Владельцы Wordpress заменили на свой форк плагин ACF, имеющий 2 млн установок

13 Oct 2024, 10:04

Начавшийся в сентябре конфликт между компаниями Automattic и WP Engine получил неожиданное продолжение - компания Automattic, курирующая разработку платформы Wordpress и официального каталога плагинов Wordpress.org, объявила о создании форка одного из популярнейших плагинов - ACF (Advanced Custom Fields), развиваемого компанией WP Engine, насчитывающего более 2 млн. установок и распространяемого под лицензией GPLv2. Возмущение разработчиков вызвало то, что владельцы Wordpress.org не просто создали отдельный форк "Secure Custom Fields" но и заменили им страницу на Wordpress.org основного плагина ACF, инициировав таким образом переход пользователей на форк.

Подобное действие было объяснено заботой о безопасности и необходимостью доведения до пользователей исправления уязвимости, которая оставалась неустранённой в версии ACF, распространяемой через каталог Wordpress.org. В объявлении о создании форка также упоминается, что разработчики ACF заявили о переходе на доставку обновлений плагина со своего сайта вместо доставки обновлений через WordPress.org, но представители WordPress.org не рекомендуют переходить пользователям на предложенную разработчиками ACF собственную систему обновлений, пока они не устранят уязвимость в плагине. Утверждается, что совершённая подмена плагина является исключительной ситуацией, подкрепляемой юридическими нападками компании WP Engine, развивающей плагин ACF. Кроме устранения уязвимости в форке была проведена чистка от привязок к сервисам WP Engine.

Нелепость ситуации в том, что за несколько недель до этого компания Automattic сама заблокировала доступ разработчиков ACF к Wordpress.org, поэтому сопровождающие ACF не имели возможность опубликовать обновление с устранением уязвимости на Wordpress.org, но при этом разместили исправление на своём сайте и рекомендовали установить его вручную или через альтернативный собственный каталог WP Engine. Обновление с устранением уязвимости в ACF было подготовлено за 5 дней до объявления Automattic о создании форка.

Захват пользовательской базы и страницы ACF на Wordpress.org стал продолжением конфликта между компанией WP Engine и Мэттом Мулленвегом, основателем платформы Wordpress и владельцем компании Automattic. С 2011 года Мэтт Мулленвег являлся инвестором компании WP Engine, но ушел из числа инвесторов в 2018 году, после попадания WP Engine в область интересов инвестиционной компании Silver Lake. Помимо разработки плагина ACF, компания WP Engine также развивает платформу хостинга проектов на движке Wordpress, конкурирующую с Wordpress.com

Конфликт активировался после того, как организация WordPress Foundation в июне подала заявку на регистрацию товарных знаков "Managed WordPress" и "Hosted WordPress", которые использовались нас сайте WP Engine. 20 сентября Мэтт Мулленвег выступил на конференции WordComp с критикой деятельности WP Engine и опубликовал статью с пояснением, что WP Engine не имеет никакого отношения к официальному проекту Wordpress, несмотря на риторику и маркетинг WP Engine, пытающийся убедить пользователей в обратном.

Также было высказано недовольство слабой вовлечённостью WP Engine в разработку - при выручке 500 млн. долларов данная компания вкладывает примерно 40 часов в неделю в разработку платформы WordPress, при том, что вклад Automattic оценён в 3915 часов в неделю. В статье WP Engine сравнивался c раковой опухолью и упоминалось, что для продолжения бизнеса компании WP Engine теперь потребуется лицензия на товарный знак WordPress. Ссылка на статью появилась в виджете новостей в панели администратора на всех установках WordPress, включая установки в хостинге WP Engine.

23 сентября компания WP Engine направила Automattic официальное внесудебное требование (Cease and Desist) прекратить ложные, вводящие в заблуждение и порочащие репутацию заявления. В ответ, компания Automattic потребовала у WP Engine прекратить использование торговой марки Wordpress и внесла изменение в правила использования торговых марок, упоминающее название "WP Engine" в качестве примера введения в заблуждение пользователей из-за стилизации под официальный движок WordPress.

25 сентября для WP Engine был заблокирован доступ к ресурсам, распространяемым через сайт Wordpress.org, включая доступ к обновлениям с исправлениями уявзимостей, плагинам и темам оформления. В этот же день в каталоге Wordpress.org были заблокированы учётные записи сотрудников WP Engine, что не позволяло им публиковать обновления к плагину ACF. 27 сентября блокировка доступа WP Engine к ресурсам частично была убрана, но затем опять возобновлена 1 октября.

2 октября компания WP Engine подала судебный иск против Automattic и Мэтта Мулленвега. Компания Automattic в ответ отвергла все обвинения. Из Automattic уволилась исполнительный директор Джозефа Хейден (Josephа Haden) и ещё 158 сотрудников (из примерно 1700), не согласных с позицией в отношении WP Engine. 5 октября компания Automattic публично раскрыла сведения об уязвимости плагине ACF в нарушение кодекса поведения, а 8 октября изменила страницу входа на сайт WordPress.org, не которой появилась необходимость подтверждения отсутствия связи с компанией WP Engine. 7 октября компания WP Engine подготовила обновление ACF с устранением уязвимости, а 12 октября компания Automattic заявила о создании форка и подменила не него страницу плагина ACF в каталоге Wordpress.org.