WordPress ha anunciado que ha adquirido el ‘plugin’ de WP Engine Advanced Custom Fields (ACF), desarrollado por WP Engine, y lo ha renombrado como Secure Custom Fields (SCF), una acción que lleva a cabo “para solucionar un problema de seguridad” y que se enmarca en la disputa entre ambos servicios de ‘hosting’.
WordPress (o WordPress.org) es un sistema de gestión de contenidos o CMS publicado bajo la licencia pública general de código abierto y que desarrolla un equipo de voluntarios desde su fundación, en 2003. Dos años después llegó WordPress.com, un servicio comercial propiedad de Automattic, que ofrece servicios de alojamiento, dominio y soporte para WordPress, con distintos planes de precios.
WP Engine es otra firma de corte similar, fundada en 2010 y que ofrece servicios de alojamiento, así como sitios web basados en WordPress. No está vinculado al proyecto original de este CMS, pero tiene acceso a recursos de la plataforma, como temas y complementos.
Uno de los complementos que desarrolla es Advanced Custom Fields (ACF), que no viene preinstalado con WordPress y que permite a los usuarios controlar las pantallas de edición del servicio y crear campos personalizados desde el panel de Administración.
WordPress, que actualmente está enfrentada a WP Engine por diferencias en torno al comentado ‘software’ de código abierto -más concretamente, le acusa de lucrarse en detrimento de este ecosistema-, ha anunciado que se ha hecho con el control de ACF y que ha optado por lanzar un nuevo complemento, Secure Custom Fields (SCF).
SCF, que ya se ha actualizado en el directorio de ‘plugins’, ofrece las mismas funciones que ACF y “convierte los sitios web de WordPress en un sistema CMS completo”. También permite “tomar el control total” de las pantallas de edición de WordPress y datos de más de 30 tipos de campos personalizados.
Este, no obstante, se ha actualizado para “eliminar las ventas adicionales y comerciales y solucionar un problema de seguridad”, según la actualización compartida por WordPress en su blog, donde ha explicado que este nuevo ‘plugin’ será gratuito y que si algún desarrollador desea participar en su mantenimiento y mejora, ha de ponerse en contacto con el equipo de WordPress.
La plataforma también ha apelado al punto 18 de las pautas del Directorio de complementos, adjuntando este apartado de su repositorio disponible en GitHub. En él señala que se reserva el derecho a mantener este directorio “lo mejor que pueda” y que lo hace con el fin de garantizar la calidad general de los complementos y proteger a los usuarios de la plataforma.
Esta pauta indica que se reserva el derecho a actualizar sus directrices “en cualquier momento”, “deshabilitar o eliminar cualquier complemento del directorio”, incluso por razones no cubiertas explícitamente por las pautas.
La plataforma también tiene la capacidad de eliminar el acceso del desarrollador a un complemento en lugar de otro nuevo, así como realizar cambios “sin el consentimiento del desarrollador, en interés de la seguridad pública”, tal y como apunta el texto.
Por su parte, WordPress ha indicado que el pasado 3 de octubre, el equipo de ACF anunció que las actualizaciones de este ‘plugin’ se realizarían directamente desde su sitio web, lo que también se comunicó mediante una notificación en el foro de soporte de WordPress.org dos días después.
Esto, después de que WP Engine desplegara “su propia solución para actualizaciones e instalaciones de ‘plugins’ y temas en los sitios de sus clientes en lugar del servicio de actualizaciones de WordPress.org”, según ha subrayado en el comunicado.
De esta manera, los sitios que siguieran las instrucciones del equipo de ACF sobre cómo actualizar el complemento, seguirán recibiendo las nuevas versiones de este ‘plugin’ de parte de WP Engine. Aquellos que siguen usando el servicio de actualización de WordPress.org y no han optado por cambiar las actualizaciones ACF de este servicio de ‘hosting’, pueden actualizarlo a SCF.
Por último, en los que hayan activado las actualizaciones automáticas de la plataforma, el complemento se reemplazará automáticamente por Secure Custom Fields, lo que ha considerado “una actualización mínima” para solucionar el problema de seguridad, aunque no ha concretado en qué consiste el comentado fallo.
WordPress ha dicho, finalmente, que aunque en anteriores ocasiones han surgido “situaciones similares”, no se han dado “a esta escala”. “Esta es una situación rara e inusual provocada por los ataques legales de WP Engine”, ha reconocido, asegurando que no prevé que eso ocurra con otros ‘plugins’.
“POR LA FUERZA”
La página web de ACF ahora indica que este complemento “ha sido tomado por la fuerza por WordPress.org” sin su consentimiento y que los clientes de WP Engine, Flywheel o ACF Pro no necesitan realizar ninguna acción “para continuar recibiendo las últimas novedades” del complemento.
Los que tengan una web administrada en otro CMS mediante ACF deben descargar la versión del ‘plugin’ 6.3.8 para acceder a él con seguridad y WP Engine ha recordado que los servidores de actualización de WordPress ya no están bajo el mando del equipo de ACF. La respuesta de WordPress a esto ha sido que WP Engine “usa su propio servidor de actualización” del complemento, pero que “no lo recomienda hasta que se solucionen los problemas de seguridad”.
A través de X, también ha indicado que “nunca se le ha quitado de manera unilateral y forzosa un complemento en desarrollo activo a su creador sin su consentimiento en los 21 años de historia de WordPress”, y ha pedido a los usuarios que consideren “la ética” de esta acción por parte de la plataforma.
Por su parte, WordPress ha contratacado apuntando que esto “ha sucedido varias veces antes” y de acuerdo con las pautas que WP Engine aceptó para figurar en su directorio. Asimismo, le ha deseado “suerte” con su nueva versión. “Estamos deseando que la nuestra sea increíble para nuestros usuarios, usando el mejor código de licencia GLP disponible”, ha subrayado.
