- O WordPress.org publicou um fork do popular plugin Advanced Custom Fields (ACF), da WP Engine, como “Secure Custom Fields”, ampliando o conflito em torno do controle do plugin
- Matt Mullenweg citou a remoção de upsells comerciais e correções de segurança como justificativa, mas o problema de segurança específico não está claro
- A base para a medida é a Diretriz 18 do Diretório de Plugins, que permite à equipe do WordPress remover ou alterar plugins sem o consentimento dos desenvolvedores
- A equipe do ACF da WP Engine contestou no X, dizendo que o WordPress nunca havia tomado um plugin “de forma unilateral e forçada” sem o consentimento do criador
- Usuários que não são clientes da WP Engine, Flywheel ou ACF Pro precisam baixar uma vez a versão legítima 6.3.8 no site do ACF para continuar recebendo atualizações
Como o ACF virou Secure Custom Fields
- O WordPress.org publicou o popular plugin Advanced Custom Fields (ACF), da WP Engine, como um fork chamado “Secure Custom Fields”
- Matt Mullenweg afirmou que a atualização é um fork do plugin ACF e que a medida busca “remover upsells comerciais e corrigir problemas de segurança”
- O anúncio foi feito por meio de um post no WordPress.org de Matt Mullenweg, cofundador do WordPress e CEO da Automattic
- “Secure Custom Fields” foi publicado na página do plugin Advanced Custom Fields no WordPress.org
Diretriz 18 e conflito jurídico
- Mullenweg citou como base para a medida a Diretriz 18 do Diretório de Plugins, que permite à equipe do WordPress remover plugins ou alterá-los sem o consentimento dos desenvolvedores
- A medida está ligada ao processo judicial recente movido pela WP Engine contra Mullenweg e a Automattic
- Mullenweg explicou que situações parecidas já aconteceram antes, mas não em uma escala tão grande, e que esta é uma “situação rara e incomum” causada pelo ataque jurídico da WP Engine
- Ele também acrescentou que não espera que o mesmo aconteça com outros plugins
Escopo pouco claro das correções de segurança
- Mullenweg disse que corrigiria problemas de segurança, mas não está claro a quais problemas de segurança ele se referia
- Esta atualização foi descrita como uma atualização “mínima”
- A justificativa para a mudança no plugin está centrada na remoção de upsells comerciais e na correção de problemas de segurança
Contestação da equipe do ACF da WP Engine e ação dos usuários
- A equipe do ACF da WP Engine contestou no X, dizendo que o WordPress nunca havia tomado um plugin sem o consentimento de quem o criou, de forma unilateral e forçada
- Depois disso, a equipe do ACF orientou usuários que não são clientes da WP Engine, Flywheel ou ACF Pro sobre um procedimento separado de atualização
- É preciso acessar o site do ACF
- É preciso seguir o procedimento divulgado anteriormente pelo ACF
- É necessário fazer o download único da “versão legítima 6.3.8” para continuar recebendo atualizações
O papel do plugin ACF
- O ACF é um plugin que permite a criadores de sites usar campos personalizados quando os campos padrão existentes não são suficientes
- Segundo a visão geral do ACF, campos personalizados já existem como recurso nativo no WordPress, mas “não são muito amigáveis ao usuário”
1 comentários
Opiniões no Hacker News
Hoje fui contatado por um cliente que não falava comigo havia 5 anos; eles usam o ACF e um plugin de migração de arquivos enviados para S3 adquirido pela WPEngine
Eles estão bastante inseguros com este caso e preocupados com o impacto das próximas mudanças no negócio, então, no fim, querem sair do WordPress
O WordPress antes proibia plugins forkados no diretório de plugins, mas agora está fazendo aquilo que proibia os outros de fazer: https://make.wordpress.org/plugins/2021/02/16/reminder-forke...
É verdade que este plugin foi forkado, mas não parece que estejam oferecendo recursos premium de graça
Não estou tentando defender eticamente, é apenas uma correção factual
Não está claro qual é o problema de segurança de que Mullenweg falou no texto
Onde está o CVE? Não há nenhum detalhe sobre qual é o risco de continuar usando o plugin original
Isso só gera a insegurança de não saber se o original é seguro
A frase “daqui em diante, Secure Custom Fields é um plugin não comercial” significa que o WordPress pode estar mirando a fonte de receita da WPEngine?
Se havia uma opção Pro, também não está claro se essa parte, por ser de código fechado, não está na base de código do fork do WordPress: https://www.advancedcustomfields.com/pro/
Parece que ele está tentando assustar clientes da WPEngine para que abandonem o serviço, e agora isso parece uma guerra pessoal
Não me surpreenderia se isso constituísse uma violação
Isso também se aplica ao ACF Pro
A reviravolta adequada aqui seria a WPEngine encontrar pelo menos um terceiro confiável e, juntos, criarem uma fundação para forkar o WordPress com sucesso
A preocupação dele é que a WP Engine não contribui para o WordPress; se eles decidirem manter um fork e a infraestrutura, deixariam de estar pegando carona de graça
Na minha opinião, a Automattic também ficaria feliz se eles fizessem um fork
Mesmo que surja um meio-termo para esta bagunça criada por Matt, temo que o dano à comunidade já esteja feito
Parece questão de tempo até a popularidade de uma plataforma famosa, que quase todo mundo usava de alguma forma, desabar
O WordPress deu muito à internet ao longo dos anos, mas boa parte disso foram sites comprometidos e problemas de segurança
Se isso levar ao surgimento ou à popularização de ferramentas modernas e seguras, pode ser um ganho líquido para todos
Claro, com um longo prenúncio e depois uma explosão em um caso famoso, mas talvez já haja sinais disso também no WordPress
Pelo que vimos até agora, a comunicação atual não é muito boa
O WordPress é apenas o anão mais alto
A assessoria jurídica deles é a melhor ou a pior, ou eles simplesmente parecem ignorar a assessoria jurídica
Esse Matt parece fora de si
Então o problema parece mais provavelmente estar no próprio cliente
Mullenweg está sequestrando usuários existentes por meio de um ataque à cadeia de suprimentos
Achei que isso fosse o ponto central da definição
Esse comportamento está jogando o nome WordPress na lama
De um jeito estranho, faz sentido
O wp.org acabou encurralado tendo que fechar ele próprio a brecha de segurança; para isso, precisou aplicar o patch diretamente e, no processo, teve que assumir o pacote
É chocante, mas provavelmente foi melhor do que simplesmente deixar uma vulnerabilidade de segurança conhecida e pública sem correção
Agora isso está começando a ficar simplesmente triste
É uma pena que não haja uma alternativa comparável com um ecossistema menos volúvel
Discussão anterior no Hacker News: https://news.ycombinator.com/item?id=41821400
https://news.ycombinator.com/item?id=41821336 (165 comentários, incluindo 5 comentários de photomatt)
https://news.ycombinator.com/item?id=41824852 (63 comentários)