Connexion
Abonnez-vous

La fondation WordPress « forke » Advanced Custom Fields, un plugin de WP Engine

La fondation WordPress « forke » Advanced Custom Fields, un plugin de WP Engine

Photo de Paul Bulai sur Unsplash

Le 14 octobre à 13h35

Samedi 12 octobre, le co-créateur de Wordpress et aussi CEO d'Automattic (qui possède Wordpress.com), Matt Mullenweg, a continué sa guerre contre l'autre hébergeur de site utilisant le système de gestion de contenu libre, WP Engine. Sur le blog de la fondation du même nom que le logiciel, il a publié un billet expliquant qu' « au nom de l'équipe de sécurité de WordPress », il annonçait avoir « forké » Advanced Custom Fields (ACF), un plugin développé par WP Engine.

Selon lui, le nouveau plugin, Secure Custom Fields (SCF), ne comporte plus les messages à caractères commerciaux qui s'affichent dans ACF et un « problème de sécurité » a été résolu.

Matt Mullenweg prend appui sur l'annonce (supprimée quelques heures après publication de cet article, ndr) de l'équipe d'ACF prévenant que les nouvelles mises à jour de leur plugin proviendrait de leur propre site et non plus de Wordpress.org, magasin de plugins du logiciel.

De son côté, l'équipe d'ACF a répondu sur X qu' « au cours des 21 ans d'histoire de WordPress, aucun plugin en cours de développement n'a jamais été retiré unilatéralement et de force à son créateur sans son consentement ». Elle pointe aussi le problème « éthique d’une telle action » et le « nouveau précédent qui a été établi ». Elle donne un lien permettant de mettre à jour son plugin.

Le 14 octobre à 13h35

Commentaires (32)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
Matt se justifie en s'appuyant sur le point 18 des guidelines des plugin de WP.

Mais il a oublié de prendre en compte la dernière ligne de ce point :
In return, we promise to use those rights sparingly and with as much respect as possible for both end users and developers.
votre avatar
Plus le temps passe, et plus ce type me parait détestable.

A noter aussi que les contributeurs associés à WP Engine sont purement et simplement bannis.

[edit] A noter aussi que le plugin d'ACF est forké, car... l'équipe de WP Engine ne peut plus mettre à jour le plugin (la version community) sur... Wordpress.org puisque le site leur est bloqué !

Franchement, j'ai juste envie de vomir devant un tel comportement... (celui de Matt hein)
votre avatar
Je suis cette affaire depuis un moment, et j'ai vraiment l'impression que ce gars a pété un câble d'une façon jamais vue. Il devrait se faire soigner, son comportement devient vraiment inquiétant.
votre avatar
On a eu quelques précédents:
https://www.techspot.com/news/92932-developer-nukes-extensively-used-js-libraries-protest-corporate.html

Ou quelques projets opensource dont l'équipe a été vendue, a pourri la version opensource avant de sortir la version commerciale (kettle il me semble - quand Hitachi l'a repris en main, la version open source était ininstallable)
votre avatar
Comme pressenti, il y a de nouveaux forks de WordPress, Matt les met même en valeur sur wordpress.org :
https://wordpress.org/news/2024/10/spoon/

La situation est très "étrange", je ne sais pas ce que Matt attend, que WP Engine coule ou fasse à un gros chèque à WordPress(.org/.com) ?
votre avatar
Probablement les 2. En même temps.
votre avatar
Franchement, c'est vraiment du n'importe quoi...
We’re very proud to announce that Vinny Green, a former WordPress community member, has started his fork, FreeWP. We strongly encourage anyone who disagrees with the direction WordPress is headed in to join up with Vinny and create an amazing fork of WordPress. Viva FreeWP!
Donc, d'un côté, il reproche à une entreprise de faire croire que c'est du WordPress car elle a WP dans son nom, et de l'autre, il promeut un fork ayant WP dans son nom.

Maintenant, j'avoue que je ne comprends pas non plus ce qu'est FreeWP. Sur la page, il est indiqué que ce n'est pas un fork, mais plutôt un nouveau portail médiatique autour de Wordpress...
votre avatar
Et "OpenPress" indique "Optimized for AI" et "Built on Laravel", ça ne donne pas envie.

AspirePress a l'air d'être mieux, mais ça fait un peu "Acer" :-D
votre avatar
Autre pratique que je qualifierai de douteuse.

Sur la page du fork sur le site de Wordpress.org, on peut voir :
- un nombre très conséquent d'installation (+2 millions) ;
- de nombreuses évaluations (plus de 1000) ;
- les plus anciennes évaluations datant de presque 12 ans.

Autrement dit : ce n'est pas simplement un fork, c'est également le "vol" de la réputation du plugin forké. Non, franchement... bravo (il est ironique le bravo hein !)

Fun fact : le bouton download renvoi encore vers... ACF !
votre avatar
Voilà une démarche tout ce qu'il y a de plus détestable... S'attribuer le travail des autres alors que le fork n'existe que depuis quelques jours (heures ?), surtout venant d'un prestataire de portée mondiale...
C'est... disons inapproprié (pour rester polis est courtois)
votre avatar
En fait mon opinion sur ce type se confirme. Un wannabe Elon Musk.

Mais sans les miyards en poche.

Cela dit, il semble avoir accès à la même came.
votre avatar
Et si je te dis que c'est encore pire que ça ? Non seulement il forke, non seulement il "prend" la réputation du plugin forké, mais en plus... j'ai lu qu'il remplacerait automatiquement le plugin ACF par SCF !
votre avatar
Il est en train de se faire descendre dans les avis, en tous cas.

Bah, que dire à part que ce type est un connard ? Rien d'autre.

Il est en train de tuer un produit qui jouissait d'une forte réputation avec son comportement de débile.
votre avatar
Oui, j'ai vu ça. Et ça continue. Depuis tout à l'heure, une bonne dizaine de 1 étoile en quoi, 2/3 h ?

En même temps, ce fork hostile a été fait en prenant le contrôle du produit existant. Il suffit de regarder les URL pour s'en rendre compte.

Depuis qu'il a sortie l'arme nucléaire pendant le WordCamp, Matt ne fait que jouer au con, mais d'une manière telle qu'il faut vraiment être siffoné pour agir ainsi. WP Engine dispose maintenant d'un dossier assez costaud pour accuser Automattic de chantage et d'abus de position dominante.

WP Engine a encore un coup à jouer : lancer son fork, et sa propre plateforme de plugin. Ce serait un excellent coup à jouer pour eux.
votre avatar
L'espace d'un moment j'ai eu un doute si ce n'était pas aussi une violation de la GPLv2, mais après relecture de celle-ci je ne suis pas certain. Quoique effacer l'auteur original (le copyright holder dans le texte) ne me semble pas dans l'esprit de la licence. Après, WP Engine reste listé dans les contributeurs.

Je te rejoins là-dessus, ils ont un coup à jouer en faisant un fork de WordPress et le proposer en lieu et place sur leur plateforme.
votre avatar
Je suis en train de voir un truc... Matt vient de se foutre dans une merde noire si c'est bien le cas (oui encore plus que celle dans laquelle il s'est mise tout seul).

Le code source d'ACF est disponible ici. Aucune licence n'est précisée. Donc, en théorie, le plugin n'est pas open source.

Autrement dit : le fork est totalement illégal (sans même parler de la prise de contrôle du plugin sur Wordpress.org, qui est un autre sujet)

[edit]
Je me corrige. J'ai trouvé une référence à la licence. Le plugin est bien sous GPLv2. On trouve la licence dans le fichier readme.txt (mais attention, il faut bien l'ouvrir, car c'est dans le fichier readme.txt, et pas dans le fichier README.md qui est en prévisualisation).

Mais la référence est plutôt bien planquée...
votre avatar
Oui j'avais téléchargé les sources justement pour voir la licence ;)

Elle n'est pas visible sur GitHub tout simplement parce qu'il manque le fichier LICENSE.

Mais j'ai des doutes que ce genre de hijack soit compatible avec la GPLv2.
votre avatar
Elle n'est pas visible sur GitHub tout simplement parce qu'il manque le fichier LICENSE.
Oui, ça j'ai vite vu. Après, le projet n'aide pas : pas d'entête dans les fichiers, et... non pas un mais DEUX fichiers readme, avec une casse et des extensions différentes ^^
Mais j'ai des doutes que ce genre de hijack soit compatible avec la GPLv2.
J'avoue qu'il faudrait que je me replonge dans le détail de la GPLv2 pour cet aspect. D'autant plus que cet aspect de la licence peut tout à fait dépendre du droit en vigueur, qui peut lui-même être compliqué à déterminer dans ce genre de situation !
votre avatar
Un des avis m'a bien fait rire (vu la situation) : Plugin should be called Stolen Custom Fields
votre avatar
Je subodore également une tentative de Matt de limiter la casse sur les votes.

Certains mentionnent des avis négatifs supprimés. Je peux le constater aussi moi-même. Quand j'ai regardé hier soir, on était à 98 avis négatifs. Ce matin, 101 au moment où j'écris ces lignes.

Pourtant, j'en compte 11 publiés dans les 7 dernières heures... Le compte est pas bon Kévin.

Le plugin est en train de plonger en réalité... et les 100 avis négatifs sont sans doute en réalité bien plus nombreux...
votre avatar
Ce qui est bien dans l'Open-Source, c'est que c'est un business comme un autre. :devil:
votre avatar
Un "fork" ne prend pas de "e". :smack:
votre avatar
Mais prends le mérite des autres apparemment
votre avatar
Avec "fourche" la question ne se serait pas posée ;)
votre avatar
Mais la conjugaison de l'anglicisme "forker" oui ;)
votre avatar
Ce n'est pas le substantif "fork" mais le verbe « forker » (d'où les guillemets) qui est conjugué.

Et pour remonter les erreurs, il y a une fonction sur le site, même sur mobile, surtout quand on fait des bisous.
votre avatar
Une remarque en passant : est-ce vraiment la fondation Wordpress (qui est plutôt restée "neutre" hormis la précision sur l'usage de WP) ou Wordpress.org ?

J'ai plus l'impression que c'est Wordpress.org. D'ailleurs, ce n'est pas sur le blog de la fondation que le billet a été publié, mais sur Wordpress.org
votre avatar
Waouh !

Impressionnant, je pensais pas qu'il oserait une telle action.

Maintenant, j'ai hâte de voir la prochaine étape :ooo:
votre avatar
Et sinon le soit-disant problème de sécurité, c'est bidon ou pas? (Outre le fait que ce soit d'une mesquinerie absolue de forker sous ce prétexte)
votre avatar
Si j'ai bien compris, oui, c'est bidon. WP Engine a corrigé la faille avant le fork, mais était incapable de mettre à jour la version sur Wordpress.org (accès refusé). Donc Matt a simplement repris le correctif fait par WP Engine pour l'appliquer ensuite sur la version hébergée par Wordpress.org.

[edit] J'apporte une précision/correctif : apparemment, c'est l'équipe de Wordpress qui a trouvé la faille initialement, avant la prise de contrôle du plugin, mais après la coupure de Wordpress.org.
votre avatar
J'ai trouvé plus d'info dans le code source d'ACF

= 6.3.8 =
Release Date 7th October 2024

* Security - ACF defined Post Type and Taxonomy metabox callbacks no longer have access to $_POST data. (Thanks to the Automattic Security Team for the disclosure)


Donc la faille a été corrigée le 7 octobre, suite à un signalement de l'équipe de sécurité d'Automattic.

Autrement dit, la faille a été corrigée avant la prise de contrôle du plugin par Matt, mais après la coupure de service sur Wordpress.org (donc WP Engine était bien dans l'incapacité de mettre à jour son plugin).

Les arguments sécuritaires de Matt sont donc vraiment bidon (car c'est lui qui a créé la situation), car l'équipe de WP Engine a réagit rapidement et publié très vide un correctif.
votre avatar
"dérive" ou "réadaptation" ou encore "variante" logicielle ne serait pas adaptée à notre larousse francophone, là où forke est plutot anglosaxon?

La fondation WordPress « forke » Advanced Custom Fields, un plugin de WP Engine

Fermer