1 pontos por GN⁺ 2024-10-14 | 1 comentários | Compartilhar no WhatsApp
  • O WordPress.org publicou um fork do popular plugin Advanced Custom Fields (ACF), da WP Engine, como “Secure Custom Fields”, ampliando o conflito em torno do controle do plugin
  • Matt Mullenweg citou a remoção de upsells comerciais e correções de segurança como justificativa, mas o problema de segurança específico não está claro
  • A base para a medida é a Diretriz 18 do Diretório de Plugins, que permite à equipe do WordPress remover ou alterar plugins sem o consentimento dos desenvolvedores
  • A equipe do ACF da WP Engine contestou no X, dizendo que o WordPress nunca havia tomado um plugin “de forma unilateral e forçada” sem o consentimento do criador
  • Usuários que não são clientes da WP Engine, Flywheel ou ACF Pro precisam baixar uma vez a versão legítima 6.3.8 no site do ACF para continuar recebendo atualizações

Como o ACF virou Secure Custom Fields

  • O WordPress.org publicou o popular plugin Advanced Custom Fields (ACF), da WP Engine, como um fork chamado “Secure Custom Fields”
  • Matt Mullenweg afirmou que a atualização é um fork do plugin ACF e que a medida busca “remover upsells comerciais e corrigir problemas de segurança”
  • O anúncio foi feito por meio de um post no WordPress.org de Matt Mullenweg, cofundador do WordPress e CEO da Automattic
  • “Secure Custom Fields” foi publicado na página do plugin Advanced Custom Fields no WordPress.org

Diretriz 18 e conflito jurídico

  • Mullenweg citou como base para a medida a Diretriz 18 do Diretório de Plugins, que permite à equipe do WordPress remover plugins ou alterá-los sem o consentimento dos desenvolvedores
  • A medida está ligada ao processo judicial recente movido pela WP Engine contra Mullenweg e a Automattic
  • Mullenweg explicou que situações parecidas já aconteceram antes, mas não em uma escala tão grande, e que esta é uma “situação rara e incomum” causada pelo ataque jurídico da WP Engine
  • Ele também acrescentou que não espera que o mesmo aconteça com outros plugins

Escopo pouco claro das correções de segurança

  • Mullenweg disse que corrigiria problemas de segurança, mas não está claro a quais problemas de segurança ele se referia
  • Esta atualização foi descrita como uma atualização “mínima”
  • A justificativa para a mudança no plugin está centrada na remoção de upsells comerciais e na correção de problemas de segurança

Contestação da equipe do ACF da WP Engine e ação dos usuários

  • A equipe do ACF da WP Engine contestou no X, dizendo que o WordPress nunca havia tomado um plugin sem o consentimento de quem o criou, de forma unilateral e forçada
  • Depois disso, a equipe do ACF orientou usuários que não são clientes da WP Engine, Flywheel ou ACF Pro sobre um procedimento separado de atualização
    • É preciso acessar o site do ACF
    • É preciso seguir o procedimento divulgado anteriormente pelo ACF
    • É necessário fazer o download único da “versão legítima 6.3.8” para continuar recebendo atualizações

O papel do plugin ACF

  • O ACF é um plugin que permite a criadores de sites usar campos personalizados quando os campos padrão existentes não são suficientes
  • Segundo a visão geral do ACF, campos personalizados já existem como recurso nativo no WordPress, mas “não são muito amigáveis ao usuário”

1 comentários

 
GN⁺ 2024-10-14
Opiniões no Hacker News
  • Hoje fui contatado por um cliente que não falava comigo havia 5 anos; eles usam o ACF e um plugin de migração de arquivos enviados para S3 adquirido pela WPEngine
    Eles estão bastante inseguros com este caso e preocupados com o impacto das próximas mudanças no negócio, então, no fim, querem sair do WordPress

    • Quando grandes empresas tentam avaliar opções estáveis, esse tipo de coisa é bem comum e prejudica não só o WordPress, mas o open source como um todo
  • O WordPress antes proibia plugins forkados no diretório de plugins, mas agora está fazendo aquilo que proibia os outros de fazer: https://make.wordpress.org/plugins/2021/02/16/reminder-forke...

    • Esse texto parece tratar de casos de fork de plugins open source pagos
      É verdade que este plugin foi forkado, mas não parece que estejam oferecendo recursos premium de graça
      Não estou tentando defender eticamente, é apenas uma correção factual
    • Ele não é um plugin premium
  • Não está claro qual é o problema de segurança de que Mullenweg falou no texto
    Onde está o CVE? Não há nenhum detalhe sobre qual é o risco de continuar usando o plugin original
    Isso só gera a insegurança de não saber se o original é seguro
    A frase “daqui em diante, Secure Custom Fields é um plugin não comercial” significa que o WordPress pode estar mirando a fonte de receita da WPEngine?
    Se havia uma opção Pro, também não está claro se essa parte, por ser de código fechado, não está na base de código do fork do WordPress: https://www.advancedcustomfields.com/pro/

    • As diferenças que mostram o que mudou estão aqui: https://plugins.trac.wordpress.org/changeset?new=3167679%40a...
    • Acho que esse medo é justamente o resultado que Matt queria
      Parece que ele está tentando assustar clientes da WPEngine para que abandonem o serviço, e agora isso parece uma guerra pessoal
    • Entendo que o ACF injetou um aviso nos dashboards de todo mundo para defender seus próprios interesses legais
      Não me surpreenderia se isso constituísse uma violação
    • Como o WordPress é licenciado sob a GPL, todos os plugins precisam ter uma licença compatível com a GPL
      Isso também se aplica ao ACF Pro
  • A reviravolta adequada aqui seria a WPEngine encontrar pelo menos um terceiro confiável e, juntos, criarem uma fundação para forkar o WordPress com sucesso

    • O motivo de tudo isso ter começado não era a reclamação da Automattic de que a WPEngine competia de graça sem contribuir muito para o desenvolvimento do WordPress?
    • Acho que Matt, na verdade, até receberia isso muito bem
      A preocupação dele é que a WP Engine não contribui para o WordPress; se eles decidirem manter um fork e a infraestrutura, deixariam de estar pegando carona de graça
      Na minha opinião, a Automattic também ficaria feliz se eles fizessem um fork
  • Mesmo que surja um meio-termo para esta bagunça criada por Matt, temo que o dano à comunidade já esteja feito
    Parece questão de tempo até a popularidade de uma plataforma famosa, que quase todo mundo usava de alguma forma, desabar

    • Para o bem ou para o mal, olhando com otimismo, talvez isso seja algo bom
      O WordPress deu muito à internet ao longo dos anos, mas boa parte disso foram sites comprometidos e problemas de segurança
      Se isso levar ao surgimento ou à popularização de ferramentas modernas e seguras, pode ser um ganho líquido para todos
    • Isso soa um pouco como a forma como o Drupal foi se apagando na época do caso Larry Garfield
      Claro, com um longo prenúncio e depois uma explosão em um caso famoso, mas talvez já haja sinais disso também no WordPress
    • Depende de quão boa será a resposta de relações públicas deles
      Pelo que vimos até agora, a comunicação atual não é muito boa
    • Ótimo
      O WordPress é apenas o anão mais alto
  • A assessoria jurídica deles é a melhor ou a pior, ou eles simplesmente parecem ignorar a assessoria jurídica

    • Eles também têm a pior equipe de redes sociais que já vi: https://x.com/WordPress/status/1845121130207535524
    • Algumas pessoas acham que estão acima da lei
      Esse Matt parece fora de si
    • Uma das declarações da Automattic foi emitida por Neal Katyal, que foi procurador-geral adjunto interino dos EUA
      Então o problema parece mais provavelmente estar no próprio cliente
    • Embora a situação seja muito menos grave do que isso, acho que a liderança do WordPress deveria ouvir um pouco mais os advogados
  • Mullenweg está sequestrando usuários existentes por meio de um ataque à cadeia de suprimentos

    • Não sei onde está a parte do “ataque”
      Achei que isso fosse o ponto central da definição
  • Esse comportamento está jogando o nome WordPress na lama

    • Eles impediram a Wpengine de atualizar pacotes no repositório; depois, os mantenedores dos pacotes encontraram problemas de segurança, mas, como estava bloqueado, não conseguiram corrigi-los com uma atualização
      De um jeito estranho, faz sentido
      O wp.org acabou encurralado tendo que fechar ele próprio a brecha de segurança; para isso, precisou aplicar o patch diretamente e, no processo, teve que assumir o pacote
      É chocante, mas provavelmente foi melhor do que simplesmente deixar uma vulnerabilidade de segurança conhecida e pública sem correção
  • Agora isso está começando a ficar simplesmente triste
    É uma pena que não haja uma alternativa comparável com um ecossistema menos volúvel

  • Discussão anterior no Hacker News: https://news.ycombinator.com/item?id=41821400