WordPress.org kaapt populaire plug-in Advanced Custom Fields
WordPress.org heeft de populaire plug-in Advanced Custom Fields (ACF) gekaapt, die door meer dan twee miljoen websites wordt gebruikt. De maatregel volgt op de ruzie tussen hostingprovider WP Engine en WordPress.org. ACF wordt ontwikkeld door WP Engine. WordPress.org biedt het gelijknamige contentmanagementsysteem waar zo'n 44 procent van alle websites op internet gebruik van maakt.
WP Engine is een bedrijf dat klanten 'managed WordPress hosting' biedt. Klanten kunnen via het platform van WP Engine een eigen WordPress-site starten en meteen bij de provider hosten. Matt Mullenweg, mede-ontwikkelaar van WordPress en ceo van Automattic, dat via WordPress.com ook WordPress-hosting aanbiedt, noemde WP Engine onlangs 'een kanker voor WordPress'. Volgens Mullenweg biedt WP Engine klanten een slechte ervaring en profiteert van het bedrijf van de verwarring, doordat mensen denken dat WP Engine WordPress is.
Mullenweg stelde dan ook dat WP Engine een trademark-licentie nodig heeft om WordPress-hosting te blijven aanbieden. Vervolgens stuurde WP Engine een 'cease and desist' brief naar Automattic waarin het bedrijf en Mullenweg werden verzocht om de 'valse en schadelijke' verklaringen over WP Engine in te trekken en dergelijke uitspraken niet meer te doen.
WordPress.org blokkeert inmiddels WP Engine-klanten, zodat die hun plug-ins niet kunnen updaten. Gisteren kwam daar ook de maatregel bij om ACF te forken en als Secure Custom Fields (SCF) aan te bieden. Volgens Mullenweg is er beroep gedaan op de richtlijnen voor plug-ins en is het forken nodig om een 'beveiligingprobleem' te verhelpen en 'commerciële upsells' te verwijderen. WordPress-sites die instructies van WP Engine volgen kunnen ACF blijven gebruiken. Sites die de automatische updatefunctie voor plug-ins van WordPress.org gebruiken worden automatisch naar SCF overgezet.
Mullenweg geeft ook de juridische aanvallen van WP Engine als reden voor de maatregel. De makers van ACF zijn niet over de actie van Mullenweg te spreken en stellen dat dit grote schade aan het WordPress-ecosysteem aanricht. Ook anderen stellen dat het kapen van deze populaire plug-in 'waanzin' is, waarbij het wordt vergeleken met een supply chain-aanval.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.