1 points par GN⁺ 2024-10-14 | 1 commentaires | Partager sur WhatsApp
  • WordPress.org a publié un fork du plugin populaire de WP Engine, Advanced Custom Fields (ACF), sous le nom de « Secure Custom Fields », ce qui accentue le conflit autour du contrôle du plugin
  • Matt Mullenweg a invoqué la suppression des upsells commerciaux et des correctifs de sécurité, mais les problèmes de sécurité précis ne sont pas clairement identifiés
  • Cette décision s’appuie sur la directive 18 du répertoire des plugins, qui permet à l’équipe WordPress de retirer ou modifier un plugin sans l’accord du développeur
  • L’équipe ACF de WP Engine a répliqué sur X que WordPress n’avait jamais auparavant pris un plugin de façon « unilatérale et forcée » sans le consentement de son créateur
  • Les utilisateurs qui ne sont pas clients de WP Engine, Flywheel ou ACF Pro doivent télécharger une fois la version officielle 6.3.8 depuis le site d’ACF pour continuer à recevoir les mises à jour

Comment ACF est devenu Secure Custom Fields

  • WordPress.org a publié un fork du plugin populaire de WP Engine, Advanced Custom Fields (ACF), sous le nom de « Secure Custom Fields »
  • Matt Mullenweg a expliqué que cette mise à jour était un fork du plugin ACF, destiné à « supprimer les upsells commerciaux et corriger des problèmes de sécurité »
  • L’annonce a été faite via un billet sur WordPress.org de Matt Mullenweg, cofondateur de WordPress et CEO d’Automattic
  • « Secure Custom Fields » a été mis en ligne sur la page du plugin Advanced Custom Fields de WordPress.org

La directive 18 et le conflit juridique

  • Mullenweg a justifié cette décision par la directive 18 du répertoire des plugins, qui autorise l’équipe WordPress à retirer ou modifier des plugins sans l’accord du développeur
  • Cette décision est liée à la plainte en justice récemment déposée par WP Engine contre Mullenweg et Automattic
  • Mullenweg a expliqué que des situations comparables s’étaient déjà produites, mais jamais à cette échelle, et qu’il s’agissait d’une « situation rare et inhabituelle » provoquée par l’attaque judiciaire de WP Engine
  • Il a aussi ajouté qu’il ne pensait pas que la même chose arriverait à d’autres plugins

Une portée des correctifs de sécurité peu claire

  • Mullenweg a dit vouloir corriger des problèmes de sécurité, mais il n’est pas clair de quels problèmes de sécurité il s’agit
  • Cette mise à jour est décrite comme une mise à jour « minimale »
  • La justification des modifications du plugin repose sur la suppression des upsells commerciaux et la correction de problèmes de sécurité

Réponse de l’équipe ACF de WP Engine et démarches pour les utilisateurs

  • L’équipe ACF de WP Engine a répondu sur X que WordPress n’avait jamais pris un plugin de façon unilatérale et forcée sans l’accord de la personne qui l’avait créé
  • L’équipe ACF a ensuite indiqué une procédure de mise à jour distincte pour les utilisateurs qui ne sont pas clients de WP Engine, Flywheel ou ACF Pro
    • ils doivent se rendre sur le site d’ACF
    • ils doivent suivre la procédure publiée précédemment par ACF
    • ils doivent télécharger une fois la version officielle 6.3.8 pour continuer à recevoir les mises à jour

Le rôle du plugin ACF

  • ACF est un plugin qui permet aux créateurs de sites web d’utiliser des champs personnalisés lorsque les champs standard existants ne suffisent pas
  • Selon la présentation d’ACF, les champs personnalisés existent déjà comme fonctionnalité native dans WordPress, mais ne sont « pas vraiment conviviaux »

1 commentaires

 
GN⁺ 2024-10-14
Avis sur Hacker News
  • J’ai été contacté aujourd’hui par un client dont je n’avais pas eu de nouvelles depuis cinq ans ; il utilise ACF et un plugin de migration des fichiers uploadés vers S3, acquis par WPEngine
    Cette affaire l’inquiète beaucoup, il se demande quel impact les prochains changements auront sur son activité, et au final il veut quitter WordPress

    • Quand de grandes entreprises essaient d’évaluer les options stables, ce genre de situation est assez courant, et cela nuit non seulement à WordPress, mais aussi à l’open source dans son ensemble
  • WordPress interdisait autrefois les plugins forkés dans son répertoire de plugins, et fait maintenant ce qu’il interdisait aux autres : https://make.wordpress.org/plugins/2021/02/16/reminder-forke...

    • Cet article semble concerner le cas où l’on forke des plugins open source payants
      Le plugin en question a bien été forké, mais il ne semble pas que les fonctionnalités premium soient proposées gratuitement
      Je ne cherche pas à le défendre sur le plan éthique, c’est juste une correction factuelle
    • Ce n’est pas un plugin premium
  • On ne sait pas clairement de quel problème de sécurité Mullenweg parle dans son billet
    Où est le CVE, et quels sont les risques si l’on continue à utiliser le plugin d’origine ? Il n’y a aucun détail
    Cela ne fait que créer une inquiétude : impossible de savoir si l’original est sûr
    La phrase « à partir de maintenant, Secure Custom Fields est un plugin non commercial » signifie-t-elle que WordPress pourrait viser la source de revenus de WPEngine ?
    S’il existait une option Pro, cette partie est peut-être en source fermée, et il n’est pas clair qu’elle soit absente de la base de code forkée par WordPress : https://www.advancedcustomfields.com/pro/

    • Les différences montrant ce qui a changé sont ici : https://plugins.trac.wordpress.org/changeset?new=3167679%40a...
    • J’ai l’impression que cette inquiétude est précisément le résultat recherché par Matt
      Il semble vouloir effrayer les clients de WPEngine pour les pousser à quitter le service, et cela ressemble désormais à une guerre personnelle
    • Si je comprends bien, ACF a injecté un avis dans les tableaux de bord de tout le monde pour défendre ses intérêts juridiques
      Je ne serais pas surpris que cela constitue une violation
    • Comme WordPress est sous licence GPL, tous les plugins doivent avoir une licence compatible GPL
      Cela vaut aussi pour ACF Pro
  • Le retournement approprié, ici, serait que WPEngine trouve au moins un tiers de confiance et crée avec lui une fondation pour forker WordPress avec succès

    • À l’origine, toute cette affaire n’a-t-elle pas commencé parce qu’Automattic se plaignait que WPEngine concurrençait gratuitement WordPress sans contribuer beaucoup à son développement ?
    • Je pense que Matt accueillerait même plutôt favorablement cette idée
      Son grief est que WP Engine ne contribue pas à WordPress ; s’ils décident de maintenir un fork et son infrastructure, ils ne seront plus des passagers clandestins
      À mon avis, Automattic serait aussi contente qu’ils forkent
  • Même si un compromis émerge de ce bazar créé par Matt, j’ai peur que les dégâts causés à la communauté soient déjà irréversibles
    Il semble n’être qu’une question de temps avant que s’effondre la popularité d’une plateforme célèbre que presque tout le monde utilisait d’une manière ou d’une autre

    • Pour le meilleur ou pour le pire, en étant optimiste, cela pourrait être une bonne chose
      WordPress a beaucoup apporté à Internet pendant des années, mais une grande partie de cet héritage, ce sont aussi des sites compromis et des problèmes de sécurité
      Si cette affaire mène à la naissance ou à la popularisation d’outils modernes et sûrs, le bilan pourrait être positif pour tout le monde
    • Cela rappelle un peu la manière dont Drupal a commencé à s’effacer lors de l’affaire Larry Garfield
      Bien sûr, avec de longs signes avant-coureurs avant qu’un incident célèbre ne fasse tout exploser, mais on voit peut-être déjà des signaux similaires pour WordPress
    • Cela dépend de la qualité de leur réponse en relations publiques
      Jusqu’ici, ce que l’on voit de leur communication n’est pas très bon
    • Tant mieux
      WordPress n’est que le plus grand des nains
  • Leurs conseils juridiques sont soit excellents, soit catastrophiques, soit ils ignorent tout simplement leurs avocats

    • Ils ont aussi la pire équipe social media que j’aie vue jusqu’ici : https://x.com/WordPress/status/1845121130207535524
    • Certaines personnes pensent être au-dessus des lois
      Ce Matt semble ne pas avoir toute sa tête
    • L’une des déclarations d’Automattic a été faite par Neal Katyal, ancien assistant acting attorney general des États-Unis
      Le problème semble donc plus probablement venir du client lui-même
    • Même si la situation est beaucoup moins grave que cela, la direction de WordPress devrait probablement écouter un peu plus ses avocats
  • Mullenweg détourne les utilisateurs existants via une attaque sur la chaîne d’approvisionnement

    • Je ne vois pas où est la partie « attaque »
      Je pensais que c’était central dans la définition
  • Ce genre de comportement traîne le nom WordPress dans la boue

    • Ils ont empêché Wpengine de mettre à jour le paquet dans le dépôt, puis les mainteneurs du paquet ont trouvé des problèmes de sécurité, mais comme il était verrouillé, ils ne pouvaient pas les corriger par une mise à jour
      D’une manière étrange, cela se tient
      wp.org s’est retrouvé acculé à devoir boucher lui-même les failles de sécurité ; pour cela, il devait appliquer directement un patch, et donc récupérer le paquet au passage
      C’est choquant, mais c’était probablement mieux que de laisser en place des vulnérabilités de sécurité connues et publiques
  • Maintenant, cela commence simplement à devenir tristement banal
    Dommage qu’il n’existe pas d’alternative comparable dans un écosystème moins capricieux

  • Discussion précédente sur Hacker News : https://news.ycombinator.com/item?id=41821400