1 điểm bởi GN⁺ 2024-10-14 | 1 bình luận | Chia sẻ qua WhatsApp
  • WordPress.org đã fork plugin phổ biến Advanced Custom Fields (ACF) của WP Engine và phát hành dưới tên “Secure Custom Fields”, làm leo thang tranh chấp quanh quyền kiểm soát plugin
  • Matt Mullenweg viện dẫn lý do loại bỏ upsell thương mại và sửa lỗi bảo mật, nhưng vấn đề bảo mật cụ thể thì chưa rõ
  • Cơ sở cho động thái này là Điều 18 trong Hướng dẫn thư mục plugin, cho phép đội ngũ WordPress gỡ bỏ hoặc thay đổi plugin mà không cần sự đồng ý của nhà phát triển
  • Nhóm ACF của WP Engine phản bác trên X rằng WordPress chưa từng “đơn phương và cưỡng ép” lấy plugin mà không có sự đồng ý của người tạo plugin
  • Người dùng không phải khách hàng của WP Engine, Flywheel hoặc ACF Pro cần tải phiên bản chính hãng 6.3.8 một lần từ trang ACF để tiếp tục nhận cập nhật

ACF đã trở thành Secure Custom Fields như thế nào

  • WordPress.org đã fork plugin phổ biến Advanced Custom Fields (ACF) của WP Engine và phát hành dưới tên “Secure Custom Fields”
  • Matt Mullenweg cho biết bản cập nhật này là một fork của plugin ACF, nhằm “loại bỏ upsell thương mại và sửa các vấn đề bảo mật”
  • Thông báo được công bố qua bài viết trên WordPress.org của Matt Mullenweg, đồng sáng lập WordPress kiêm CEO Automattic
  • “Secure Custom Fields” được đăng trên trang plugin Advanced Custom Fields của WordPress.org

Điều 18 trong hướng dẫn và tranh chấp pháp lý

  • Mullenweg viện dẫn Điều 18 trong Hướng dẫn thư mục plugin, cho phép đội ngũ WordPress gỡ bỏ plugin hoặc thay đổi plugin mà không cần sự đồng ý của nhà phát triển, làm cơ sở cho động thái này
  • Động thái này có liên quan đến vụ kiện gần đây mà WP Engine đệ trình chống lại Mullenweg và Automattic
  • Mullenweg giải thích rằng những tình huống tương tự từng xảy ra trước đây nhưng chưa bao giờ ở quy mô lớn như lần này, và đây là “tình huống hiếm gặp, bất thường” phát sinh do cuộc tấn công pháp lý của WP Engine
  • Ông cũng nói thêm rằng không kỳ vọng điều tương tự sẽ xảy ra với các plugin khác

Phạm vi sửa lỗi bảo mật chưa rõ ràng

  • Mullenweg nói rằng bản cập nhật nhằm sửa các vấn đề bảo mật, nhưng chưa rõ đang nói đến vấn đề bảo mật nào
  • Bản cập nhật này được mô tả là bản cập nhật “tối thiểu”
  • Lý do cho việc thay đổi plugin tập trung vào việc loại bỏ upsell thương mại và sửa các vấn đề bảo mật

Phản bác của nhóm ACF thuộc WP Engine và hành động dành cho người dùng

  • Nhóm ACF của WP Engine phản bác trên X rằng WordPress chưa từng lấy plugin một cách đơn phương và cưỡng ép mà không có sự đồng ý của người tạo plugin
  • Sau đó, nhóm ACF hướng dẫn quy trình cập nhật riêng cho những người dùng không phải khách hàng của WP Engine, Flywheel hoặc ACF Pro
    • Cần truy cập trang ACF
    • Cần làm theo quy trình mà ACF đã công bố trước đó
    • Cần tải một lần “phiên bản chính hãng 6.3.8” để tiếp tục nhận cập nhật

Vai trò của plugin ACF

  • ACF là plugin cho phép người xây dựng website sử dụng trường tùy chỉnh khi các trường thông thường hiện có không đủ đáp ứng
  • Theo phần tổng quan của ACF, trường tùy chỉnh vốn đã tồn tại như một tính năng mặc định trong WordPress, nhưng “không thân thiện với người dùng cho lắm”

1 bình luận

 
GN⁺ 2024-10-14
Ý kiến trên Hacker News
  • Hôm nay tôi nhận được liên hệ từ một khách hàng đã 5 năm không nói chuyện; họ đang dùng ACF và plugin chuyển file tải lên sang S3 do WPEngine mua lại
    Họ rất bất an về vụ việc này và lo những thay đổi tiếp theo sẽ ảnh hưởng thế nào đến doanh nghiệp của mình, nên cuối cùng muốn rời khỏi WordPress

    • Chuyện này khá thường xảy ra khi các doanh nghiệp lớn cố đánh giá một lựa chọn ổn định, và nó gây hại không chỉ cho WordPress mà còn cho toàn bộ mã nguồn mở
  • Trước đây WordPress từng cấm plugin fork trong thư mục plugin, nhưng giờ họ lại đang làm chính điều họ từng cấm người khác làm: https://make.wordpress.org/plugins/2021/02/16/reminder-forke...

    • Bài đó có vẻ nói về trường hợp fork các plugin mã nguồn mở có thu phí
      Plugin lần này đúng là đã bị fork, nhưng có vẻ không phải đang cung cấp miễn phí các tính năng premium
      Đây không phải là để biện hộ về mặt đạo đức mà là đính chính sự thật
    • Đó không phải plugin premium
  • Không rõ vấn đề bảo mật mà Mullenweg nói trong bài là gì
    CVE ở đâu, và nếu tiếp tục dùng plugin gốc thì có rủi ro gì, hoàn toàn không có chi tiết nào
    Vì vậy chỉ tạo ra cảm giác bất an rằng không biết bản gốc có an toàn hay không
    Câu “từ nay Secure Custom Fields sẽ là plugin phi thương mại” có phải hàm ý rằng WordPress đang nhắm vào nguồn doanh thu của WPEngine?
    Nếu có tùy chọn Pro thì phần đó là mã nguồn đóng, nên cũng không rõ liệu nó có nằm ngoài codebase fork của WordPress hay không: https://www.advancedcustomfields.com/pro/

    • Đây là khác biệt cho thấy những gì đã thay đổi: https://plugins.trac.wordpress.org/changeset?new=3167679%40a...
    • Có vẻ chính cảm giác bất an đó là kết quả mà Matt muốn tạo ra
      Có vẻ như ông ấy đang dọa khách hàng của WPEngine để họ rời khỏi dịch vụ, và giờ trông nó giống một cuộc chiến cá nhân
    • Tôi hiểu rằng ACF đã chèn thông báo vào dashboard của mọi người để phục vụ lợi ích pháp lý của họ
      Nếu việc đó bị xem là vi phạm thì tôi cũng không ngạc nhiên
    • WordPress được cấp phép theo GPL, nên mọi plugin đều phải dùng giấy phép tương thích GPL
      Điều này cũng áp dụng cho ACF Pro
  • Cú lật hợp lý ở đây là WPEngine tìm một hoặc nhiều bên thứ ba đáng tin cậy, cùng lập một foundation và fork WordPress thành công

    • Chẳng phải ngay từ đầu chuyện này nổ ra là vì Automattic phàn nàn rằng WPEngine cạnh tranh miễn phí trong khi không đóng góp nhiều cho việc phát triển WordPress sao?
    • Có khi Matt lại khá hoan nghênh điều đó
      Vấn đề ông ấy nêu ra là WP Engine không đóng góp cho WordPress, nên nếu họ quyết định duy trì một bản fork và hạ tầng riêng thì sẽ không còn là ăn theo miễn phí nữa
      Theo tôi, Automattic cũng sẽ vui nếu họ fork thật
  • Dù có xuất hiện một điểm trung gian nào đó trong mớ hỗn độn mà Matt tạo ra, tôi vẫn sợ rằng thiệt hại với cộng đồng đã là chuyện không thể đảo ngược
    Có vẻ chỉ còn là vấn đề thời gian trước khi một nền tảng nổi tiếng mà gần như ai cũng từng dùng theo cách nào đó sẽ mất dần sức hút

    • Dù tốt hay xấu, nhìn theo hướng lạc quan thì đó có thể lại là điều tốt
      WordPress đã mang lại nhiều thứ cho Internet trong nhiều năm, nhưng phần không nhỏ trong đó là các website bị chiếm quyền và các vấn đề bảo mật
      Nếu chuyện này dẫn tới sự ra đời hoặc phổ biến của các công cụ hiện đại và an toàn hơn thì có thể là lợi ích ròng cho tất cả mọi người
    • Nghe hơi giống cách Drupal mờ nhạt dần trong vụ Larry Garfield
      Tất nhiên đó là kiểu có cả một quá trình báo trước dài rồi bùng nổ vì một sự kiện nổi tiếng, nhưng với WordPress cũng có thể đã xuất hiện dấu hiệu
    • Còn tùy vào việc xử lý truyền thông của họ tốt đến đâu
      Những gì tôi thấy cho tới giờ thì truyền thông hiện tại không ổn lắm
    • Tốt thôi
      WordPress chỉ là người lùn cao nhất mà thôi
  • Đội ngũ tư vấn pháp lý của họ либо là xuất sắc nhất, либо là tệ nhất, hoặc có khi họ просто phớt lờ tư vấn pháp lý

    • Họ cũng có đội social media tệ nhất tôi từng thấy: https://x.com/WordPress/status/1845121130207535524
    • Có những người nghĩ mình đứng trên pháp luật
      Tay Matt này có vẻ không bình thường
    • Một trong các tuyên bố của Automattic do Neal Katyal, cựu quyền Trợ lý Bộ trưởng Tư pháp Hoa Kỳ, đưa ra
      Vì vậy có vẻ khả năng cao vấn đề nằm ở chính phía khách hàng của họ
    • Dù tình hình kém nghiêm trọng hơn nhiều so với thế, ban lãnh đạo WordPress có lẽ nên nghe luật sư nhiều hơn một chút
  • Mullenweg đang chặn đầu người dùng hiện tại bằng một cuộc tấn công chuỗi cung ứng

    • Tôi không rõ phần nào là “tấn công”
      Tôi cứ nghĩ đó mới là điểm cốt lõi trong định nghĩa
  • Những hành động như vậy đang khiến tên tuổi WordPress lao xuống đất

    • Họ đã chặn không cho Wpengine cập nhật package trong kho, sau đó các maintainer của package phát hiện vấn đề bảo mật nhưng bị khóa nên không thể sửa bằng một bản cập nhật
      Theo một cách kỳ lạ thì điều đó cũng có lý
      wp.org bị dồn vào thế tự mình phải vá lỗ hổng bảo mật, và để làm vậy thì họ phải trực tiếp patch nó, trong quá trình đó thực chất là phải lấy luôn package đó
      Dù gây sốc, nhưng có lẽ vẫn tốt hơn là cứ để nguyên một lỗ hổng bảo mật đã được biết và công khai
  • Giờ thì mọi chuyện bắt đầu chỉ còn lại cảm giác buồn bình thường
    Thật tiếc vì không có lựa chọn thay thế nào tương đương trong một hệ sinh thái ít thất thường hơn

  • Thảo luận trước đó trên Hacker News: https://news.ycombinator.com/item?id=41821400