- WordPress.org, WP Engine’in popüler eklentisi Advanced Custom Fields (ACF)’i “Secure Custom Fields” adıyla forklayıp yayımlayarak eklenti üzerindeki kontrolü konu alan gerilimi büyüttü
- Matt Mullenweg gerekçe olarak ticari upsell’lerin kaldırılmasını ve güvenlik düzeltmelerini gösterdi, ancak somut güvenlik sorunu net değil
- Bu adımın dayanağı, WordPress ekibinin geliştirici onayı olmadan eklentileri kaldırmasına veya değiştirmesine izin veren Eklenti Dizini Kılavuzu’nun 18. maddesi
- WP Engine’in ACF ekibi, WordPress’in bir eklentiyi üreticisinin onayı olmadan “tek taraflı ve zorla” devraldığı bir örnek olmadığını X’te söyleyerek karşı çıktı
- WP Engine, Flywheel ve ACF Pro müşterisi olmayan kullanıcıların güncelleme almaya devam edebilmesi için ACF sitesinden orijinal 6.3.8 sürümünü bir kez indirmesi gerekiyor
ACF’nin Secure Custom Fields’a dönüşme süreci
- WordPress.org, WP Engine’in popüler eklentisi Advanced Custom Fields (ACF)’i “Secure Custom Fields” adlı bir fork olarak yayımladı
- Matt Mullenweg, bu güncellemenin ACF eklentisinin bir fork’u olduğunu ve “ticari upsell’leri kaldırıp güvenlik sorunlarını düzeltmek” için yapıldığını açıkladı
- Duyuru, WordPress’in kurucu ortaklarından ve Automattic CEO’su Matt Mullenweg’in WordPress.org yazısı üzerinden yayımlandı
- “Secure Custom Fields”, WordPress.org’daki Advanced Custom Fields eklenti sayfasına yüklendi
18. madde ve hukuki gerilim
- Mullenweg, WordPress ekibinin eklentileri kaldırmasına veya geliştirici onayı olmadan değiştirmesine izin veren Eklenti Dizini Kılavuzu’nun 18. maddesini bu adımın dayanağı olarak gösterdi
- Bu adım, WP Engine’in kısa süre önce Mullenweg ve Automattic’e karşı açtığı dava ile bağlantılı
- Mullenweg, benzer durumların daha önce de yaşandığını ancak hiçbirinin bu ölçekte olmadığını; bunun WP Engine’in hukuki saldırısı nedeniyle ortaya çıkan “nadir ve olağandışı bir durum” olduğunu söyledi
- Aynı şeyin başka eklentilerin başına gelmesini beklemediğini de ekledi
Net olmayan güvenlik düzeltmelerinin kapsamı
- Mullenweg güvenlik sorunlarının düzeltildiğini söyledi, ancak hangi güvenlik sorunlarından söz ettiği net değil
- Bu güncelleme “minimal” bir güncelleme olarak tanımlanıyor
- Eklenti değişikliğinin gerekçesi, ticari upsell’lerin kaldırılması ve güvenlik sorunlarının düzeltilmesi üzerine kuruluyor
WP Engine ACF ekibinin itirazı ve kullanıcıların yapması gerekenler
- WP Engine’in ACF ekibi, X’te WordPress’in bir eklentiyi onu yapan kişinin onayı olmadan tek taraflı ve zorla devraldığı bir örnek olmadığını söyleyerek karşı çıktı
- Ardından ACF ekibi, WP Engine, Flywheel ve ACF Pro müşterisi olmayan kullanıcılar için ayrı bir güncelleme süreci duyurdu
- ACF sitesine gitmeleri gerekiyor
- ACF’nin daha önce yayımladığı süreci izlemeleri gerekiyor
- Güncellemeleri almaya devam edebilmek için “orijinal 6.3.8 sürümünü” bir kez indirmeleri gerekiyor
ACF eklentisinin rolü
- ACF, web sitesi geliştiricilerinin mevcut standart alanlar yeterli olmadığında özel alanlar kullanmasını sağlayan bir eklentidir
- ACF özetine göre özel alanlar WordPress’te zaten yerleşik bir özellik olarak bulunuyor, ancak “pek kullanıcı dostu” değil
1 yorum
Hacker News yorumları
Bugün 5 yıldır iletişim kurmadığım bir müşteriden haber aldım; ACF ve WPEngine’in satın aldığı, yüklenen dosyaları S3’e taşıyan eklentiyi kullanıyorlarmış.
Bu olay onları ciddi biçimde tedirgin etmiş; bir sonraki değişikliğin işlerini nasıl etkileyeceğinden endişe ediyorlar ve sonuçta WordPress’ten ayrılmak istiyorlar.
WordPress daha önce eklenti dizininde fork eklentileri yasaklamıştı; şimdi ise başkalarına yasakladıkları şeyi kendileri yapıyor: https://make.wordpress.org/plugins/2021/02/16/reminder-forke...
Bu eklenti fork edilmiş, doğru; ama premium özellikleri ücretsiz sunduğu anlaşılıyor değil.
Bunu etik olarak savunmaya çalışmıyorum, sadece olgusal bir düzeltme.
Mullenweg’in yazıda sözünü ettiği güvenlik sorununun ne olduğu belirsiz.
CVE nerede, orijinal eklentiyi kullanmaya devam ederseniz riskin ne olduğuna dair hiç ayrıntı yok.
Bu da yalnızca orijinalin güvenli olup olmadığını bilememe kaygısı yaratıyor.
“Bundan böyle Secure Custom Fields ticari olmayan bir eklenti olacak” demesi, WordPress’in WPEngine’in gelir kaynağını hedefliyor olabileceği anlamına mı geliyor?
Pro seçeneği varsa, o kısmın kapalı kaynak olduğu için WordPress’in fork kod tabanında yer alıp almadığı da belirsiz: https://www.advancedcustomfields.com/pro/
WPEngine müşterilerini korkutup hizmetten uzaklaştırmak istiyor gibi; artık bu kişiler arası bir savaşa benziyor.
Bunun bir ihlal sayılmasına şaşırmam.
Bu ACF Pro için de geçerli.
Buradaki yerinde ters köşe, WPEngine’in güvenilir en az bir üçüncü taraf bulup birlikte bir vakıf kurarak WordPress’i başarıyla fork etmesi olurdu.
Onun derdi WP Engine’in WordPress’e katkı yapmaması; fork’u ve altyapıyı sürdürmeye karar verirlerse artık bedavacı sayılmazlar.
Automattic’in de fork ederlerse buna sevineceği kanaatindeyim.
Matt’in yarattığı bu karmaşada bir orta yol bulunsa bile, topluluğa verilen zarar bence artık olup bitti diye korkuyorum.
Neredeyse herkesin bir şekilde kullandığı ünlü bir platformun popülerliğinin çökmesi zaman meselesi gibi görünüyor.
WordPress yıllar boyunca internete çok şey kattı ama bunların önemli bir kısmı ele geçirilmiş siteler ve güvenlik sorunlarıydı.
Bu olay modern ve güvenli araçların doğmasına ya da yaygınlaşmasına yol açarsa herkes için net bir kazanç olabilir.
Elbette uzun bir ön belirti döneminden sonra ünlü bir olayla patlak vermesi şeklinde; ama WordPress’te de işaretler şimdiden görülebilir.
Şimdiye kadar görünen, mevcut PR’ın pek iyi olmadığı.
WordPress sadece cücelerin en uzunu.
Hukuk danışmanları ya en iyisi ya en kötüsü, ya da sadece hukuk danışmanlarını görmezden geliyorlar gibi.
Bu Matt denen kişi aklını kaçırmış gibi.
Bu yüzden sorunun müvekkilin kendisinde olma ihtimali daha yüksek görünüyor.
Mullenweg mevcut kullanıcıları bir tedarik zinciri saldırısıyla ele geçiriyor.
Bunun tanımın temel unsuru olduğunu sanıyordum.
Bu davranışlarla WordPress adı yerin dibine sokuluyor.
Garip bir açıdan bakınca mantıklı.
wp.org kendini güvenlik açığını kapatmak zorunda kalmış buldu; bunun için doğrudan yama yapması gerekti ve bu süreçte paketi devralmak zorunda kaldı.
Şoke edici olsa da, bilinen ve kamuya açık bir güvenlik açığını öylece bırakmaktan muhtemelen daha iyiydi.
Artık düpedüz üzücü olmaya başladı.
Daha az kaprisli bir ekosistem için karşılaştırılabilir bir alternatif olmaması üzücü.
Önceki Hacker News tartışması: https://news.ycombinator.com/item?id=41821400
https://news.ycombinator.com/item?id=41821336 (165 yorum, photomatt’in 5 yorumu dahil)
https://news.ycombinator.com/item?id=41824852 (63 yorum)