- WordPress.org publicó un fork del popular plugin Advanced Custom Fields (ACF) de WP Engine bajo el nombre “Secure Custom Fields”, intensificando el conflicto por el control del plugin
- Matt Mullenweg dijo que la medida busca eliminar los upsells comerciales y corregir problemas de seguridad, pero no está claro cuáles son esos problemas de seguridad concretos
- La base de esta medida es la directriz 18 del directorio de plugins, que permite al equipo de WordPress eliminar o modificar plugins sin el consentimiento del desarrollador
- El equipo de ACF de WP Engine respondió en X que WordPress nunca antes había tomado un plugin de forma “unilateral y forzada” sin el consentimiento de su creador
- Los usuarios que no sean clientes de WP Engine, Flywheel o ACF Pro deben descargar una vez la versión oficial 6.3.8 desde el sitio de ACF para seguir recibiendo actualizaciones
Cómo ACF pasó a convertirse en Secure Custom Fields
- WordPress.org publicó un fork del popular plugin Advanced Custom Fields (ACF) de WP Engine con el nombre “Secure Custom Fields”
- Matt Mullenweg explicó que esta actualización es un fork del plugin ACF y que la medida busca “eliminar los upsells comerciales y corregir problemas de seguridad”
- El anuncio se dio a conocer a través de una publicación en WordPress.org de Matt Mullenweg, cofundador de WordPress y CEO de Automattic
- “Secure Custom Fields” apareció en la página del plugin Advanced Custom Fields de WordPress.org
La directriz 18 y el conflicto legal
- Mullenweg citó como fundamento de esta medida la directriz 18 del directorio de plugins, que permite al equipo de WordPress eliminar o modificar plugins sin el consentimiento del desarrollador
- La medida está vinculada con la demanda que WP Engine presentó recientemente contra Mullenweg y Automattic
- Mullenweg explicó que ya había habido situaciones similares antes, pero nunca a esta escala, y la describió como una “situación rara e inusual” provocada por la ofensiva legal de WP Engine
- También añadió que no espera que lo mismo ocurra con otros plugins
No está claro el alcance de las correcciones de seguridad
- Mullenweg dijo que se corregirían problemas de seguridad, pero no está claro a qué problemas de seguridad se refería
- Esta actualización fue descrita como una actualización “mínima”
- La justificación de los cambios en el plugin se centra en eliminar los upsells comerciales y corregir problemas de seguridad
La respuesta del equipo ACF de WP Engine y lo que deben hacer los usuarios
- El equipo de ACF de WP Engine respondió en X que WordPress nunca antes había tomado un plugin de forma unilateral y forzada sin el consentimiento de la persona que lo creó
- Después, el equipo de ACF indicó un procedimiento de actualización aparte para los usuarios que no sean clientes de WP Engine, Flywheel o ACF Pro
- Deben ir al sitio de ACF
- Deben seguir el procedimiento que ACF publicó previamente
- Deben descargar una vez la versión oficial 6.3.8 para seguir recibiendo actualizaciones
El papel del plugin ACF
- ACF es un plugin que permite a quienes crean sitios web usar campos personalizados cuando los campos generales existentes no son suficientes
- Según la descripción general de ACF, los campos personalizados ya existen como función básica en WordPress, pero “no son particularmente fáciles de usar”
1 comentarios
Opiniones en Hacker News
Hoy me contactó un cliente con el que no hablaba desde hace 5 años; usa ACF y un plugin, adquirido por WPEngine, para mover archivos subidos a S3.
Todo esto lo tiene muy intranquilo y preocupado por cómo los próximos cambios podrían afectar su negocio, así que al final quiere dejar WordPress.
WordPress antes prohibía los plugins derivados (forks) en el directorio de plugins, y ahora está haciendo lo mismo que les prohibía a otros: https://make.wordpress.org/plugins/2021/02/16/reminder-forke...
Es cierto que hicieron un fork de este plugin, pero no parece que estén ofreciendo gratis funciones premium.
No intento defenderlo éticamente, sino corregir los hechos.
No queda claro a qué problema de seguridad se refiere Mullenweg en su texto.
¿Dónde está el CVE y cuáles son los riesgos de seguir usando el plugin original? No hay ningún detalle.
Eso solo genera la inquietud de que no se puede saber si el original es seguro.
¿La frase “de ahora en adelante, Secure Custom Fields es un plugin no comercial” significa que WordPress quizá está apuntando a una fuente de ingresos de WPEngine?
Si existía una opción Pro, tampoco queda claro si esa parte era de código cerrado y por eso no está en la base de código del fork de WordPress: https://www.advancedcustomfields.com/pro/
Parece que quiere asustar a los clientes de WPEngine para que abandonen el servicio, y ahora esto se ve como una guerra personal.
No me sorprendería que eso constituyera una infracción.
Esto también aplica a ACF Pro.
El giro adecuado aquí sería que WPEngine encontrara al menos a un tercero confiable y, junto con él, creara una fundación para hacer con éxito un fork de WordPress.
Su preocupación es que WP Engine no contribuye a WordPress; si ellos deciden mantener un fork y su infraestructura, entonces ya no estarían aprovechándose gratis.
Mi opinión es que Automattic también estaría feliz si ellos hicieran un fork.
Aunque aparezca un punto medio en este desastre creado por Matt, me temo que el daño a la comunidad ya está hecho.
Parece cuestión de tiempo para que se desplome la popularidad de una plataforma famosa que casi todos usaban de alguna manera.
WordPress le dio mucho a internet durante años, pero una parte considerable de eso fueron sitios comprometidos y problemas de seguridad.
Si esto lleva al nacimiento o popularización de herramientas modernas y seguras, podría ser una ganancia neta para todos.
Claro, con un largo preludio que luego explota en un caso famoso, pero quizá en WordPress ya se ven señales.
Por lo que se ha visto hasta ahora, la comunicación actual no es muy buena.
WordPress no es más que el enano más alto.
Su asesoría legal es la mejor o la peor, o simplemente están ignorando a sus abogados.
Este tipo Matt parece estar fuera de sus cabales.
Así que parece más probable que el problema esté del lado del propio cliente.
Mullenweg está secuestrando a los usuarios existentes mediante un ataque a la cadena de suministro.
Pensaba que eso era lo central en la definición.
Con acciones como esta, están arrastrando el nombre de WordPress por el suelo.
De una forma extraña, tiene sentido.
wp.org quedó acorralado y tuvo que cerrar por su cuenta el agujero de seguridad; para hacerlo tenía que parchearlo directamente, y en el proceso tuvo que tomar el paquete.
Es impactante, pero probablemente fue mejor que dejar ahí una vulnerabilidad de seguridad conocida y pública.
Ahora esto simplemente empieza a dar tristeza.
Es una pena que no haya una alternativa comparable con un ecosistema menos caprichoso.
Discusión previa en Hacker News: https://news.ycombinator.com/item?id=41821400
https://news.ycombinator.com/item?id=41821336 (165 comentarios, incluidos 5 comentarios de photomatt)
https://news.ycombinator.com/item?id=41824852 (63 comentarios)