1 poin oleh GN⁺ 2024-10-14 | 1 komentar | Bagikan ke WhatsApp
  • WordPress.org merilis fork dari plugin populer milik WP Engine, Advanced Custom Fields (ACF), dengan nama “Secure Custom Fields”, sehingga konflik soal kendali plugin makin memanas
  • Matt Mullenweg menyebut alasannya adalah menghapus upsell komersial dan memperbaiki masalah keamanan, tetapi masalah keamanan yang spesifik tidak dijelaskan dengan jelas
  • Dasar langkah ini adalah Pedoman Direktori Plugin nomor 18, yang memungkinkan tim WordPress menghapus atau mengubah plugin tanpa persetujuan pengembang
  • Tim ACF dari WP Engine membantah di X bahwa WordPress belum pernah “mengambil secara sepihak dan memaksa” plugin tanpa persetujuan pembuatnya
  • Pengguna yang bukan pelanggan WP Engine, Flywheel, atau ACF Pro harus mengunduh versi asli 6.3.8 satu kali dari situs ACF agar bisa terus menerima pembaruan

Bagaimana ACF berubah menjadi Secure Custom Fields

  • WordPress.org merilis fork dari plugin populer milik WP Engine, Advanced Custom Fields (ACF), dengan nama “Secure Custom Fields”
  • Matt Mullenweg mengatakan pembaruan ini adalah fork dari plugin ACF, dilakukan untuk “menghapus upsell komersial dan memperbaiki masalah keamanan”
  • Pengumuman ini disampaikan melalui postingan WordPress.org oleh salah satu pendiri WordPress sekaligus CEO Automattic, Matt Mullenweg
  • “Secure Custom Fields” dipublikasikan di halaman plugin Advanced Custom Fields di WordPress.org

Pedoman nomor 18 dan konflik hukum

  • Mullenweg menjadikan Pedoman Direktori Plugin nomor 18 sebagai dasar langkah ini, yang memungkinkan tim WordPress menghapus plugin atau mengubahnya tanpa persetujuan pengembang
  • Langkah ini terkait dengan gugatan hukum yang baru-baru ini diajukan WP Engine terhadap Mullenweg dan Automattic
  • Mullenweg menjelaskan bahwa situasi serupa pernah terjadi sebelumnya, tetapi tidak pernah sebesar ini, dan ini adalah “situasi yang jarang dan tidak biasa” yang muncul karena serangan hukum dari WP Engine
  • Ia juga menambahkan bahwa ia tidak memperkirakan hal yang sama akan terjadi pada plugin lain

Ruang lingkup perbaikan keamanan yang tidak jelas

  • Mullenweg mengatakan ada perbaikan masalah keamanan, tetapi tidak jelas masalah keamanan mana yang dimaksud
  • Pembaruan kali ini disebut sebagai pembaruan yang “minimal”
  • Alasan perubahan plugin ini berfokus pada penghapusan upsell komersial dan perbaikan masalah keamanan

Bantahan tim ACF WP Engine dan langkah untuk pengguna

  • Tim ACF dari WP Engine membantah di X bahwa WordPress belum pernah “mengambil secara sepihak dan memaksa” plugin tanpa persetujuan orang yang membuatnya
  • Setelah itu, tim ACF memberi panduan prosedur pembaruan terpisah bagi pengguna yang bukan pelanggan WP Engine, Flywheel, atau ACF Pro
    • Harus membuka situs ACF
    • Harus mengikuti prosedur yang sebelumnya dipublikasikan ACF
    • Harus mengunduh versi asli 6.3.8 satu kali agar bisa terus menerima pembaruan

Peran plugin ACF

  • ACF adalah plugin yang memungkinkan pembuat situs web menggunakan custom fields ketika field standar yang ada tidak mencukupi
  • Menurut ringkasan ACF, custom fields sebenarnya sudah ada sebagai fitur bawaan di WordPress, tetapi “tidak terlalu ramah pengguna”

1 komentar

 
GN⁺ 2024-10-14
Komentar Hacker News
  • Hari ini saya dihubungi oleh klien yang sudah 5 tahun tidak pernah menghubungi saya, dan mereka memakai ACF serta plugin migrasi unggahan file ke S3 yang diakuisisi oleh WPEngine
    Mereka sangat cemas dengan kejadian ini dan khawatir tentang dampak perubahan berikutnya terhadap bisnis mereka, sehingga pada akhirnya ingin meninggalkan WordPress

    • Hal seperti ini cukup umum terjadi ketika perusahaan besar mencoba menilai opsi yang stabil, dan ini merugikan bukan hanya WordPress tetapi juga open source secara keseluruhan
  • WordPress dulu melarang plugin fork di direktori plugin, tetapi sekarang mereka melakukan hal yang dulu mereka larang untuk orang lain: https://make.wordpress.org/plugins/2021/02/16/reminder-forke...

    • Tulisan itu tampaknya membahas kasus fork atas plugin open source berbayar
      Plugin ini memang di-fork, tetapi tampaknya tidak memberikan fitur premium secara gratis
      Ini bukan pembelaan etis, hanya pelurusan fakta
    • Itu bukan plugin premium
  • Tidak jelas masalah keamanan apa yang disebut Mullenweg dalam tulisannya
    Di mana CVE-nya, dan sama sekali tidak ada detail tentang risiko apa yang muncul jika tetap memakai plugin asli
    Akibatnya hanya timbul kecemasan karena kita tidak tahu apakah versi aslinya aman
    Apakah kalimat “ke depan Secure Custom Fields adalah plugin nonkomersial” berarti WordPress mungkin sedang membidik sumber pendapatan WPEngine?
    Jika ada opsi Pro, juga tidak jelas apakah bagian itu merupakan source tertutup dan karena itu tidak ada di codebase fork WordPress: https://www.advancedcustomfields.com/pro/

    • Perbedaannya yang menunjukkan perubahan ada di sini: https://plugins.trac.wordpress.org/changeset?new=3167679%40a...
    • Kecemasan itu tampaknya memang hasil yang diinginkan Matt
      Sepertinya dia ingin menakut-nakuti pelanggan WPEngine agar meninggalkan layanannya, dan sekarang ini terlihat seperti perang pribadi
    • Saya memahaminya sebagai ACF menyuntikkan pemberitahuan ke dashboard semua orang demi kepentingan hukum mereka sendiri
      Saya tidak akan kaget jika hal itu termasuk pelanggaran
    • WordPress dilisensikan dengan GPL, jadi semua plugin harus memakai lisensi yang kompatibel dengan GPL
      Ini juga berlaku untuk ACF Pro
  • Balasan yang tepat di sini adalah jika WPEngine mencari satu atau lebih pihak ketiga yang tepercaya, lalu bersama-sama membentuk yayasan dan berhasil mem-fork WordPress

    • Bukankah alasan semua ini dimulai karena Automattic mengeluh bahwa WPEngine bersaing gratis tanpa banyak berkontribusi pada pengembangan WordPress?
    • Matt justru kelihatannya akan cukup menyambut itu
      Masalah yang dia soroti adalah WP Engine tidak berkontribusi ke WordPress, jadi jika mereka memutuskan untuk memelihara fork dan infrastrukturnya, mereka tidak lagi menjadi penumpang gratis
      Menurut saya Automattic juga akan senang jika mereka benar-benar melakukan fork
  • Sekalipun ada titik tengah yang muncul dari kekacauan yang dibuat Matt ini, saya takut kerusakan pada komunitas sudah telanjur terjadi
    Sepertinya tinggal soal waktu sampai popularitas platform terkenal yang hampir semua orang pakai dalam satu bentuk atau bentuk lain ini runtuh

    • Entah baik atau buruk, kalau dilihat dengan optimistis itu mungkin justru hal yang bagus
      WordPress sudah memberi banyak hal pada internet selama bertahun-tahun, tetapi sebagian besarnya adalah situs yang dibajak dan masalah keamanan
      Jika ini berujung pada lahirnya atau populernya alat yang modern dan aman, itu bisa menjadi keuntungan bersih bagi semua orang
    • Ini sedikit terdengar seperti bagaimana Drupal memudar saat insiden Larry Garfield terjadi
      Tentu saja biasanya ada tanda-tanda awal yang panjang lalu meledak lewat satu insiden terkenal, tetapi mungkin WordPress juga sudah menunjukkan gejala serupa
    • Itu tergantung pada seberapa bagus respons humas mereka
      Dari yang terlihat sejauh ini, humas mereka saat ini tidak terlalu bagus
    • Bagus
      WordPress hanyalah kurcaci paling tinggi
  • Penasihat hukum mereka entah sangat hebat atau sangat buruk, atau mereka cuma mengabaikan nasihat hukum

    • Mereka juga punya tim media sosial terburuk yang pernah saya lihat: https://x.com/WordPress/status/1845121130207535524
    • Ada orang-orang yang menganggap dirinya berada di atas hukum
      Orang bernama Matt ini tampaknya tidak waras
    • Salah satu pernyataan Automattic dikeluarkan oleh Neal Katyal, yang pernah menjadi Pelaksana Tugas Asisten Jaksa Agung di Departemen Kehakiman AS
      Jadi kemungkinan masalahnya lebih besar ada di pihak kliennya sendiri
    • Meski situasinya jauh tidak separah itu, tampaknya pimpinan WordPress memang perlu lebih banyak mendengarkan pengacara mereka
  • Mullenweg sedang membajak pengguna lama melalui serangan rantai pasok

    • Saya tidak tahu bagian mana yang merupakan “serangan”
      Saya kira justru itu inti dari definisinya
  • Dengan tindakan seperti ini, nama WordPress sedang dihantam jatuh ke tanah

    • Mereka memblokir Wpengine agar tidak bisa memperbarui paket dari repositori, lalu para pemelihara paket menemukan masalah keamanan tetapi karena terkunci mereka tidak bisa memperbaikinya lewat pembaruan
      Dengan cara yang aneh, ini memang masuk akal
      wp.org terdesak ke posisi di mana mereka sendiri harus menutup celah keamanan itu, dan untuk melakukannya mereka harus menambal langsung, yang berarti mereka harus mengambil alih paket tersebut
      Ini memang mengejutkan, tetapi mungkin tetap lebih baik daripada membiarkan kerentanan keamanan yang sudah diketahui dan dipublikasikan begitu saja
  • Sekarang ini mulai terasa sedih dengan cara yang biasa saja
    Sayang sekali tidak ada alternatif yang sebanding dengan ekosistem yang tidak terlalu berubah-ubah

  • Diskusi Hacker News sebelumnya: https://news.ycombinator.com/item?id=41821400