Samedi 12 octobre, le co-créateur de Wordpress et aussi CEO d'Automattic (qui possède Wordpress.com), Matt Mullenweg, a continué sa guerre contre l'autre hébergeur de site utilisant le système de gestion de contenu libre, WP Engine. Sur le blog de la fondation du même nom que le logiciel, il a publié un billet expliquant qu' « au nom de l'équipe de sécurité de WordPress », il annonçait avoir « forké » Advanced Custom Fields (ACF), un plugin développé par WP Engine.
Selon lui, le nouveau plugin, Secure Custom Fields (SCF), ne comporte plus les messages à caractères commerciaux qui s'affichent dans ACF et un « problème de sécurité » a été résolu.
Matt Mullenweg prend appui sur l'annonce (supprimée quelques heures après publication de cet article, ndr) de l'équipe d'ACF prévenant que les nouvelles mises à jour de leur plugin proviendrait de leur propre site et non plus de Wordpress.org, magasin de plugins du logiciel.
De son côté, l'équipe d'ACF a répondu sur X qu' « au cours des 21 ans d'histoire de WordPress, aucun plugin en cours de développement n'a jamais été retiré unilatéralement et de force à son créateur sans son consentement ». Elle pointe aussi le problème « éthique d’une telle action » et le « nouveau précédent qui a été établi ». Elle donne un lien permettant de mettre à jour son plugin.
Commentaires (32)
#1
Mais il a oublié de prendre en compte la dernière ligne de ce point :
#1.1
A noter aussi que les contributeurs associés à WP Engine sont purement et simplement bannis.
[edit] A noter aussi que le plugin d'ACF est forké, car... l'équipe de WP Engine ne peut plus mettre à jour le plugin (la version community) sur... Wordpress.org puisque le site leur est bloqué !
Franchement, j'ai juste envie de vomir devant un tel comportement... (celui de Matt hein)
Historique des modifications :
Posté le 14/10/2024 à 14h03
Plus le temps passe, et plus ce type me parait détestable.
A noter aussi que les contributeurs associés à WP Engine sont purement et simplement bannis.
#1.2
#1.7
https://www.techspot.com/news/92932-developer-nukes-extensively-used-js-libraries-protest-corporate.html
Ou quelques projets opensource dont l'équipe a été vendue, a pourri la version opensource avant de sortir la version commerciale (kettle il me semble - quand Hitachi l'a repris en main, la version open source était ininstallable)
#1.3
https://wordpress.org/news/2024/10/spoon/
La situation est très "étrange", je ne sais pas ce que Matt attend, que WP Engine coule ou fasse à un gros chèque à WordPress(.org/.com) ?
#1.4
#1.5
Donc, d'un côté, il reproche à une entreprise de faire croire que c'est du WordPress car elle a WP dans son nom, et de l'autre, il promeut un fork ayant WP dans son nom.
Maintenant, j'avoue que je ne comprends pas non plus ce qu'est FreeWP. Sur la page, il est indiqué que ce n'est pas un fork, mais plutôt un nouveau portail médiatique autour de Wordpress...
#1.6
AspirePress a l'air d'être mieux, mais ça fait un peu "Acer"
Historique des modifications :
Posté le 14/10/2024 à 15h10
Et "OpenPress" indique "Optimized for AI" et "Built on Laravel", ça ne donne pas envie.
AspirePress a l'air d'être mieux, mais ça fait un peu "Acer"
#2
Sur la page du fork sur le site de Wordpress.org, on peut voir :
- un nombre très conséquent d'installation (+2 millions) ;
- de nombreuses évaluations (plus de 1000) ;
- les plus anciennes évaluations datant de presque 12 ans.
Autrement dit : ce n'est pas simplement un fork, c'est également le "vol" de la réputation du plugin forké. Non, franchement... bravo (il est ironique le bravo hein !)
Fun fact : le bouton download renvoi encore vers... ACF !
#2.1
C'est... disons inapproprié (pour rester polis est courtois)
#2.2
Mais sans les miyards en poche.
Cela dit, il semble avoir accès à la même came.
#2.3
#2.4
Bah, que dire à part que ce type est un connard ? Rien d'autre.
Il est en train de tuer un produit qui jouissait d'une forte réputation avec son comportement de débile.
Historique des modifications :
Posté le 14/10/2024 à 18h48
Il est en train de se faire descendre dans les avis, en tous cas.
Bah, que dire à part que ce type est un connard ? Rien d'autre.
Il est en train de tuer un produit qui jouissait d'une forte réputation avec son comportement de débile.
#2.5
En même temps, ce fork hostile a été fait en prenant le contrôle du produit existant. Il suffit de regarder les URL pour s'en rendre compte.
Depuis qu'il a sortie l'arme nucléaire pendant le WordCamp, Matt ne fait que jouer au con, mais d'une manière telle qu'il faut vraiment être siffoné pour agir ainsi. WP Engine dispose maintenant d'un dossier assez costaud pour accuser Automattic de chantage et d'abus de position dominante.
WP Engine a encore un coup à jouer : lancer son fork, et sa propre plateforme de plugin. Ce serait un excellent coup à jouer pour eux.
#2.7
Je te rejoins là-dessus, ils ont un coup à jouer en faisant un fork de WordPress et le proposer en lieu et place sur leur plateforme.
#2.8
Le code source d'ACF est disponible ici. Aucune licence n'est précisée. Donc, en théorie, le plugin n'est pas open source.
Autrement dit : le fork est totalement illégal (sans même parler de la prise de contrôle du plugin sur Wordpress.org, qui est un autre sujet)[edit]
Je me corrige. J'ai trouvé une référence à la licence. Le plugin est bien sous GPLv2. On trouve la licence dans le fichier readme.txt (mais attention, il faut bien l'ouvrir, car c'est dans le fichier readme.txt, et pas dans le fichier README.md qui est en prévisualisation).
Mais la référence est plutôt bien planquée...
Historique des modifications :
Posté le 15/10/2024 à 08h54
Je suis en train de voir un truc... Matt vient de se foutre dans une merde noire si c'est bien le cas (oui encore plus que celle dans laquelle il s'est mise tout seul).
Le code source d'ACF est disponible ici. Aucune licence n'est précisée. Donc, en théorie, le plugin n'est pas open source.
Autrement dit : le fork est totalement illégal (sans même parler de la prise de contrôle du plugin sur Wordpress.org, qui est un autre sujet)
#2.9
Elle n'est pas visible sur GitHub tout simplement parce qu'il manque le fichier
LICENSE
.Mais j'ai des doutes que ce genre de hijack soit compatible avec la GPLv2.
#2.10
Oui, ça j'ai vite vu. Après, le projet n'aide pas : pas d'entête dans les fichiers, et... non pas un mais DEUX fichiers readme, avec une casse et des extensions différentes ^^
J'avoue qu'il faudrait que je me replonge dans le détail de la GPLv2 pour cet aspect. D'autant plus que cet aspect de la licence peut tout à fait dépendre du droit en vigueur, qui peut lui-même être compliqué à déterminer dans ce genre de situation !
#2.6
#2.11
Certains mentionnent des avis négatifs supprimés. Je peux le constater aussi moi-même. Quand j'ai regardé hier soir, on était à 98 avis négatifs. Ce matin, 101 au moment où j'écris ces lignes.
Pourtant, j'en compte 11 publiés dans les 7 dernières heures... Le compte est pas bon Kévin.
Le plugin est en train de plonger en réalité... et les 100 avis négatifs sont sans doute en réalité bien plus nombreux...
#3
#4
#4.1
#4.2
#4.3
#4.4
Et pour remonter les erreurs, il y a une fonction sur le site, même sur mobile, surtout quand on fait des bisous.
#5
J'ai plus l'impression que c'est Wordpress.org. D'ailleurs, ce n'est pas sur le blog de la fondation que le billet a été publié, mais sur Wordpress.org
#6
Impressionnant, je pensais pas qu'il oserait une telle action.
Maintenant, j'ai hâte de voir la prochaine étape
#7
#7.1
[edit] J'apporte une précision/correctif : apparemment, c'est l'équipe de Wordpress qui a trouvé la faille initialement, avant la prise de contrôle du plugin, mais après la coupure de Wordpress.org.
Historique des modifications :
Posté le 14/10/2024 à 21h37
Si j'ai bien compris, oui, c'est bidon. WP Engine a corrigé la faille avant le fork, mais était incapable de mettre à jour la version sur Wordpress.org (accès refusé). Donc Matt a simplement repris le correctif fait par WP Engine pour l'appliquer ensuite sur la version hébergée par Wordpress.org.
#7.2
= 6.3.8 =
Release Date 7th October 2024
* Security - ACF defined Post Type and Taxonomy metabox callbacks no longer have access to $_POST data. (Thanks to the Automattic Security Team for the disclosure)
Donc la faille a été corrigée le 7 octobre, suite à un signalement de l'équipe de sécurité d'Automattic.
Autrement dit, la faille a été corrigée avant la prise de contrôle du plugin par Matt, mais après la coupure de service sur Wordpress.org (donc WP Engine était bien dans l'incapacité de mettre à jour son plugin).
Les arguments sécuritaires de Matt sont donc vraiment bidon (car c'est lui qui a créé la situation), car l'équipe de WP Engine a réagit rapidement et publié très vide un correctif.
Historique des modifications :
Posté le 15/10/2024 à 09h04
J'ai trouvé plus d'info dans le code source d'ACF
= 6.3.8 =
Release Date 7th October 2024
* Security - ACF defined Post Type and Taxonomy metabox callbacks no longer have access to $_POST data. (Thanks to the Automattic Security Team for the disclosure)
Donc la faille a été corrigée le 7 octobre, suite à un signalement de l'équipe de sécurité d'Automattic.
Autrement dit, la faille a été corrigé avant la prise de contrôle du plugin par Matt, mais après la coupure de service sur Wordpress.org (donc WP Engine était bien dans l'incapacité de mettre à jour son plugin).
Les arguments sécuritaires de Matt sont donc vraiment bidon (car c'est lui qui a créé la situation), car l'équipe de WP Engine a réagit rapidement et publié très vide un correctif.
#8
Historique des modifications :
Posté le 15/10/2024 à 20h37
"dérive" ou "réadaptation" logicielle ne serait pas adaptée à notre larousse francophone, là où forke est plutot anglosaxon?