1 puntos por GN⁺ 2024-10-14 | 1 comentarios | Compartir por WhatsApp
  • WordPress.org publicó un fork del popular plugin Advanced Custom Fields (ACF) de WP Engine bajo el nombre “Secure Custom Fields”, intensificando el conflicto por el control del plugin
  • Matt Mullenweg dijo que la medida busca eliminar los upsells comerciales y corregir problemas de seguridad, pero no está claro cuáles son esos problemas de seguridad concretos
  • La base de esta medida es la directriz 18 del directorio de plugins, que permite al equipo de WordPress eliminar o modificar plugins sin el consentimiento del desarrollador
  • El equipo de ACF de WP Engine respondió en X que WordPress nunca antes había tomado un plugin de forma “unilateral y forzada” sin el consentimiento de su creador
  • Los usuarios que no sean clientes de WP Engine, Flywheel o ACF Pro deben descargar una vez la versión oficial 6.3.8 desde el sitio de ACF para seguir recibiendo actualizaciones

Cómo ACF pasó a convertirse en Secure Custom Fields

  • WordPress.org publicó un fork del popular plugin Advanced Custom Fields (ACF) de WP Engine con el nombre “Secure Custom Fields”
  • Matt Mullenweg explicó que esta actualización es un fork del plugin ACF y que la medida busca “eliminar los upsells comerciales y corregir problemas de seguridad”
  • El anuncio se dio a conocer a través de una publicación en WordPress.org de Matt Mullenweg, cofundador de WordPress y CEO de Automattic
  • “Secure Custom Fields” apareció en la página del plugin Advanced Custom Fields de WordPress.org

La directriz 18 y el conflicto legal

  • Mullenweg citó como fundamento de esta medida la directriz 18 del directorio de plugins, que permite al equipo de WordPress eliminar o modificar plugins sin el consentimiento del desarrollador
  • La medida está vinculada con la demanda que WP Engine presentó recientemente contra Mullenweg y Automattic
  • Mullenweg explicó que ya había habido situaciones similares antes, pero nunca a esta escala, y la describió como una “situación rara e inusual” provocada por la ofensiva legal de WP Engine
  • También añadió que no espera que lo mismo ocurra con otros plugins

No está claro el alcance de las correcciones de seguridad

  • Mullenweg dijo que se corregirían problemas de seguridad, pero no está claro a qué problemas de seguridad se refería
  • Esta actualización fue descrita como una actualización “mínima”
  • La justificación de los cambios en el plugin se centra en eliminar los upsells comerciales y corregir problemas de seguridad

La respuesta del equipo ACF de WP Engine y lo que deben hacer los usuarios

  • El equipo de ACF de WP Engine respondió en X que WordPress nunca antes había tomado un plugin de forma unilateral y forzada sin el consentimiento de la persona que lo creó
  • Después, el equipo de ACF indicó un procedimiento de actualización aparte para los usuarios que no sean clientes de WP Engine, Flywheel o ACF Pro
    • Deben ir al sitio de ACF
    • Deben seguir el procedimiento que ACF publicó previamente
    • Deben descargar una vez la versión oficial 6.3.8 para seguir recibiendo actualizaciones

El papel del plugin ACF

  • ACF es un plugin que permite a quienes crean sitios web usar campos personalizados cuando los campos generales existentes no son suficientes
  • Según la descripción general de ACF, los campos personalizados ya existen como función básica en WordPress, pero “no son particularmente fáciles de usar”

1 comentarios

 
GN⁺ 2024-10-14
Opiniones en Hacker News
  • Hoy me contactó un cliente con el que no hablaba desde hace 5 años; usa ACF y un plugin, adquirido por WPEngine, para mover archivos subidos a S3.
    Todo esto lo tiene muy intranquilo y preocupado por cómo los próximos cambios podrían afectar su negocio, así que al final quiere dejar WordPress.

    • Este tipo de cosas es bastante común cuando las grandes empresas intentan determinar cuáles son las opciones estables, y perjudica no solo a WordPress, sino al open source en general.
  • WordPress antes prohibía los plugins derivados (forks) en el directorio de plugins, y ahora está haciendo lo mismo que les prohibía a otros: https://make.wordpress.org/plugins/2021/02/16/reminder-forke...

    • Ese artículo parece tratar sobre casos en los que se hace un fork de plugins open source de paga.
      Es cierto que hicieron un fork de este plugin, pero no parece que estén ofreciendo gratis funciones premium.
      No intento defenderlo éticamente, sino corregir los hechos.
    • Ese no es un plugin premium.
  • No queda claro a qué problema de seguridad se refiere Mullenweg en su texto.
    ¿Dónde está el CVE y cuáles son los riesgos de seguir usando el plugin original? No hay ningún detalle.
    Eso solo genera la inquietud de que no se puede saber si el original es seguro.
    ¿La frase “de ahora en adelante, Secure Custom Fields es un plugin no comercial” significa que WordPress quizá está apuntando a una fuente de ingresos de WPEngine?
    Si existía una opción Pro, tampoco queda claro si esa parte era de código cerrado y por eso no está en la base de código del fork de WordPress: https://www.advancedcustomfields.com/pro/

    • Aquí están las diferencias que muestran qué cambió: https://plugins.trac.wordpress.org/changeset?new=3167679%40a...
    • Creo que esa inquietud es justo el resultado que Matt buscaba.
      Parece que quiere asustar a los clientes de WPEngine para que abandonen el servicio, y ahora esto se ve como una guerra personal.
    • Entiendo que ACF inyectó un aviso en los tableros de todos por sus propios intereses legales.
      No me sorprendería que eso constituyera una infracción.
    • Como WordPress tiene licencia GPL, todos los plugins deben tener una licencia compatible con la GPL.
      Esto también aplica a ACF Pro.
  • El giro adecuado aquí sería que WPEngine encontrara al menos a un tercero confiable y, junto con él, creara una fundación para hacer con éxito un fork de WordPress.

    • ¿No era que todo esto empezó porque Automattic se quejaba de que WPEngine competía gratis sin aportar mucho al desarrollo de WordPress?
    • Creo que a Matt más bien le gustaría bastante eso.
      Su preocupación es que WP Engine no contribuye a WordPress; si ellos deciden mantener un fork y su infraestructura, entonces ya no estarían aprovechándose gratis.
      Mi opinión es que Automattic también estaría feliz si ellos hicieran un fork.
  • Aunque aparezca un punto medio en este desastre creado por Matt, me temo que el daño a la comunidad ya está hecho.
    Parece cuestión de tiempo para que se desplome la popularidad de una plataforma famosa que casi todos usaban de alguna manera.

    • Para bien o para mal, viéndolo con optimismo, quizá eso podría ser algo bueno.
      WordPress le dio mucho a internet durante años, pero una parte considerable de eso fueron sitios comprometidos y problemas de seguridad.
      Si esto lleva al nacimiento o popularización de herramientas modernas y seguras, podría ser una ganancia neta para todos.
    • Suena un poco parecido a cómo Drupal se fue apagando con el caso de Larry Garfield.
      Claro, con un largo preludio que luego explota en un caso famoso, pero quizá en WordPress ya se ven señales.
    • Depende de qué tan buena sea su respuesta de relaciones públicas.
      Por lo que se ha visto hasta ahora, la comunicación actual no es muy buena.
    • Bien.
      WordPress no es más que el enano más alto.
  • Su asesoría legal es la mejor o la peor, o simplemente están ignorando a sus abogados.

    • También tienen el peor equipo de redes sociales que he visto hasta ahora: https://x.com/WordPress/status/1845121130207535524
    • Algunas personas creen que están por encima de la ley.
      Este tipo Matt parece estar fuera de sus cabales.
    • Una de las declaraciones de Automattic la hizo Neal Katyal, quien fue fiscal general adjunto interino de Estados Unidos.
      Así que parece más probable que el problema esté del lado del propio cliente.
    • Aunque la situación es mucho menos grave que eso, creo que la dirección de WordPress debería escuchar un poco más a sus abogados.
  • Mullenweg está secuestrando a los usuarios existentes mediante un ataque a la cadena de suministro.

    • No veo dónde está la parte de “ataque”.
      Pensaba que eso era lo central en la definición.
  • Con acciones como esta, están arrastrando el nombre de WordPress por el suelo.

    • Impidieron que Wpengine actualizara el paquete en el repositorio, y después los mantenedores del paquete encontraron un problema de seguridad, pero como estaba bloqueado no podían corregirlo con una actualización.
      De una forma extraña, tiene sentido.
      wp.org quedó acorralado y tuvo que cerrar por su cuenta el agujero de seguridad; para hacerlo tenía que parchearlo directamente, y en el proceso tuvo que tomar el paquete.
      Es impactante, pero probablemente fue mejor que dejar ahí una vulnerabilidad de seguridad conocida y pública.
  • Ahora esto simplemente empieza a dar tristeza.
    Es una pena que no haya una alternativa comparable con un ecosistema menos caprichoso.

  • Discusión previa en Hacker News: https://news.ycombinator.com/item?id=41821400