- WordPress.org merilis fork dari plugin populer milik WP Engine, Advanced Custom Fields (ACF), dengan nama “Secure Custom Fields”, sehingga konflik soal kendali plugin makin memanas
- Matt Mullenweg menyebut alasannya adalah menghapus upsell komersial dan memperbaiki masalah keamanan, tetapi masalah keamanan yang spesifik tidak dijelaskan dengan jelas
- Dasar langkah ini adalah Pedoman Direktori Plugin nomor 18, yang memungkinkan tim WordPress menghapus atau mengubah plugin tanpa persetujuan pengembang
- Tim ACF dari WP Engine membantah di X bahwa WordPress belum pernah “mengambil secara sepihak dan memaksa” plugin tanpa persetujuan pembuatnya
- Pengguna yang bukan pelanggan WP Engine, Flywheel, atau ACF Pro harus mengunduh versi asli 6.3.8 satu kali dari situs ACF agar bisa terus menerima pembaruan
Bagaimana ACF berubah menjadi Secure Custom Fields
- WordPress.org merilis fork dari plugin populer milik WP Engine, Advanced Custom Fields (ACF), dengan nama “Secure Custom Fields”
- Matt Mullenweg mengatakan pembaruan ini adalah fork dari plugin ACF, dilakukan untuk “menghapus upsell komersial dan memperbaiki masalah keamanan”
- Pengumuman ini disampaikan melalui postingan WordPress.org oleh salah satu pendiri WordPress sekaligus CEO Automattic, Matt Mullenweg
- “Secure Custom Fields” dipublikasikan di halaman plugin Advanced Custom Fields di WordPress.org
Pedoman nomor 18 dan konflik hukum
- Mullenweg menjadikan Pedoman Direktori Plugin nomor 18 sebagai dasar langkah ini, yang memungkinkan tim WordPress menghapus plugin atau mengubahnya tanpa persetujuan pengembang
- Langkah ini terkait dengan gugatan hukum yang baru-baru ini diajukan WP Engine terhadap Mullenweg dan Automattic
- Mullenweg menjelaskan bahwa situasi serupa pernah terjadi sebelumnya, tetapi tidak pernah sebesar ini, dan ini adalah “situasi yang jarang dan tidak biasa” yang muncul karena serangan hukum dari WP Engine
- Ia juga menambahkan bahwa ia tidak memperkirakan hal yang sama akan terjadi pada plugin lain
Ruang lingkup perbaikan keamanan yang tidak jelas
- Mullenweg mengatakan ada perbaikan masalah keamanan, tetapi tidak jelas masalah keamanan mana yang dimaksud
- Pembaruan kali ini disebut sebagai pembaruan yang “minimal”
- Alasan perubahan plugin ini berfokus pada penghapusan upsell komersial dan perbaikan masalah keamanan
Bantahan tim ACF WP Engine dan langkah untuk pengguna
- Tim ACF dari WP Engine membantah di X bahwa WordPress belum pernah “mengambil secara sepihak dan memaksa” plugin tanpa persetujuan orang yang membuatnya
- Setelah itu, tim ACF memberi panduan prosedur pembaruan terpisah bagi pengguna yang bukan pelanggan WP Engine, Flywheel, atau ACF Pro
- Harus membuka situs ACF
- Harus mengikuti prosedur yang sebelumnya dipublikasikan ACF
- Harus mengunduh versi asli 6.3.8 satu kali agar bisa terus menerima pembaruan
Peran plugin ACF
- ACF adalah plugin yang memungkinkan pembuat situs web menggunakan custom fields ketika field standar yang ada tidak mencukupi
- Menurut ringkasan ACF, custom fields sebenarnya sudah ada sebagai fitur bawaan di WordPress, tetapi “tidak terlalu ramah pengguna”
1 komentar
Komentar Hacker News
Hari ini saya dihubungi oleh klien yang sudah 5 tahun tidak pernah menghubungi saya, dan mereka memakai ACF serta plugin migrasi unggahan file ke S3 yang diakuisisi oleh WPEngine
Mereka sangat cemas dengan kejadian ini dan khawatir tentang dampak perubahan berikutnya terhadap bisnis mereka, sehingga pada akhirnya ingin meninggalkan WordPress
WordPress dulu melarang plugin fork di direktori plugin, tetapi sekarang mereka melakukan hal yang dulu mereka larang untuk orang lain: https://make.wordpress.org/plugins/2021/02/16/reminder-forke...
Plugin ini memang di-fork, tetapi tampaknya tidak memberikan fitur premium secara gratis
Ini bukan pembelaan etis, hanya pelurusan fakta
Tidak jelas masalah keamanan apa yang disebut Mullenweg dalam tulisannya
Di mana CVE-nya, dan sama sekali tidak ada detail tentang risiko apa yang muncul jika tetap memakai plugin asli
Akibatnya hanya timbul kecemasan karena kita tidak tahu apakah versi aslinya aman
Apakah kalimat “ke depan Secure Custom Fields adalah plugin nonkomersial” berarti WordPress mungkin sedang membidik sumber pendapatan WPEngine?
Jika ada opsi Pro, juga tidak jelas apakah bagian itu merupakan source tertutup dan karena itu tidak ada di codebase fork WordPress: https://www.advancedcustomfields.com/pro/
Sepertinya dia ingin menakut-nakuti pelanggan WPEngine agar meninggalkan layanannya, dan sekarang ini terlihat seperti perang pribadi
Saya tidak akan kaget jika hal itu termasuk pelanggaran
Ini juga berlaku untuk ACF Pro
Balasan yang tepat di sini adalah jika WPEngine mencari satu atau lebih pihak ketiga yang tepercaya, lalu bersama-sama membentuk yayasan dan berhasil mem-fork WordPress
Masalah yang dia soroti adalah WP Engine tidak berkontribusi ke WordPress, jadi jika mereka memutuskan untuk memelihara fork dan infrastrukturnya, mereka tidak lagi menjadi penumpang gratis
Menurut saya Automattic juga akan senang jika mereka benar-benar melakukan fork
Sekalipun ada titik tengah yang muncul dari kekacauan yang dibuat Matt ini, saya takut kerusakan pada komunitas sudah telanjur terjadi
Sepertinya tinggal soal waktu sampai popularitas platform terkenal yang hampir semua orang pakai dalam satu bentuk atau bentuk lain ini runtuh
WordPress sudah memberi banyak hal pada internet selama bertahun-tahun, tetapi sebagian besarnya adalah situs yang dibajak dan masalah keamanan
Jika ini berujung pada lahirnya atau populernya alat yang modern dan aman, itu bisa menjadi keuntungan bersih bagi semua orang
Tentu saja biasanya ada tanda-tanda awal yang panjang lalu meledak lewat satu insiden terkenal, tetapi mungkin WordPress juga sudah menunjukkan gejala serupa
Dari yang terlihat sejauh ini, humas mereka saat ini tidak terlalu bagus
WordPress hanyalah kurcaci paling tinggi
Penasihat hukum mereka entah sangat hebat atau sangat buruk, atau mereka cuma mengabaikan nasihat hukum
Orang bernama Matt ini tampaknya tidak waras
Jadi kemungkinan masalahnya lebih besar ada di pihak kliennya sendiri
Mullenweg sedang membajak pengguna lama melalui serangan rantai pasok
Saya kira justru itu inti dari definisinya
Dengan tindakan seperti ini, nama WordPress sedang dihantam jatuh ke tanah
Dengan cara yang aneh, ini memang masuk akal
wp.org terdesak ke posisi di mana mereka sendiri harus menutup celah keamanan itu, dan untuk melakukannya mereka harus menambal langsung, yang berarti mereka harus mengambil alih paket tersebut
Ini memang mengejutkan, tetapi mungkin tetap lebih baik daripada membiarkan kerentanan keamanan yang sudah diketahui dan dipublikasikan begitu saja
Sekarang ini mulai terasa sedih dengan cara yang biasa saja
Sayang sekali tidak ada alternatif yang sebanding dengan ekosistem yang tidak terlalu berubah-ubah
Diskusi Hacker News sebelumnya: https://news.ycombinator.com/item?id=41821400
https://news.ycombinator.com/item?id=41821336 (165 komentar, termasuk 5 komentar dari photomatt)
https://news.ycombinator.com/item?id=41824852 (63 komentar)