usage is optional and configurable.

Furthermore, the talk is generally disparaging, repeatedly insinuating bad faith and misconduct. This sort of thing is clearly covered in the Community Code of Conduct under “Examples of unacceptable behavior”:

  • Insulting or derogatory comments, taunting or baiting, and personal or political attacks
  • Other conduct which could reasonably be considered inappropriate in a professional setting

As such, I’d like for us to remove the video and also notify Javier. He has another talk scheduled, and the information about FAIR is good, but his delivery is not. If he removes the inaccurate points from his future talk, then that recording can essentially act as a replacement.

El vídeo al que hacen referencia (lo pongo directamente aquí porque no sé si lo habrán quitado o no de WordPressTV) es este:

Me gustaría hacer foco en las cosas que se exponen como que son falsas o que son problemáticas o como se quieran ver, y me gustaría hacer algo que en una charla de una Meetup no se suele poder hacer (incluso, no se debe porque hay muchos de estos detalles que ahora mismo están judicializados) que es entrar en temas profundos de cosas que no van al caso.

Intento ir punto a punto.

Sobre la Fundación WordPress

06:33 Claim that “behind WordPress there is a foundation that depends on a company”, which conflates operational sponsorship with monopolistic control.

Me gustaría separar lo jurídico, lo operativo y lo perceptivo, porque creo que mi claim no es absurdo, pero sí es fácil que se interprete como algo más fuerte de lo que literalmente digo.

Qué es objetivamente cierto

  • WordPress.org y la WordPress Foundation:
    • La WordPress Foundation es una entidad legal independiente (501(c)(3)).
    • Es titular de la marca WordPress y otros activos clave.
  • Dependencia operativa:
    • Infraestructura crítica (wordpress.org, SVN, Trac, releases, etc.) no es financiada ni operada directamente por la fundación.
    • Esa infraestructura depende de forma mayoritaria de recursos aportados por Automattic (servidores, personal, tiempo de empleados).
  • Gobernanza técnica:
    • El liderazgo técnico y estratégico (core, releases, visión) está fuertemente centralizado alrededor de Matt Mullenweg, que es:
      • Fundador de WordPress
      • CEO de Automattic
      • Presidente de la WordPress Foundation

Nada de esto es polémico. Está documentado y reconocido públicamente.

Qué NO estoy diciendo (y conviene aclarar)

Mi claim no implica necesariamente que:

  • Automattic tenga control legal absoluto sobre WordPress.
  • Exista un monopolio formal.
  • La fundación sea una fachada ilegal.

Y esto es importante decirlo explícitamente, porque es donde suele saltar la alarma.

Dónde está el matiz clave: dependencia ≠ monopolio (pero sí poder estructural)

La frase:

“behind WordPress there is a foundation that depends on a company”

no habla de monopolio legal, sino de dependencia estructural.

  • La fundación es independiente en papel
  • Pero en la práctica, su capacidad operativa depende de:
    • Infraestructura
    • Personal
    • Decisiones estratégicas que provienen, directa o indirectamente, de una sola empresa

Eso crea lo que en gobernanza se llama centralización de poder por dependencia operativa. No monopolio, pero sí asimetría real de poder.

Por qué esta distinción importa

Desde el punto de vista de proyectos abiertos y FAIR:

  • Un proyecto puede ser open source y aun así:
    • Tener un single point of failure
    • Carecer de neutralidad efectiva
  • Cuando confluyen en el mismo actor:
    • Marca
    • Infraestructura
    • Liderazgo
    • Recursos humanos

Entonces la independencia es frágil, aunque legalmente exista. Eso es exactamente el tipo de situación que FAIR intenta visibilizar.

WordPress deja de funcionar

06:48 Claim that WordPress sites “stop working” when WordPress.org is down, which is just factually incorrect.

Cuando WordPress.org tiene problemas (como ya ha pasado antes en alguna ocasión):

  • No hay:
    • Notificaciones de actualizaciones (core, themes, plugins)
    • Comprobaciones de versiones
  • No se pueden:
    • Instalar plugins/themes desde el admin
    • Actualizar desde el admin
  • Dependencias directas (las dos más clave que se me ocurren):
    • api.wordpress.org
    • downloads.wordpress.org
  • Impacto en seguridad:
    • No recibir avisos de vulnerabilidades
    • Retraso en parches críticos

Eso afecta al funcionamiento real del sistema, aunque el HTML siga saliendo. Decir “that’s factually incorrect” ignora que:

  • Seguridad ≠ frontend uptime
  • Mantenimiento ≠ page rendering
  • Operación ≠ HTTP 200

Un sistema que:

  • No puede actualizarse
  • No puede recibir avisos de seguridad
  • No puede instalar extensiones

no está funcionando plenamente, aunque responda.

La web de Matt

09:30 Claim that “the project is no longer the community’s… we are working for free for one person.” and the mischaracterization that “the entire WordPress website does not belong to the community, it belongs to one person and their company”, which implies exploitation without acknowledging contributor agency or the voluntary nature of participation.

Es objetivamente cierto que Matt Mullenweg ha afirmado en varias ocasiones, especialmente a raíz del conflicto legal con WP Engine, que:

  • wordpress.org es de su propiedad personal
  • No de la WordPress Foundation
  • No de una entidad comunitaria

Por qué eso afecta al concepto de “proyecto de la comunidad”

Cuando están en manos de una persona física

  • La infraestructura central
  • El dominio principal
  • Los servicios críticos

entonces el proyecto puede ser:

  • Open source en código
  • Comunitario en contribuciones

pero no lo es en control efectivo.

Esto no es un juicio moral, es una descripción estructural.

Y sobre “participation is voluntary, there is no exploitation”, este argumento no responde a lo que estoy diciendo. Yo no afirmo coerción, sino asimetría.

  • Las contribuciones son voluntarias, sí…
  • Pero el valor generado colectivamente:
    • Refuerza una plataforma
    • Controlada por una persona
    • Que además es CEO de una empresa (que se llama igual .com) con intereses comerciales directos

Eso es una realidad económica, no una acusación de explotación ilegal.

Agencia del contribuidor ≠ neutralidad del proyecto

Reconocer que:

  • Nadie está obligado a contribuir
  • Y la gente elige hacerlo

no invalida que:

  • El poder de decisión final
  • El control de marca e infraestructura
  • La capacidad de veto

estén concentrados. Ambas cosas pueden ser ciertas al mismo tiempo.

Validación de paquetes (supply-chain)

28:00 Incorrect claim about lack of package integrity verification “when you download the zip, you cannot validate that that zip is actually the one the developer uploaded”, which is incorrect.

Cuando un usuario descarga un ZIP de WordPress.org (hasta donde yo sé):

  • No se publica un checksum (SHA256, SHA512, etc.)
  • No se valida automáticamente el ZIP contra un hash conocido
  • El usuario no tiene forma estándar de verificar:
    • Que el ZIP que descarga hoy
    • Que sea idéntico al que descargó ayer
    • o al que el autor subió originalmente

HTTPS ≠ checksum verificable. Esto es un hecho, no una opinión.

El modelo actual es «Confía en que WordPress.org te sirve lo correcto«. No hay:

  • Transparencia criptográfica
  • Firma del autor
  • Cadena de confianza verificable

Eso significa que WordPress.org es un punto de autoridad único. Y lo que ocurrió con ACF demuestra por qué esto importa.

  • Automattic retiró el acceso del desarrollador original al repositorio.
  • El plugin siguió existiendo bajo control distinto.
  • Los usuarios:
    • Recibieron ZIPs
    • Actualizaciones
    • Código desde la misma URL
  • Sin ningún mecanismo técnico para verificar:
    • Cambio de autoría
    • Cambio de pipeline
    • Cambio de intención

Eso no requiere un MITM clásico. Es un MITM estructural: el intermediario legítimo cambia el contenido.

WordPress y el RGPD

31:32 Claim that installing WordPress is “completely illegal” under GDPR, which is also false.

Instalar WordPress no es ilegal per se bajo GDPR. El problema no es la instalación, sino el comportamiento por defecto del software.

  • WordPress realiza comunicaciones salientes automáticas a:
    • api.wordpress.org
    • downloads.wordpress.org
    • Otros endpoints (stats, update checks, translations)
  • En esas comunicaciones se envían datos como:
    • Dominio
    • Versión de WordPress
    • Versión de PHP
    • Idioma
    • Lista de plugins/themes (en algunos contextos)
  • No hay:
    • Opt-in explícito
    • Pantalla de consentimiento
    • Opción clara de desactivación total

Todo esto, desde el RGPD, sí es problemático.

Por qué esto puede violar el RGPD en ciertos contextos

Bajo el RGPD:

  • El dominio puede ser dato personal (ej. empresa-familiar.es)
  • La combinación de:
    • Dominio
    • IP
    • Metadatos técnicos que puede identificar a una persona física o jurídica pequeña.

Además:

  • El administrador del sitio no es informado claramente
  • No hay base legal explícita documentada
  • No hay mecanismo de consentimiento
  • No hay alternativa funcional sin telemetría

Eso puede poner al responsable del sitio en una situación de incumplimiento, no al revés. Y que no te tomen el pelo con que no es telemetría, sino simples sistemas de verificación o de actualización.

  • No importa cómo lo llames
  • Importa:
    • Qué datos salen
    • A dónde
    • Con qué base legal
    • Si el usuario puede negarse

Si no puedes desactivarlo completamente sin romper funcionalidad, no es opcional.

Gravatar integrado por defecto

45:09 Mischaracterization of Gravatar as surveillance “Automattic knows all the people who are within a WordPress… every time you call Gravatar, they do know what users there are”, when Gravatar usage is optional and configurable.

  • Gravatar viene activado por defecto en WordPress
  • No requiere:
    • Opt-in explícito
    • Aceptación informada
  • En el primer login al admin:
    • WordPress hace llamadas a gravatar.com
    • Basadas en el email del usuario (hash MD5)
  • Esto ocurre aunque el sitio no use comentarios, solo por:
    • Perfil de usuario
    • Listado de usuarios
    • Barra de administración
    • Dashboard

Esto es un hecho.

“Optional and configurable” no invalida el problema

Decir “Gravatar usage is optional and configurable” es técnicamente cierto pero irrelevante para privacidad por defecto. Teniendo en cuenta el RGPD (privacy-by-design):

  • Lo que importa es:
    • Estado por defecto
    • Momento de la primera transmisión
  • No vale:
    • “You can turn it off later”
    • “There’s a setting somewhere”

Si los datos ya salieron, la opción posterior no repara nada.

Qué datos puede correlacionar Automattic

Aunque Gravatar solo reciba:

  • Hash MD5 del email
  • IP
  • User-Agent
  • Referer (dominio)

Eso permite:

  • Saber que:
    • Ese email (o su hash)
    • Ha accedido al admin de example.com
  • Correlacionar:
    • Usuario ↔ dominio ↔ momento temporal
  • Cruzarlo con:
    • Cuentas WordPress.com
    • Actividad previa de Gravatar
    • Otros servicios de Automattic

No hace falta “leer el email en claro” para que esto sea dato personal correlacionable.

Por qué “surveillance” es una palabra peligrosa

Literalmente:

  • No es spyware
  • No es tracking activo estilo analytics

Pero funcionalmente:

  • Es telemetría pasiva
  • Es observación centralizada
  • Sin consentimiento explícito
  • En un contexto (admin login) especialmente sensible

Por eso, aunque surveillance sea retóricamente fuerte, la preocupación no es inventada.

Forma, fondo y por qué esta discusión importa

A lo largo de esta explicación han aparecido varias críticas a mis afirmaciones. En muchos casos, esas críticas señalan algo real: el lenguaje fue demasiado absoluto o retóricamente fuerte. Eso es justo (y quien me conoce sabe que es mi forma de expresión habitual en cualquiera de mis charlas). Pero corregir la forma no invalida el fondo.

En ninguno de los puntos analizados el problema real es si WordPress “se cae”, si algo es “ilegal” en abstracto o si existe una conspiración. El problema es otro, mucho más estructural:

WordPress funciona sobre un modelo de confianza altamente centralizado.

Ese modelo se manifiesta de distintas formas:

  • Una fundación legalmente independiente pero operativamente dependiente
  • Infraestructura crítica y dominio principal bajo control privado
  • Dependencia de servicios centrales para actualizaciones, seguridad y distribución
  • Un sistema de distribución sin verificación criptográfica independiente
  • Telemetría saliente activada por defecto, sin opt-in claro
  • Servicios como Gravatar que exponen correlación de datos por diseño

Nada de esto implica mala fe. Nada de esto niega que el código sea open source. Nada de esto invalida la agencia voluntaria de quienes contribuyen.

Pero todo ello sí cuestiona la narrativa de que WordPress sea, en la práctica, un proyecto comunitario plenamente neutral, descentralizado y verificable.

Cuando un proyecto depende de un único intermediario para

  • Infraestructura
  • Identidad
  • Distribución
  • Gobernanza efectiva

entonces la confianza deja de ser opcional y pasa a ser obligatoria.

Y eso es exactamente lo que iniciativas como FAIR intentan poner sobre la mesa: no acusaciones, sino preguntas incómodas sobre diseño, poder y responsabilidad.

Si algo demuestra esta polémica no es que WordPress sea «malo», sino que su éxito ha superado su modelo de gobernanza original. Lo que fue aceptable cuando el proyecto era pequeño, hoy introduce fricciones técnicas, legales y comunitarias que ya no pueden ignorarse.

La discusión no debería cerrarse diciendo «esto siempre ha funcionado así», sino preguntando:

¿Sigue siendo este el modelo adecuado para un proyecto del tamaño e impacto de WordPress?

Esa pregunta no es hostil. Es necesaria.

Comments

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *