Wer die kostenlose Version des wirklich sehr bekannten WordPress Plugins „Advanced Custom Fields“ nutzt und automatische Updates in seinem WordPress-Setup aktiv hat, sollte sich seine WordPress-Installation sehr gut ansehen. In einer, man kann es nicht anders bezeichnen als Nacht und Nebel-Aktion (am Samstag Abend) hat WordPress.org das offiziell von WP Engine entwickelte Plugin schlichtweg gegen eine eigene Version ausgetauscht und diese Version „Secure Custom Fields“ genannt.
On behalf of the WordPress security team, I am announcing that we are […] forking Advanced Custom Fields (ACF) into a new plugin, Secure Custom Fields. SCF has been updated to remove commercial upsells and fix a security problem. […] Sites that continue to use WordPress.org’s update service and have not chosen to switch to ACF updates from WP Engine can click to update to switch to Secure Custom Fields. Where sites have chosen to have plugin auto-updates from WordPress.org enabled, this update process will auto-switch them from Advanced Custom Fields to Secure Custom Fields. This update is as minimal as possible to fix [a] security issue. […] Similar situations have happened before, but not at this scale. This is a rare and unusual situation brought on by WP Engine’s legal attacks, we do not anticipate this happening for other plugins.
Matt Mullenweg
Wer also ein Update der kostenlosen, bei WordPress.org gehosteten Version von „Advanced Custom Fields“ einspielt, nutzt danach das geforkte (und unter der URL des Originals veröffentlichte) „Secure Custom Fields“. Wer beim Original bleiben möchte, sollte ACF 6.3.8 direkt von der Website des Herstellers installieren.
Pervers an der Sache ist, und das ist der Grund, warum ich mich überhaupt dazu äußere, dass nun der Code von WP Engine (ACF) und das in Matt Mullenweg gesetzte Vertrauen der gesamten WordPress-Community in die Neutralität des Plugin-Repositories als Waffe eingesetzt wird. Ich halte es da wie David Heinemeier Hansson:
Weaponizing open source code registries is something we simply cannot allow to form precedence. They must remain neutral territory. […] That’s really the main reason I care to comment on this whole sordid ordeal. If this fight was just one between two billion-dollar companies, as Automattic and WPE both are, I would not have cared to wade in. But the principles at stake extend far beyond the two of them.
David Heinemeier Hansson
Die Sache ist ja absurd, wenn man sich die zeitliche Abfolge ansieht: Zuerst blockiert WordPress den Zugang, den WP Engine zum Repository benötigen würde, um eine Sicherheitslücke im Plugin zu schließen, dann übernimmt WordPress das Plugin mittels Forking, weil WP Engine kein die Sicherheit gewährleistendes Update einspielt (!), und betreibt es nun unter dem Namen „Secure Custom Fields“ als eigenes.
Automattic first answered [WP Engine’s] lawsuit by blocking engineers […] from accessing the WordPress.org plugin registry, which is used to distribute updates and security patches. It then used the fact that WPE no longer had access to the registry to expropriate the plugin, including reviews and download stats!! The ACF entry now points to Automattic’s own Secure Custom Fields. […] There’s an incredible irony in the fact that Automattic is now hijacking users looking for ACF onto their own plugin. And providing as rational for this unprecedented breach of open source norms that ACF needs maintenance, and since WPE is no longer able to provide that (given that they were blocked!), Automattic has to step in to do so. I mean, what?!
David Heinemeier Hansson
Man muss es sagen, wie es ist: Ohne ACF wäre WordPress nicht das System mit der Reichweite, das es ist. Ohne ACF wäre die Entwicklung auf Basis des Block-Editors ein Graus, die Entwicklung dafür noch schlimmer. ACF hat WordPress in meinen Augen erst so richtig groß gemacht und auf ein Level gehoben, das weit über das übliche Blog-Projekt hinausgeht. Matt Mullenweg macht es nun zum Opfer im Streit mit WP Engine und setzt damit einen gefährlichen Präzedenzfall für die Lebensader des WordPress-Projekts. WordPress ist nämlich nur Teil einer Success-Story, keinesfalls aber alleine dafür verantwortlich. Ohne das Gleichgewicht zwischen denjenigen, die Plugins (zB ACF) oder Themes für die Plattform (WordPress) bereitstellen und der Plattform selbst, wäre das Projekt nie und nimmer da, wo es jetzt ist. Das scheint Matt aber nicht verstehen zu wollen, auch wenn er die „Demokratisierung des Publishings“ immer und immer wieder prädigt.
Jono Alderson, ein Schwergewicht in der WordPress-Community, dem ĂĽbrigens auch auch der Zugang zum offiziellen WordPress-Slack-Channel gesperrt wurde, dazu:
Aside from everything else, the ineptitude of this is deeply frustrating. Just more evidence of an astounding lack of understanding of how the marketplace and ecosystem works. Guess that’s what happens when you’re post-economic.
Jono Alderson
Ich bin gespannt, welches Unternehmen, Plugin oder Theme als nächstes dran ist, denn wenn Matt mit dieser Sichtweise der Dinge durchkommt, wird es als nächstes den großen Pagebuildern an den Kragen gehen. Und wer sich einmal die Statistiken über die Marktanteile von WordPress genauer angesehen und festgestellt hat, dass einige wenige Pagebuilder für gewaltige Marktanteile verantwortlich sind, weiß, wie riskant so ein Unterfangen wäre.
Unter welchem Druck steht Matt Mullenweg, dass er solche Aktionen auf Kosten der Community, der Sicherheit des Projekts, des Vetrauens in WordPress und die „good intentions“, die er bislang doch recht erfolgreich und glaubhaft vermittelt hat, setzt? Ich kann die Auflösung dieses Rätsels kaum erwarten.