WordPress.org kaapt populaire plug-in Advanced Custom Fields
WordPress.org heeft de populaire plug-in Advanced Custom Fields (ACF) gekaapt, die door meer dan twee miljoen websites wordt gebruikt. De maatregel volgt op de ruzie tussen hostingprovider WP Engine en WordPress.org. ACF wordt ontwikkeld door WP Engine. WordPress.org biedt het gelijknamige contentmanagementsysteem waar zo'n 44 procent van alle websites op internet gebruik van maakt.
WP Engine is een bedrijf dat klanten 'managed WordPress hosting' biedt. Klanten kunnen via het platform van WP Engine een eigen WordPress-site starten en meteen bij de provider hosten. Matt Mullenweg, mede-ontwikkelaar van WordPress en ceo van Automattic, dat via WordPress.com ook WordPress-hosting aanbiedt, noemde WP Engine onlangs 'een kanker voor WordPress'. Volgens Mullenweg biedt WP Engine klanten een slechte ervaring en profiteert van het bedrijf van de verwarring, doordat mensen denken dat WP Engine WordPress is.
Mullenweg stelde dan ook dat WP Engine een trademark-licentie nodig heeft om WordPress-hosting te blijven aanbieden. Vervolgens stuurde WP Engine een 'cease and desist' brief naar Automattic waarin het bedrijf en Mullenweg werden verzocht om de 'valse en schadelijke' verklaringen over WP Engine in te trekken en dergelijke uitspraken niet meer te doen.
WordPress.org blokkeert inmiddels WP Engine-klanten, zodat die hun plug-ins niet kunnen updaten. Gisteren kwam daar ook de maatregel bij om ACF te forken en als Secure Custom Fields (SCF) aan te bieden. Volgens Mullenweg is er beroep gedaan op de richtlijnen voor plug-ins en is het forken nodig om een 'beveiligingprobleem' te verhelpen en 'commerciële upsells' te verwijderen. WordPress-sites die instructies van WP Engine volgen kunnen ACF blijven gebruiken. Sites die de automatische updatefunctie voor plug-ins van WordPress.org gebruiken worden automatisch naar SCF overgezet.
Mullenweg geeft ook de juridische aanvallen van WP Engine als reden voor de maatregel. De makers van ACF zijn niet over de actie van Mullenweg te spreken en stellen dat dit grote schade aan het WordPress-ecosysteem aanricht. Ook anderen stellen dat het kapen van deze populaire plug-in 'waanzin' is, waarbij het wordt vergeleken met een supply chain-aanval.
Dat is appels met peren vergelijken. Microsoft Windows is closed source. Wordpress punt org (N.B. org) levert gratis open source software. Daarnaast is WP ook nog eens een afkorting van WordPerfect, die antieke wordprocessor software, weet u nog wel ? En gaat Matt Mullenweg van Wordpress punt com (N.B. com) en Tumble nu ook de strijd aan met bijvoorbeeld WordOps (vork van EasyEngine v3) en EasyWP en allerlei andere managed Wordpress software ? Wat een suffe bedoeling :( En ook slechte reclame voor de open source wereld.
Dat komt omdat WP in de firmanaam wordt gebruikt. En de suggestie wekt dat ze van der Wordpress zijn. Dan kun je wel een eigen merknaam aanvragen, maar die zal afgewezen worden wegens aantoonbare te veel gelijkenis. Mits WP en Wordpress al lang als merk geregisteerd zijn.
Dan heb je twee keuzes. Of je past binnen 24 uur meestal, je firmanaam aan. (Dat het het zelfde touwtje waar Rachel Hazes nu aan trekt, en bij haar eigen kind...) Of de originele merkrechthouder kan tot vijf jaar terug je hele omzet opeisen. Kosten die je hebt gemaakt zijn voor jou. Het merkenregister is openbaar dus je had het kunnen weten.
Toevallig twee weken geleden op dat vlak nog een merkrechtzaak gewonnen. Overigens tegen iemand die enorm dossier aan kwam zetten en zelf een klacht bij de rechter had neergelegd. Zo een zaak win je namelijk altijd, want zelfs een rechter kan je niet laten doorhalen in het register. Het is een eigendom zoals je auto en je huis op je naam staan. In dit geval omdat de aanval op de openbare eigendom van de andere partij kwam, gaan nu eerst de bloedhonden los. We hadden per ongeluk een no cure no pay merkrecht advocaat gevonden. Die het aannam omdat die ook wist, zoiets kun je niet verliezen. Dus die gaat nu achter de kassa's aan, ook omdat er al aangetekende brieven gestuurd waren. Hij een nieuwe auto. Wij ook. Ligt het er niet, dan kan er tot op de zolder beslag gelegd worden. En de auto en het huis. Dat is merkrecht.
Nu hoeft de soep niet altijd zo heet gegeten te worden als die wordt opgediend. Iemand het vel over de neus trekken is ook niet goed voor je karma. Je kunt altijd na een vonnis nog in redelijkheid iets minder hards afspreken. Maar ik denk wel dat onze advocaat er eerst een nieuwe auto uit gaat sleuren. Wat die heeft er heel veel werk voor gedaan, gedurende een aantal jaren, en vooralsnog moest ik enkel postzegels voor aangetekende brieven en reis en verblijfskosten naar rechtbanken betalen.
https://www.euipo.europa.eu/nl
In geval van twijfel of vrees, praat met een advocaat.
Het enige dat je -moet- is dat je je aan de regels van een open/closed source oplossing houd.
Omdat Wordpress een geregistreerd merk is en je dat dus niet zomaar mag gebruiken zonder toestemming.
Linux is immers ook niet helemaal zomaar een geregistreert trademark.
Zoals een van de gelinkte bronnen ook aanbeveelt; migreer weg van WordPress.
9 van de 10 gevallen is een WordPress ook overkill. Bij die 9 gevallen voldoet het gebruik van een static site generator al.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
