- WordPress.org đã fork plugin phổ biến Advanced Custom Fields (ACF) của WP Engine và phát hành dưới tên “Secure Custom Fields”, làm leo thang tranh chấp quanh quyền kiểm soát plugin
- Matt Mullenweg viện dẫn lý do loại bỏ upsell thương mại và sửa lỗi bảo mật, nhưng vấn đề bảo mật cụ thể thì chưa rõ
- Cơ sở cho động thái này là Điều 18 trong Hướng dẫn thư mục plugin, cho phép đội ngũ WordPress gỡ bỏ hoặc thay đổi plugin mà không cần sự đồng ý của nhà phát triển
- Nhóm ACF của WP Engine phản bác trên X rằng WordPress chưa từng “đơn phương và cưỡng ép” lấy plugin mà không có sự đồng ý của người tạo plugin
- Người dùng không phải khách hàng của WP Engine, Flywheel hoặc ACF Pro cần tải phiên bản chính hãng 6.3.8 một lần từ trang ACF để tiếp tục nhận cập nhật
ACF đã trở thành Secure Custom Fields như thế nào
- WordPress.org đã fork plugin phổ biến Advanced Custom Fields (ACF) của WP Engine và phát hành dưới tên “Secure Custom Fields”
- Matt Mullenweg cho biết bản cập nhật này là một fork của plugin ACF, nhằm “loại bỏ upsell thương mại và sửa các vấn đề bảo mật”
- Thông báo được công bố qua bài viết trên WordPress.org của Matt Mullenweg, đồng sáng lập WordPress kiêm CEO Automattic
- “Secure Custom Fields” được đăng trên trang plugin Advanced Custom Fields của WordPress.org
Điều 18 trong hướng dẫn và tranh chấp pháp lý
- Mullenweg viện dẫn Điều 18 trong Hướng dẫn thư mục plugin, cho phép đội ngũ WordPress gỡ bỏ plugin hoặc thay đổi plugin mà không cần sự đồng ý của nhà phát triển, làm cơ sở cho động thái này
- Động thái này có liên quan đến vụ kiện gần đây mà WP Engine đệ trình chống lại Mullenweg và Automattic
- Mullenweg giải thích rằng những tình huống tương tự từng xảy ra trước đây nhưng chưa bao giờ ở quy mô lớn như lần này, và đây là “tình huống hiếm gặp, bất thường” phát sinh do cuộc tấn công pháp lý của WP Engine
- Ông cũng nói thêm rằng không kỳ vọng điều tương tự sẽ xảy ra với các plugin khác
Phạm vi sửa lỗi bảo mật chưa rõ ràng
- Mullenweg nói rằng bản cập nhật nhằm sửa các vấn đề bảo mật, nhưng chưa rõ đang nói đến vấn đề bảo mật nào
- Bản cập nhật này được mô tả là bản cập nhật “tối thiểu”
- Lý do cho việc thay đổi plugin tập trung vào việc loại bỏ upsell thương mại và sửa các vấn đề bảo mật
Phản bác của nhóm ACF thuộc WP Engine và hành động dành cho người dùng
- Nhóm ACF của WP Engine phản bác trên X rằng WordPress chưa từng lấy plugin một cách đơn phương và cưỡng ép mà không có sự đồng ý của người tạo plugin
- Sau đó, nhóm ACF hướng dẫn quy trình cập nhật riêng cho những người dùng không phải khách hàng của WP Engine, Flywheel hoặc ACF Pro
- Cần truy cập trang ACF
- Cần làm theo quy trình mà ACF đã công bố trước đó
- Cần tải một lần “phiên bản chính hãng 6.3.8” để tiếp tục nhận cập nhật
Vai trò của plugin ACF
- ACF là plugin cho phép người xây dựng website sử dụng trường tùy chỉnh khi các trường thông thường hiện có không đủ đáp ứng
- Theo phần tổng quan của ACF, trường tùy chỉnh vốn đã tồn tại như một tính năng mặc định trong WordPress, nhưng “không thân thiện với người dùng cho lắm”
1 bình luận
Ý kiến trên Hacker News
Hôm nay tôi nhận được liên hệ từ một khách hàng đã 5 năm không nói chuyện; họ đang dùng ACF và plugin chuyển file tải lên sang S3 do WPEngine mua lại
Họ rất bất an về vụ việc này và lo những thay đổi tiếp theo sẽ ảnh hưởng thế nào đến doanh nghiệp của mình, nên cuối cùng muốn rời khỏi WordPress
Trước đây WordPress từng cấm plugin fork trong thư mục plugin, nhưng giờ họ lại đang làm chính điều họ từng cấm người khác làm: https://make.wordpress.org/plugins/2021/02/16/reminder-forke...
Plugin lần này đúng là đã bị fork, nhưng có vẻ không phải đang cung cấp miễn phí các tính năng premium
Đây không phải là để biện hộ về mặt đạo đức mà là đính chính sự thật
Không rõ vấn đề bảo mật mà Mullenweg nói trong bài là gì
CVE ở đâu, và nếu tiếp tục dùng plugin gốc thì có rủi ro gì, hoàn toàn không có chi tiết nào
Vì vậy chỉ tạo ra cảm giác bất an rằng không biết bản gốc có an toàn hay không
Câu “từ nay Secure Custom Fields sẽ là plugin phi thương mại” có phải hàm ý rằng WordPress đang nhắm vào nguồn doanh thu của WPEngine?
Nếu có tùy chọn Pro thì phần đó là mã nguồn đóng, nên cũng không rõ liệu nó có nằm ngoài codebase fork của WordPress hay không: https://www.advancedcustomfields.com/pro/
Có vẻ như ông ấy đang dọa khách hàng của WPEngine để họ rời khỏi dịch vụ, và giờ trông nó giống một cuộc chiến cá nhân
Nếu việc đó bị xem là vi phạm thì tôi cũng không ngạc nhiên
Điều này cũng áp dụng cho ACF Pro
Cú lật hợp lý ở đây là WPEngine tìm một hoặc nhiều bên thứ ba đáng tin cậy, cùng lập một foundation và fork WordPress thành công
Vấn đề ông ấy nêu ra là WP Engine không đóng góp cho WordPress, nên nếu họ quyết định duy trì một bản fork và hạ tầng riêng thì sẽ không còn là ăn theo miễn phí nữa
Theo tôi, Automattic cũng sẽ vui nếu họ fork thật
Dù có xuất hiện một điểm trung gian nào đó trong mớ hỗn độn mà Matt tạo ra, tôi vẫn sợ rằng thiệt hại với cộng đồng đã là chuyện không thể đảo ngược
Có vẻ chỉ còn là vấn đề thời gian trước khi một nền tảng nổi tiếng mà gần như ai cũng từng dùng theo cách nào đó sẽ mất dần sức hút
WordPress đã mang lại nhiều thứ cho Internet trong nhiều năm, nhưng phần không nhỏ trong đó là các website bị chiếm quyền và các vấn đề bảo mật
Nếu chuyện này dẫn tới sự ra đời hoặc phổ biến của các công cụ hiện đại và an toàn hơn thì có thể là lợi ích ròng cho tất cả mọi người
Tất nhiên đó là kiểu có cả một quá trình báo trước dài rồi bùng nổ vì một sự kiện nổi tiếng, nhưng với WordPress cũng có thể đã xuất hiện dấu hiệu
Những gì tôi thấy cho tới giờ thì truyền thông hiện tại không ổn lắm
WordPress chỉ là người lùn cao nhất mà thôi
Đội ngũ tư vấn pháp lý của họ либо là xuất sắc nhất, либо là tệ nhất, hoặc có khi họ просто phớt lờ tư vấn pháp lý
Tay Matt này có vẻ không bình thường
Vì vậy có vẻ khả năng cao vấn đề nằm ở chính phía khách hàng của họ
Mullenweg đang chặn đầu người dùng hiện tại bằng một cuộc tấn công chuỗi cung ứng
Tôi cứ nghĩ đó mới là điểm cốt lõi trong định nghĩa
Những hành động như vậy đang khiến tên tuổi WordPress lao xuống đất
Theo một cách kỳ lạ thì điều đó cũng có lý
wp.org bị dồn vào thế tự mình phải vá lỗ hổng bảo mật, và để làm vậy thì họ phải trực tiếp patch nó, trong quá trình đó thực chất là phải lấy luôn package đó
Dù gây sốc, nhưng có lẽ vẫn tốt hơn là cứ để nguyên một lỗ hổng bảo mật đã được biết và công khai
Giờ thì mọi chuyện bắt đầu chỉ còn lại cảm giác buồn bình thường
Thật tiếc vì không có lựa chọn thay thế nào tương đương trong một hệ sinh thái ít thất thường hơn
Thảo luận trước đó trên Hacker News: https://news.ycombinator.com/item?id=41821400
https://news.ycombinator.com/item?id=41821336 (165 bình luận, gồm 5 bình luận của photomatt)
https://news.ycombinator.com/item?id=41824852 (63 bình luận)