1 puan yazan GN⁺ 2024-10-14 | 1 yorum | WhatsApp'ta paylaş
  • WordPress.org, WP Engine’in popüler eklentisi Advanced Custom Fields (ACF)’i “Secure Custom Fields” adıyla forklayıp yayımlayarak eklenti üzerindeki kontrolü konu alan gerilimi büyüttü
  • Matt Mullenweg gerekçe olarak ticari upsell’lerin kaldırılmasını ve güvenlik düzeltmelerini gösterdi, ancak somut güvenlik sorunu net değil
  • Bu adımın dayanağı, WordPress ekibinin geliştirici onayı olmadan eklentileri kaldırmasına veya değiştirmesine izin veren Eklenti Dizini Kılavuzu’nun 18. maddesi
  • WP Engine’in ACF ekibi, WordPress’in bir eklentiyi üreticisinin onayı olmadan “tek taraflı ve zorla” devraldığı bir örnek olmadığını X’te söyleyerek karşı çıktı
  • WP Engine, Flywheel ve ACF Pro müşterisi olmayan kullanıcıların güncelleme almaya devam edebilmesi için ACF sitesinden orijinal 6.3.8 sürümünü bir kez indirmesi gerekiyor

ACF’nin Secure Custom Fields’a dönüşme süreci

  • WordPress.org, WP Engine’in popüler eklentisi Advanced Custom Fields (ACF)’i “Secure Custom Fields” adlı bir fork olarak yayımladı
  • Matt Mullenweg, bu güncellemenin ACF eklentisinin bir fork’u olduğunu ve “ticari upsell’leri kaldırıp güvenlik sorunlarını düzeltmek” için yapıldığını açıkladı
  • Duyuru, WordPress’in kurucu ortaklarından ve Automattic CEO’su Matt Mullenweg’in WordPress.org yazısı üzerinden yayımlandı
  • “Secure Custom Fields”, WordPress.org’daki Advanced Custom Fields eklenti sayfasına yüklendi

18. madde ve hukuki gerilim

  • Mullenweg, WordPress ekibinin eklentileri kaldırmasına veya geliştirici onayı olmadan değiştirmesine izin veren Eklenti Dizini Kılavuzu’nun 18. maddesini bu adımın dayanağı olarak gösterdi
  • Bu adım, WP Engine’in kısa süre önce Mullenweg ve Automattic’e karşı açtığı dava ile bağlantılı
  • Mullenweg, benzer durumların daha önce de yaşandığını ancak hiçbirinin bu ölçekte olmadığını; bunun WP Engine’in hukuki saldırısı nedeniyle ortaya çıkan “nadir ve olağandışı bir durum” olduğunu söyledi
  • Aynı şeyin başka eklentilerin başına gelmesini beklemediğini de ekledi

Net olmayan güvenlik düzeltmelerinin kapsamı

  • Mullenweg güvenlik sorunlarının düzeltildiğini söyledi, ancak hangi güvenlik sorunlarından söz ettiği net değil
  • Bu güncelleme “minimal” bir güncelleme olarak tanımlanıyor
  • Eklenti değişikliğinin gerekçesi, ticari upsell’lerin kaldırılması ve güvenlik sorunlarının düzeltilmesi üzerine kuruluyor

WP Engine ACF ekibinin itirazı ve kullanıcıların yapması gerekenler

  • WP Engine’in ACF ekibi, X’te WordPress’in bir eklentiyi onu yapan kişinin onayı olmadan tek taraflı ve zorla devraldığı bir örnek olmadığını söyleyerek karşı çıktı
  • Ardından ACF ekibi, WP Engine, Flywheel ve ACF Pro müşterisi olmayan kullanıcılar için ayrı bir güncelleme süreci duyurdu
    • ACF sitesine gitmeleri gerekiyor
    • ACF’nin daha önce yayımladığı süreci izlemeleri gerekiyor
    • Güncellemeleri almaya devam edebilmek için “orijinal 6.3.8 sürümünü” bir kez indirmeleri gerekiyor

ACF eklentisinin rolü

  • ACF, web sitesi geliştiricilerinin mevcut standart alanlar yeterli olmadığında özel alanlar kullanmasını sağlayan bir eklentidir
  • ACF özetine göre özel alanlar WordPress’te zaten yerleşik bir özellik olarak bulunuyor, ancak “pek kullanıcı dostu” değil

1 yorum

 
GN⁺ 2024-10-14
Hacker News yorumları
  • Bugün 5 yıldır iletişim kurmadığım bir müşteriden haber aldım; ACF ve WPEngine’in satın aldığı, yüklenen dosyaları S3’e taşıyan eklentiyi kullanıyorlarmış.
    Bu olay onları ciddi biçimde tedirgin etmiş; bir sonraki değişikliğin işlerini nasıl etkileyeceğinden endişe ediyorlar ve sonuçta WordPress’ten ayrılmak istiyorlar.

    • Büyük şirketler istikrarlı seçenekleri değerlendirmeye çalışırken böyle şeyler oldukça sık yaşanır; bu yalnızca WordPress’e değil, açık kaynağın tamamına zarar verir.
  • WordPress daha önce eklenti dizininde fork eklentileri yasaklamıştı; şimdi ise başkalarına yasakladıkları şeyi kendileri yapıyor: https://make.wordpress.org/plugins/2021/02/16/reminder-forke...

    • O yazı, ücretli açık kaynak eklentilerin fork edilmesiyle ilgili gibi görünüyor.
      Bu eklenti fork edilmiş, doğru; ama premium özellikleri ücretsiz sunduğu anlaşılıyor değil.
      Bunu etik olarak savunmaya çalışmıyorum, sadece olgusal bir düzeltme.
    • O bir premium eklenti değil.
  • Mullenweg’in yazıda sözünü ettiği güvenlik sorununun ne olduğu belirsiz.
    CVE nerede, orijinal eklentiyi kullanmaya devam ederseniz riskin ne olduğuna dair hiç ayrıntı yok.
    Bu da yalnızca orijinalin güvenli olup olmadığını bilememe kaygısı yaratıyor.
    “Bundan böyle Secure Custom Fields ticari olmayan bir eklenti olacak” demesi, WordPress’in WPEngine’in gelir kaynağını hedefliyor olabileceği anlamına mı geliyor?
    Pro seçeneği varsa, o kısmın kapalı kaynak olduğu için WordPress’in fork kod tabanında yer alıp almadığı da belirsiz: https://www.advancedcustomfields.com/pro/

    • Değişenleri gösteren diff burada: https://plugins.trac.wordpress.org/changeset?new=3167679%40a...
    • Matt’in amaçladığı sonucun tam da bu kaygı olduğunu düşünüyorum.
      WPEngine müşterilerini korkutup hizmetten uzaklaştırmak istiyor gibi; artık bu kişiler arası bir savaşa benziyor.
    • ACF’nin kendi hukuki çıkarları için herkesin panosuna duyuru enjekte ettiğini anlıyorum.
      Bunun bir ihlal sayılmasına şaşırmam.
    • WordPress GPL ile lisanslandığı için tüm eklentilerin GPL uyumlu bir lisansa sahip olması gerekir.
      Bu ACF Pro için de geçerli.
  • Buradaki yerinde ters köşe, WPEngine’in güvenilir en az bir üçüncü taraf bulup birlikte bir vakıf kurarak WordPress’i başarıyla fork etmesi olurdu.

    • Zaten bu işin başlama nedeni, Automattic’in WPEngine’in WordPress geliştirmesine pek katkı yapmadan bedavadan rekabet ettiğinden yakınması değil miydi?
    • Matt’in aslında bunu oldukça memnuniyetle karşılayacağını düşünüyorum.
      Onun derdi WP Engine’in WordPress’e katkı yapmaması; fork’u ve altyapıyı sürdürmeye karar verirlerse artık bedavacı sayılmazlar.
      Automattic’in de fork ederlerse buna sevineceği kanaatindeyim.
  • Matt’in yarattığı bu karmaşada bir orta yol bulunsa bile, topluluğa verilen zarar bence artık olup bitti diye korkuyorum.
    Neredeyse herkesin bir şekilde kullandığı ünlü bir platformun popülerliğinin çökmesi zaman meselesi gibi görünüyor.

    • İyi ya da kötü, iyimser bakarsak bu iyi bir şey de olabilir.
      WordPress yıllar boyunca internete çok şey kattı ama bunların önemli bir kısmı ele geçirilmiş siteler ve güvenlik sorunlarıydı.
      Bu olay modern ve güvenli araçların doğmasına ya da yaygınlaşmasına yol açarsa herkes için net bir kazanç olabilir.
    • Drupal’ın Larry Garfield olayı sırasında sönükleşmeye başlamasına biraz benziyor.
      Elbette uzun bir ön belirti döneminden sonra ünlü bir olayla patlak vermesi şeklinde; ama WordPress’te de işaretler şimdiden görülebilir.
    • Bu, onların PR yönetiminin ne kadar iyi olduğuna bağlı.
      Şimdiye kadar görünen, mevcut PR’ın pek iyi olmadığı.
    • Güzel.
      WordPress sadece cücelerin en uzunu.
  • Hukuk danışmanları ya en iyisi ya en kötüsü, ya da sadece hukuk danışmanlarını görmezden geliyorlar gibi.

    • Şimdiye kadar gördüğüm en kötü sosyal medya ekibine de sahipler: https://x.com/WordPress/status/1845121130207535524
    • Bazı insanlar kendilerini hukukun üstünde sanır.
      Bu Matt denen kişi aklını kaçırmış gibi.
    • Automattic’in açıklamalarından birini, ABD Adalet Bakanlığı başsavcı yardımcısı vekilliği yapmış Neal Katyal yaptı.
      Bu yüzden sorunun müvekkilin kendisinde olma ihtimali daha yüksek görünüyor.
    • Durum bundan çok daha az ciddi olsa da WordPress yönetiminin avukatlarını biraz daha dinlemesi gerektiğini düşünüyorum.
  • Mullenweg mevcut kullanıcıları bir tedarik zinciri saldırısıyla ele geçiriyor.

    • “Saldırı” kısmının nerede olduğunu anlamıyorum.
      Bunun tanımın temel unsuru olduğunu sanıyordum.
  • Bu davranışlarla WordPress adı yerin dibine sokuluyor.

    • Depoda Wpengine’in paketi güncellemesini engellediler; sonrasında paket bakımcıları güvenlik sorunu buldu ama paket kilitli olduğu için güncellemeyle düzeltemez hale geldiler.
      Garip bir açıdan bakınca mantıklı.
      wp.org kendini güvenlik açığını kapatmak zorunda kalmış buldu; bunun için doğrudan yama yapması gerekti ve bu süreçte paketi devralmak zorunda kaldı.
      Şoke edici olsa da, bilinen ve kamuya açık bir güvenlik açığını öylece bırakmaktan muhtemelen daha iyiydi.
  • Artık düpedüz üzücü olmaya başladı.
    Daha az kaprisli bir ekosistem için karşılaştırılabilir bir alternatif olmaması üzücü.

  • Önceki Hacker News tartışması: https://news.ycombinator.com/item?id=41821400