- WordPress.org เปิดตัวฟอร์กของปลั๊กอินยอดนิยมจาก WP Engine อย่าง Advanced Custom Fields (ACF) ภายใต้ชื่อ “Secure Custom Fields” ทำให้ความขัดแย้งเรื่องอำนาจควบคุมปลั๊กอินรุนแรงขึ้น
- Matt Mullenweg ระบุว่าเป็นการนำการขายต่อยอดเชิงพาณิชย์ออกและแก้ไขด้านความปลอดภัย แต่ยังไม่ชัดเจนว่าปัญหา ความปลอดภัย ที่ว่าคืออะไร
- เหตุผลของการดำเนินการครั้งนี้อ้างอิงจาก ข้อ 18 ของแนวทางไดเรกทอรีปลั๊กอิน ซึ่งเปิดทางให้ทีม WordPress สามารถลบหรือแก้ไขปลั๊กอินได้โดยไม่ต้องได้รับความยินยอมจากนักพัฒนา
- ทีม ACF ของ WP Engine โต้กลับบน X ว่า WordPress ไม่เคย “ยึดไปแบบฝ่ายเดียวและบังคับ” โดยไม่ขอความยินยอมจากผู้สร้างปลั๊กอินมาก่อน
- ผู้ใช้ที่ไม่ใช่ลูกค้าของ WP Engine, Flywheel หรือ ACF Pro จะต้องดาวน์โหลด เวอร์ชันแท้ 6.3.8 จากเว็บไซต์ ACF หนึ่งครั้งเพื่อรับอัปเดตต่อไป
ที่มาที่ไปของการเปลี่ยน ACF เป็น Secure Custom Fields
- WordPress.org เผยแพร่ฟอร์กของปลั๊กอินยอดนิยมจาก WP Engine อย่าง Advanced Custom Fields (ACF) ภายใต้ชื่อ “Secure Custom Fields”
- Matt Mullenweg ระบุว่าอัปเดตนี้เป็น ฟอร์ก ของปลั๊กอิน ACF และเป็นมาตรการเพื่อ “นำการขายต่อยอดเชิงพาณิชย์ออกและแก้ไขปัญหาความปลอดภัย”
- การประกาศดังกล่าวเผยแพร่ผ่าน โพสต์บน WordPress.org ของ Matt Mullenweg ผู้ร่วมก่อตั้ง WordPress และ CEO ของ Automattic
- “Secure Custom Fields” ถูกเผยแพร่บน หน้าปลั๊กอิน Advanced Custom Fields ของ WordPress.org
ข้อ 18 ของแนวทางและความขัดแย้งทางกฎหมาย
- Mullenweg อ้าง ข้อ 18 ของแนวทางไดเรกทอรีปลั๊กอิน ซึ่งเปิดให้ทีม WordPress สามารถลบหรือแก้ไขปลั๊กอินได้โดยไม่ต้องได้รับความยินยอมจากนักพัฒนา เป็นเหตุผลของการดำเนินการครั้งนี้
- การเคลื่อนไหวครั้งนี้เชื่อมโยงกับ คดีความ ที่ WP Engine เพิ่งยื่นฟ้อง Mullenweg และ Automattic
- Mullenweg อธิบายว่าแม้จะเคยมีสถานการณ์คล้ายกันมาก่อน แต่ไม่เคยมีขนาดใหญ่เท่าครั้งนี้ และเป็น “สถานการณ์ที่เกิดขึ้นไม่บ่อยและผิดปกติ” จากการโจมตีทางกฎหมายของ WP Engine
- เขายังเสริมด้วยว่าไม่คิดว่าเรื่องแบบนี้จะเกิดขึ้นกับปลั๊กอินอื่น
ขอบเขตของการแก้ไขด้านความปลอดภัยที่ยังไม่ชัดเจน
- แม้ Mullenweg จะบอกว่าเป็นการแก้ไขปัญหาความปลอดภัย แต่ก็ยังไม่ชัดเจนว่าหมายถึงปัญหา ความปลอดภัย ใด
- อัปเดตครั้งนี้ถูกอธิบายว่าเป็นอัปเดตแบบ “ขั้นต่ำ”
- เหตุผลหลักของการเปลี่ยนแปลงปลั๊กอินถูกวางไว้ที่การนำการขายต่อยอดเชิงพาณิชย์ออกและการแก้ไขปัญหาความปลอดภัย
การโต้แย้งของทีม ACF จาก WP Engine และสิ่งที่ผู้ใช้ต้องทำ
- ทีม ACF ของ WP Engine โต้กลับบน X ว่า WordPress ไม่เคย “ยึดไปแบบฝ่ายเดียวและบังคับ” โดยไม่ขอความยินยอมจากผู้สร้างปลั๊กอินมาก่อน
- หลังจากนั้นทีม ACF ได้แนะนำขั้นตอนอัปเดตแยกต่างหากสำหรับผู้ใช้ที่ไม่ใช่ลูกค้าของ WP Engine, Flywheel หรือ ACF Pro
- ต้องไปที่เว็บไซต์ ACF
- ต้องทำตามขั้นตอนที่ ACF เผยแพร่ไว้ก่อนหน้านี้
- ต้อง ดาวน์โหลดหนึ่งครั้ง สำหรับ “เวอร์ชันแท้ 6.3.8” เพื่อรับอัปเดตต่อไป
บทบาทของปลั๊กอิน ACF
- ACF เป็นปลั๊กอินที่ช่วยให้ผู้สร้างเว็บไซต์สามารถใช้ custom fields ได้เมื่อฟิลด์ทั่วไปที่มีอยู่เดิมไม่เพียงพอ
- ตามคำอธิบายของ ACF นั้น custom fields มีอยู่ใน WordPress เป็นฟังก์ชันพื้นฐานอยู่แล้ว แต่ “ไม่ได้ใช้งานง่ายนัก”
1 ความคิดเห็น
ความคิดเห็นใน Hacker News
วันนี้ได้รับการติดต่อจากลูกค้าที่ไม่ได้คุยกันมา 5 ปี พวกเขาใช้ ACF และปลั๊กอินย้ายไฟล์อัปโหลดไป S3 ที่ WPEngine เข้าซื้อไป
เรื่องนี้ทำให้พวกเขากังวลอย่างมาก และห่วงว่าการเปลี่ยนแปลงถัดไปจะส่งผลต่อธุรกิจอย่างไร สุดท้ายจึง อยากออกจาก WordPress
ก่อนหน้านี้ WordPress เคยห้าม ปลั๊กอินที่ fork มา ในไดเรกทอรีปลั๊กอิน แต่ตอนนี้กลับทำสิ่งที่ตัวเองห้ามคนอื่นไว้: https://make.wordpress.org/plugins/2021/02/16/reminder-forke...
ครั้งนี้จริงอยู่ว่า fork ปลั๊กอิน แต่ดูเหมือนไม่ได้เอาฟีเจอร์พรีเมียมมาแจกฟรี
ไม่ได้พยายามปกป้องในเชิงจริยธรรม แค่ ปรับข้อเท็จจริงให้ตรง
ไม่ชัดเจนว่าปัญหาความปลอดภัยที่ Mullenweg กล่าวถึงในโพสต์คืออะไร
CVE อยู่ตรงไหน และถ้ายังใช้ปลั๊กอินต้นฉบับต่อไปจะมีความเสี่ยงอะไร ก็ไม่มีรายละเอียดเลย
จึงมีแต่ความกังวลว่าไม่อาจรู้ได้ว่าต้นฉบับปลอดภัยหรือไม่
คำพูดที่ว่า “ต่อไป Secure Custom Fields จะเป็นปลั๊กอินที่ไม่ใช่เชิงพาณิชย์” หมายความว่า WordPress อาจกำลังเล็งแหล่งรายได้ของ WPEngine อยู่หรือเปล่า?
ถ้ามีตัวเลือก Pro อยู่ ส่วนนั้นเป็นซอร์สแบบปิด จึงไม่ชัดเจนด้วยว่าไม่ได้อยู่ในฐานโค้ดที่ WordPress fork มาหรือไม่: https://www.advancedcustomfields.com/pro/
ดูเหมือนเขาพยายามขู่ลูกค้าของ WPEngine ให้เลิกใช้บริการ และตอนนี้ดูเหมือนเป็น สงครามระหว่างบุคคล ไปแล้ว
ถ้าเรื่องแบบนั้นเข้าข่ายละเมิดก็คงไม่น่าแปลกใจ
ข้อนี้ใช้กับ ACF Pro ด้วย
จุดหักมุมที่เหมาะสมตรงนี้คือ WPEngine หาบุคคลที่สามที่น่าเชื่อถืออย่างน้อยหนึ่งราย แล้วร่วมกันตั้งมูลนิธิเพื่อ fork WordPress ให้สำเร็จ
ประเด็นของเขาคือ WP Engine ไม่ได้มีส่วนร่วมกับ WordPress ดังนั้นหากพวกเขาตัดสินใจดูแล fork และโครงสร้างพื้นฐานเอง ก็จะไม่ใช่ การเกาะใช้ฟรี อีกต่อไป
ความเห็นของผมคือ Automattic ก็น่าจะดีใจถ้าพวกเขา fork
แม้จะมีจุดกึ่งกลางเกิดขึ้นจากความยุ่งเหยิงที่ Matt สร้างขึ้นนี้ ผมก็กลัวว่า ความเสียหายต่อชุมชน ได้เกิดขึ้นไปแล้ว
ดูเหมือนเป็นเพียงเรื่องของเวลา ก่อนที่ความนิยมของแพลตฟอร์มชื่อดังที่แทบทุกคนเคยใช้ไม่ทางใดก็ทางหนึ่งจะพังลง
WordPress มอบหลายสิ่งให้กับอินเทอร์เน็ตมาหลายปี แต่ส่วนใหญ่ในนั้นคือ เว็บไซต์ที่ถูกยึด และปัญหาความปลอดภัย
หากเรื่องนี้นำไปสู่การถือกำเนิดหรือการแพร่หลายของเครื่องมือที่ทันสมัยและปลอดภัย ก็อาจเป็นผลดีสุทธิสำหรับทุกคน
แน่นอนว่าเป็นแบบมีสัญญาณนำอยู่นาน แล้วระเบิดออกมาเป็นเหตุการณ์ดัง แต่ WordPress เองก็อาจเริ่มมีสัญญาณให้เห็นแล้ว
เท่าที่เห็นจนถึงตอนนี้ PR ปัจจุบันยังไม่ค่อยดีนัก
WordPress ก็แค่ คนแคระที่สูงที่สุด เท่านั้น
ที่ปรึกษากฎหมายของพวกเขาไม่ก็เก่งที่สุด ก็แย่ที่สุด หรือไม่ก็แค่ ไม่ฟังที่ปรึกษากฎหมาย
คนชื่อ Matt คนนี้ดูเหมือน ไม่ปกติเอาเสียเลย
ดังนั้นจึงดูเป็นไปได้มากกว่าว่าปัญหาอยู่ที่ตัวลูกความเอง
Mullenweg กำลังยึดผู้ใช้เดิมไปด้วย การโจมตีซัพพลายเชน
ผมคิดว่านั่นคือแก่นสำคัญของนิยามเสียอีก
พฤติกรรมแบบนี้กำลังทำให้ ชื่อ WordPress เสื่อมเสียอย่างหนัก
ถ้ามองแบบแปลก ๆ ก็พอมีเหตุผล
wp.org ถูกบีบให้ต้องปิดช่องโหว่ความปลอดภัยเอง และเพื่อทำเช่นนั้นก็ต้องแพตช์โดยตรง ซึ่งในกระบวนการนั้นก็ต้องยึดแพ็กเกจมา
แม้จะน่าตกใจ แต่ก็น่าจะดีกว่าการปล่อย ช่องโหว่ความปลอดภัย ที่ทราบและเปิดเผยแล้วทิ้งไว้เฉย ๆ
ตอนนี้เริ่มรู้สึกเศร้าแบบธรรมดาแล้ว
น่าเสียดายที่ไม่มีทางเลือกเทียบเคียงได้ใน ระบบนิเวศที่เอาแน่เอานอนได้น้อยกว่า
การอภิปรายก่อนหน้านี้ใน Hacker News: https://news.ycombinator.com/item?id=41821400
https://news.ycombinator.com/item?id=41821336 (165 ความคิดเห็น รวมความคิดเห็นของ photomatt 5 รายการ)
https://news.ycombinator.com/item?id=41824852 (63 ความคิดเห็น)