- WordPress.org hat das beliebte Plugin Advanced Custom Fields (ACF) von WP Engine als Fork unter dem Namen „Secure Custom Fields“ veröffentlicht; damit eskaliert der Konflikt um die Kontrolle über das Plugin.
- Matt Mullenweg nannte die Entfernung kommerzieller Upsells und Sicherheitskorrekturen als Gründe, konkrete Sicherheitsprobleme sind jedoch nicht klar benannt.
- Grundlage der Maßnahme ist Richtlinie 18 des Plugin Directory, die es dem WordPress-Team erlaubt, Plugins ohne Zustimmung der Entwickler zu entfernen oder zu ändern.
- Das ACF-Team von WP Engine widersprach auf X: WordPress habe noch nie ein Plugin ohne Zustimmung der Plugin-Ersteller „einseitig und zwangsweise“ übernommen.
- Nutzer, die keine Kunden von WP Engine, Flywheel oder ACF Pro sind, müssen auf der ACF-Website einmalig die echte Version 6.3.8 herunterladen, um weiterhin Updates zu erhalten.
Wie aus ACF Secure Custom Fields wurde
- WordPress.org hat das beliebte Plugin Advanced Custom Fields (ACF) von WP Engine als Fork mit dem Namen „Secure Custom Fields“ veröffentlicht.
- Matt Mullenweg erklärte, dieses Update sei ein Fork des ACF-Plugins und solle „kommerzielle Upsells entfernen und Sicherheitsprobleme beheben“.
- Bekannt gemacht wurde dies über einen Beitrag auf WordPress.org von Matt Mullenweg, Mitgründer von WordPress und CEO von Automattic.
- „Secure Custom Fields“ wurde auf der Plugin-Seite von Advanced Custom Fields auf WordPress.org veröffentlicht.
Richtlinie 18 und der Rechtsstreit
- Mullenweg berief sich bei der Maßnahme auf Richtlinie 18 des Plugin Directory, die es dem WordPress-Team erlaubt, Plugins zu entfernen oder ohne Zustimmung der Entwickler zu ändern.
- Die Maßnahme steht im Zusammenhang mit einer kürzlich von WP Engine gegen Mullenweg und Automattic eingereichten Klage.
- Mullenweg erklärte, ähnliche Situationen habe es schon früher gegeben, jedoch nicht in diesem Ausmaß; durch den juristischen Angriff von WP Engine sei eine „seltene und ungewöhnliche Situation“ entstanden.
- Er fügte hinzu, dass er nicht davon ausgehe, dass anderen Plugins dasselbe passieren werde.
Unklarer Umfang der Sicherheitskorrekturen
- Mullenweg sagte, es würden Sicherheitsprobleme behoben, doch es ist unklar, auf welche Sicherheitsprobleme er sich bezieht.
- Dieses Update wird als „minimales“ Update beschrieben.
- Die Begründung für die Plugin-Änderung konzentriert sich auf die Entfernung kommerzieller Upsells und die Behebung von Sicherheitsproblemen.
Widerspruch des ACF-Teams von WP Engine und Schritte für Nutzer
- Das ACF-Team von WP Engine widersprach auf X: WordPress habe noch nie ein Plugin ohne Zustimmung der Personen, die es erstellt haben, einseitig und zwangsweise übernommen.
- Anschließend informierte das ACF-Team Nutzer, die keine Kunden von WP Engine, Flywheel oder ACF Pro sind, über ein separates Update-Verfahren.
- Sie müssen die ACF-Website aufrufen.
- Sie müssen dem zuvor von ACF veröffentlichten Verfahren folgen.
- Sie müssen die „echte Version 6.3.8“ einmal herunterladen, um weiterhin Updates zu erhalten.
Rolle des ACF-Plugins
- ACF ist ein Plugin, mit dem Website-Ersteller Custom Fields nutzen können, wenn die vorhandenen Standardfelder nicht ausreichen.
- Laut der ACF-Übersicht existieren Custom Fields in WordPress bereits als Standardfunktion, sind aber „nicht besonders benutzerfreundlich“.
1 Kommentare
Meinungen auf Hacker News
Heute hat sich ein Kunde gemeldet, von dem ich seit fünf Jahren nichts gehört hatte; er nutzt ACF und ein von WPEngine übernommenes Plugin zur Auslagerung hochgeladener Dateien nach S3.
Die Sache verunsichert ihn stark, und er macht sich Sorgen, wie sich die nächsten Änderungen auf sein Geschäft auswirken werden. Am Ende möchte er WordPress verlassen.
WordPress hat früher Fork-Plugins im Plugin-Verzeichnis verboten, macht jetzt aber selbst das, was es anderen untersagt hat: https://make.wordpress.org/plugins/2021/02/16/reminder-forke...
Dieses Plugin wurde zwar geforkt, aber offenbar werden keine Premium-Funktionen kostenlos angeboten.
Das soll keine ethische Verteidigung sein, sondern eine Korrektur der Faktenlage.
Es ist unklar, welche Sicherheitsprobleme Mullenweg in seinem Beitrag meint.
Wo ist die CVE, und welche Risiken bestehen, wenn man das ursprüngliche Plugin weiter nutzt? Es fehlen jegliche Details.
Dadurch entsteht nur die Unsicherheit, dass man nicht wissen kann, ob das Original sicher ist.
Bedeutet die Aussage „Secure Custom Fields wird künftig ein nicht-kommerzielles Plugin sein“, dass WordPress es auf WPEngines Einnahmequelle abgesehen haben könnte?
Falls es eine Pro-Option gab, ist außerdem unklar, ob dieser Teil Closed Source ist und deshalb nicht in WordPress’ Fork-Codebasis enthalten ist: https://www.advancedcustomfields.com/pro/
Es wirkt so, als wolle er WPEngine-Kunden verschrecken, damit sie den Dienst verlassen; inzwischen sieht es wie ein persönlicher Krieg aus.
Es würde mich nicht wundern, wenn so etwas einen Verstoß darstellt.
Das gilt auch für ACF Pro.
Die passende Wendung hier wäre, dass WPEngine mindestens einen vertrauenswürdigen Dritten findet und gemeinsam mit ihm eine Stiftung gründet, um WordPress erfolgreich zu forken.
Sein Problem ist ja, dass WP Engine nichts zu WordPress beiträgt; wenn sie einen Fork und die Infrastruktur pflegen, wäre es kein Trittbrettfahren mehr.
Meiner Meinung nach wäre auch Automattic froh, wenn sie forken würden.
Selbst wenn es für dieses von Matt verursachte Chaos einen Mittelweg geben sollte, fürchte ich, dass der Schaden für die Community bereits passiert ist.
Es wirkt nur noch wie eine Frage der Zeit, bis die Popularität einer bekannten Plattform einbricht, die fast jeder in irgendeiner Form genutzt hat.
WordPress hat dem Internet über Jahre viel gegeben, aber ein erheblicher Teil davon waren übernommene Websites und Sicherheitsprobleme.
Wenn diese Sache zur Entstehung oder Verbreitung moderner, sicherer Tools führt, könnte das für alle ein Nettogewinn sein.
Natürlich mit langer Vorgeschichte und dann einem prominenten Vorfall als Explosion, aber auch bei WordPress könnten die Anzeichen bereits sichtbar sein.
Bisher sieht die aktuelle PR nicht besonders gut aus.
WordPress ist nur der größte Zwerg.
Ihre Rechtsberatung ist entweder die beste oder die schlechteste, oder sie ignorieren die Rechtsberatung einfach.
Dieser Matt scheint nicht ganz bei Verstand zu sein.
Daher scheint das Problem eher beim Mandanten selbst zu liegen.
Mullenweg kapert bestehende Nutzer per Supply-Chain-Angriff.
Ich dachte, der sei für die Definition zentral.
Mit diesem Verhalten wird der Name WordPress in den Dreck gezogen.
Auf eine seltsame Weise ergibt das Sinn.
wp.org wurde in die Ecke gedrängt, die Sicherheitslücken selbst schließen zu müssen; dafür mussten sie direkt patchen und dabei das Paket übernehmen.
Schockierend ist es trotzdem, aber wahrscheinlich besser, als bekannte und öffentliche Sicherheitslücken einfach offen zu lassen.
Inzwischen macht mich das einfach nur noch ganz normal traurig.
Schade, dass es keine vergleichbare Alternative mit einem weniger launischen Ökosystem gibt.
Frühere Hacker-News-Diskussion: https://news.ycombinator.com/item?id=41821400
https://news.ycombinator.com/item?id=41821336 (165 Kommentare, darunter 5 Kommentare von photomatt)
https://news.ycombinator.com/item?id=41824852 (63 Kommentare)