La fondation WordPress « forke » Advanced Custom Fields, un plugin de WP Engine
Le 14 octobre à 13h35
2 min
Logiciel
Logiciel
Samedi 12 octobre, le co-créateur de Wordpress et aussi CEO d'Automattic (qui possède Wordpress.com), Matt Mullenweg, a continué sa guerre contre l'autre hébergeur de site utilisant le système de gestion de contenu libre, WP Engine. Sur le blog de la fondation du même nom que le logiciel, il a publié un billet expliquant qu' « au nom de l'équipe de sécurité de WordPress », il annonçait avoir « forké » Advanced Custom Fields (ACF), un plugin développé par WP Engine.
Selon lui, le nouveau plugin, Secure Custom Fields (SCF), ne comporte plus les messages à caractères commerciaux qui s'affichent dans ACF et un « problème de sécurité » a été résolu.
Matt Mullenweg prend appui sur l'annonce (supprimée quelques heures après publication de cet article, ndr) de l'équipe d'ACF prévenant que les nouvelles mises à jour de leur plugin proviendrait de leur propre site et non plus de Wordpress.org, magasin de plugins du logiciel.
De son côté, l'équipe d'ACF a répondu sur X qu' « au cours des 21 ans d'histoire de WordPress, aucun plugin en cours de développement n'a jamais été retiré unilatéralement et de force à son créateur sans son consentement ». Elle pointe aussi le problème « éthique d’une telle action » et le « nouveau précédent qui a été établi ». Elle donne un lien permettant de mettre à jour son plugin.
Le 14 octobre à 13h35
Commentaires (33)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 14/10/2024 à 13h53
Mais il a oublié de prendre en compte la dernière ligne de ce point :
Modifié le 14/10/2024 à 14h06
A noter aussi que les contributeurs associés à WP Engine sont purement et simplement bannis.
[edit] A noter aussi que le plugin d'ACF est forké, car... l'équipe de WP Engine ne peut plus mettre à jour le plugin (la version community) sur... Wordpress.org puisque le site leur est bloqué !
Franchement, j'ai juste envie de vomir devant un tel comportement... (celui de Matt hein)
Le 14/10/2024 à 14h22
Le 15/10/2024 à 10h16
https://www.techspot.com/news/92932-developer-nukes-extensively-used-js-libraries-protest-corporate.html
Ou quelques projets opensource dont l'équipe a été vendue, a pourri la version opensource avant de sortir la version commerciale (kettle il me semble - quand Hitachi l'a repris en main, la version open source était ininstallable)
Le 14/10/2024 à 14h37
https://wordpress.org/news/2024/10/spoon/
La situation est très "étrange", je ne sais pas ce que Matt attend, que WP Engine coule ou fasse à un gros chèque à WordPress(.org/.com) ?
Le 14/10/2024 à 14h47
Le 14/10/2024 à 15h05
Donc, d'un côté, il reproche à une entreprise de faire croire que c'est du WordPress car elle a WP dans son nom, et de l'autre, il promeut un fork ayant WP dans son nom.
Maintenant, j'avoue que je ne comprends pas non plus ce qu'est FreeWP. Sur la page, il est indiqué que ce n'est pas un fork, mais plutôt un nouveau portail médiatique autour de Wordpress...
Modifié le 14/10/2024 à 15h13
AspirePress a l'air d'être mieux, mais ça fait un peu "Acer"
Le 12/11/2024 à 16h00
C'est super insultant pour les forks mentionnés, la seule valeur qu'il leur attribue c'est de servir de perchoir pour placer sa punchline envers WP Engine.
Le 14/10/2024 à 14h38
Sur la page du fork sur le site de Wordpress.org, on peut voir :
- un nombre très conséquent d'installation (+2 millions) ;
- de nombreuses évaluations (plus de 1000) ;
- les plus anciennes évaluations datant de presque 12 ans.
Autrement dit : ce n'est pas simplement un fork, c'est également le "vol" de la réputation du plugin forké. Non, franchement... bravo (il est ironique le bravo hein !)
Fun fact : le bouton download renvoi encore vers... ACF !
Le 14/10/2024 à 15h08
C'est... disons inapproprié (pour rester polis est courtois)
Le 14/10/2024 à 15h09
Mais sans les miyards en poche.
Cela dit, il semble avoir accès à la même came.
Le 14/10/2024 à 18h14
Modifié le 14/10/2024 à 18h48
Bah, que dire à part que ce type est un connard ? Rien d'autre.
Il est en train de tuer un produit qui jouissait d'une forte réputation avec son comportement de débile.
Le 14/10/2024 à 19h33
En même temps, ce fork hostile a été fait en prenant le contrôle du produit existant. Il suffit de regarder les URL pour s'en rendre compte.
Depuis qu'il a sortie l'arme nucléaire pendant le WordCamp, Matt ne fait que jouer au con, mais d'une manière telle qu'il faut vraiment être siffoné pour agir ainsi. WP Engine dispose maintenant d'un dossier assez costaud pour accuser Automattic de chantage et d'abus de position dominante.
WP Engine a encore un coup à jouer : lancer son fork, et sa propre plateforme de plugin. Ce serait un excellent coup à jouer pour eux.
Le 15/10/2024 à 07h33
Je te rejoins là-dessus, ils ont un coup à jouer en faisant un fork de WordPress et le proposer en lieu et place sur leur plateforme.
Modifié le 15/10/2024 à 09h00
Le code source d'ACF est disponible ici. Aucune licence n'est précisée. Donc, en théorie, le plugin n'est pas open source.
Autrement dit : le fork est totalement illégal (sans même parler de la prise de contrôle du plugin sur Wordpress.org, qui est un autre sujet)[edit]
Je me corrige. J'ai trouvé une référence à la licence. Le plugin est bien sous GPLv2. On trouve la licence dans le fichier readme.txt (mais attention, il faut bien l'ouvrir, car c'est dans le fichier readme.txt, et pas dans le fichier README.md qui est en prévisualisation).
Mais la référence est plutôt bien planquée...
Le 15/10/2024 à 09h09
Elle n'est pas visible sur GitHub tout simplement parce qu'il manque le fichier
LICENSE
.Mais j'ai des doutes que ce genre de hijack soit compatible avec la GPLv2.
Le 15/10/2024 à 09h57
J'avoue qu'il faudrait que je me replonge dans le détail de la GPLv2 pour cet aspect. D'autant plus que cet aspect de la licence peut tout à fait dépendre du droit en vigueur, qui peut lui-même être compliqué à déterminer dans ce genre de situation !
Le 14/10/2024 à 19h36
Le 15/10/2024 à 10h03
Certains mentionnent des avis négatifs supprimés. Je peux le constater aussi moi-même. Quand j'ai regardé hier soir, on était à 98 avis négatifs. Ce matin, 101 au moment où j'écris ces lignes.
Pourtant, j'en compte 11 publiés dans les 7 dernières heures... Le compte est pas bon Kévin.
Le plugin est en train de plonger en réalité... et les 100 avis négatifs sont sans doute en réalité bien plus nombreux...
Le 14/10/2024 à 15h03
Le 14/10/2024 à 15h10
Le 14/10/2024 à 15h12
Le 14/10/2024 à 15h15
Le 14/10/2024 à 15h16
Le 14/10/2024 à 15h19
Et pour remonter les erreurs, il y a une fonction sur le site, même sur mobile, surtout quand on fait des bisous.
Le 14/10/2024 à 15h49
J'ai plus l'impression que c'est Wordpress.org. D'ailleurs, ce n'est pas sur le blog de la fondation que le billet a été publié, mais sur Wordpress.org
Le 14/10/2024 à 19h59
Impressionnant, je pensais pas qu'il oserait une telle action.
Maintenant, j'ai hâte de voir la prochaine étape
Le 14/10/2024 à 21h30
Modifié le 14/10/2024 à 23h00
[edit] J'apporte une précision/correctif : apparemment, c'est l'équipe de Wordpress qui a trouvé la faille initialement, avant la prise de contrôle du plugin, mais après la coupure de Wordpress.org.
Modifié le 15/10/2024 à 09h05
= 6.3.8 =
Release Date 7th October 2024
* Security - ACF defined Post Type and Taxonomy metabox callbacks no longer have access to $_POST data. (Thanks to the Automattic Security Team for the disclosure)
Donc la faille a été corrigée le 7 octobre, suite à un signalement de l'équipe de sécurité d'Automattic.
Autrement dit, la faille a été corrigée avant la prise de contrôle du plugin par Matt, mais après la coupure de service sur Wordpress.org (donc WP Engine était bien dans l'incapacité de mettre à jour son plugin).
Les arguments sécuritaires de Matt sont donc vraiment bidon (car c'est lui qui a créé la situation), car l'équipe de WP Engine a réagit rapidement et publié très vide un correctif.
Modifié le 15/10/2024 à 20h38