WordPress.org fork ACF de WP Engine en Secure Custom Fields
(theverge.com)- WordPress.org a publié un fork du plugin populaire de WP Engine, Advanced Custom Fields (ACF), sous le nom de « Secure Custom Fields », ce qui accentue le conflit autour du contrôle du plugin
- Matt Mullenweg a invoqué la suppression des upsells commerciaux et des correctifs de sécurité, mais les problèmes de sécurité précis ne sont pas clairement identifiés
- Cette décision s’appuie sur la directive 18 du répertoire des plugins, qui permet à l’équipe WordPress de retirer ou modifier un plugin sans l’accord du développeur
- L’équipe ACF de WP Engine a répliqué sur X que WordPress n’avait jamais auparavant pris un plugin de façon « unilatérale et forcée » sans le consentement de son créateur
- Les utilisateurs qui ne sont pas clients de WP Engine, Flywheel ou ACF Pro doivent télécharger une fois la version officielle 6.3.8 depuis le site d’ACF pour continuer à recevoir les mises à jour
Comment ACF est devenu Secure Custom Fields
- WordPress.org a publié un fork du plugin populaire de WP Engine, Advanced Custom Fields (ACF), sous le nom de « Secure Custom Fields »
- Matt Mullenweg a expliqué que cette mise à jour était un fork du plugin ACF, destiné à « supprimer les upsells commerciaux et corriger des problèmes de sécurité »
- L’annonce a été faite via un billet sur WordPress.org de Matt Mullenweg, cofondateur de WordPress et CEO d’Automattic
- « Secure Custom Fields » a été mis en ligne sur la page du plugin Advanced Custom Fields de WordPress.org
La directive 18 et le conflit juridique
- Mullenweg a justifié cette décision par la directive 18 du répertoire des plugins, qui autorise l’équipe WordPress à retirer ou modifier des plugins sans l’accord du développeur
- Cette décision est liée à la plainte en justice récemment déposée par WP Engine contre Mullenweg et Automattic
- Mullenweg a expliqué que des situations comparables s’étaient déjà produites, mais jamais à cette échelle, et qu’il s’agissait d’une « situation rare et inhabituelle » provoquée par l’attaque judiciaire de WP Engine
- Il a aussi ajouté qu’il ne pensait pas que la même chose arriverait à d’autres plugins
Une portée des correctifs de sécurité peu claire
- Mullenweg a dit vouloir corriger des problèmes de sécurité, mais il n’est pas clair de quels problèmes de sécurité il s’agit
- Cette mise à jour est décrite comme une mise à jour « minimale »
- La justification des modifications du plugin repose sur la suppression des upsells commerciaux et la correction de problèmes de sécurité
Réponse de l’équipe ACF de WP Engine et démarches pour les utilisateurs
- L’équipe ACF de WP Engine a répondu sur X que WordPress n’avait jamais pris un plugin de façon unilatérale et forcée sans l’accord de la personne qui l’avait créé
- L’équipe ACF a ensuite indiqué une procédure de mise à jour distincte pour les utilisateurs qui ne sont pas clients de WP Engine, Flywheel ou ACF Pro
- ils doivent se rendre sur le site d’ACF
- ils doivent suivre la procédure publiée précédemment par ACF
- ils doivent télécharger une fois la version officielle 6.3.8 pour continuer à recevoir les mises à jour
Le rôle du plugin ACF
- ACF est un plugin qui permet aux créateurs de sites web d’utiliser des champs personnalisés lorsque les champs standard existants ne suffisent pas
- Selon la présentation d’ACF, les champs personnalisés existent déjà comme fonctionnalité native dans WordPress, mais ne sont « pas vraiment conviviaux »
1 commentaires
Avis sur Hacker News
J’ai été contacté aujourd’hui par un client dont je n’avais pas eu de nouvelles depuis cinq ans ; il utilise ACF et un plugin de migration des fichiers uploadés vers S3, acquis par WPEngine
Cette affaire l’inquiète beaucoup, il se demande quel impact les prochains changements auront sur son activité, et au final il veut quitter WordPress
WordPress interdisait autrefois les plugins forkés dans son répertoire de plugins, et fait maintenant ce qu’il interdisait aux autres : https://make.wordpress.org/plugins/2021/02/16/reminder-forke...
Le plugin en question a bien été forké, mais il ne semble pas que les fonctionnalités premium soient proposées gratuitement
Je ne cherche pas à le défendre sur le plan éthique, c’est juste une correction factuelle
On ne sait pas clairement de quel problème de sécurité Mullenweg parle dans son billet
Où est le CVE, et quels sont les risques si l’on continue à utiliser le plugin d’origine ? Il n’y a aucun détail
Cela ne fait que créer une inquiétude : impossible de savoir si l’original est sûr
La phrase « à partir de maintenant, Secure Custom Fields est un plugin non commercial » signifie-t-elle que WordPress pourrait viser la source de revenus de WPEngine ?
S’il existait une option Pro, cette partie est peut-être en source fermée, et il n’est pas clair qu’elle soit absente de la base de code forkée par WordPress : https://www.advancedcustomfields.com/pro/
Il semble vouloir effrayer les clients de WPEngine pour les pousser à quitter le service, et cela ressemble désormais à une guerre personnelle
Je ne serais pas surpris que cela constitue une violation
Cela vaut aussi pour ACF Pro
Le retournement approprié, ici, serait que WPEngine trouve au moins un tiers de confiance et crée avec lui une fondation pour forker WordPress avec succès
Son grief est que WP Engine ne contribue pas à WordPress ; s’ils décident de maintenir un fork et son infrastructure, ils ne seront plus des passagers clandestins
À mon avis, Automattic serait aussi contente qu’ils forkent
Même si un compromis émerge de ce bazar créé par Matt, j’ai peur que les dégâts causés à la communauté soient déjà irréversibles
Il semble n’être qu’une question de temps avant que s’effondre la popularité d’une plateforme célèbre que presque tout le monde utilisait d’une manière ou d’une autre
WordPress a beaucoup apporté à Internet pendant des années, mais une grande partie de cet héritage, ce sont aussi des sites compromis et des problèmes de sécurité
Si cette affaire mène à la naissance ou à la popularisation d’outils modernes et sûrs, le bilan pourrait être positif pour tout le monde
Bien sûr, avec de longs signes avant-coureurs avant qu’un incident célèbre ne fasse tout exploser, mais on voit peut-être déjà des signaux similaires pour WordPress
Jusqu’ici, ce que l’on voit de leur communication n’est pas très bon
WordPress n’est que le plus grand des nains
Leurs conseils juridiques sont soit excellents, soit catastrophiques, soit ils ignorent tout simplement leurs avocats
Ce Matt semble ne pas avoir toute sa tête
Le problème semble donc plus probablement venir du client lui-même
Mullenweg détourne les utilisateurs existants via une attaque sur la chaîne d’approvisionnement
Je pensais que c’était central dans la définition
Ce genre de comportement traîne le nom WordPress dans la boue
D’une manière étrange, cela se tient
wp.org s’est retrouvé acculé à devoir boucher lui-même les failles de sécurité ; pour cela, il devait appliquer directement un patch, et donc récupérer le paquet au passage
C’est choquant, mais c’était probablement mieux que de laisser en place des vulnérabilités de sécurité connues et publiques
Maintenant, cela commence simplement à devenir tristement banal
Dommage qu’il n’existe pas d’alternative comparable dans un écosystème moins capricieux
Discussion précédente sur Hacker News : https://news.ycombinator.com/item?id=41821400
https://news.ycombinator.com/item?id=41821336 (165 commentaires, dont 5 de photomatt)
https://news.ycombinator.com/item?id=41824852 (63 commentaires)