WordPress.org ने WP Engine के ACF प्लगइन को Secure Custom Fields के रूप में fork किया
(theverge.com)- WordPress.org ने WP Engine के लोकप्रिय प्लगइन Advanced Custom Fields(ACF) को “Secure Custom Fields” नाम से fork कर सार्वजनिक किया, जिससे प्लगइन के नियंत्रण को लेकर टकराव बढ़ गया
- Matt Mullenweg ने व्यावसायिक upsell हटाने और सुरक्षा सुधारों को वजह बताया, लेकिन具体 सुरक्षा समस्या स्पष्ट नहीं है
- इस कदम का आधार Plugin Directory Guideline 18 है, जो WordPress टीम को developer की सहमति के बिना प्लगइन हटाने या बदलने की अनुमति देता है
- WP Engine की ACF टीम ने X पर जवाब दिया कि WordPress ने कभी भी प्लगइन निर्माता की सहमति के बिना “एकतरफा और जबरन” उसे अपने नियंत्रण में नहीं लिया है
- WP Engine, Flywheel, ACF Pro ग्राहकों के अलावा अन्य users को updates जारी रखने के लिए ACF साइट से असली 6.3.8 version एक बार download करना होगा
ACF के Secure Custom Fields में बदलने की पृष्ठभूमि
- WordPress.org ने WP Engine के लोकप्रिय प्लगइन Advanced Custom Fields(ACF) को “Secure Custom Fields” नाम के fork के रूप में सार्वजनिक किया
- Matt Mullenweg ने कहा कि यह update ACF प्लगइन का fork है और “commercial upsell हटाने तथा security issues ठीक करने” के लिए किया गया है
- यह घोषणा WordPress के co-founder और Automattic CEO Matt Mullenweg की WordPress.org पोस्ट के जरिए की गई
- “Secure Custom Fields” WordPress.org के Advanced Custom Fields plugin page पर उपलब्ध कराया गया
Guideline 18 और कानूनी टकराव
- Mullenweg ने इस कदम के आधार के रूप में Plugin Directory Guideline 18 का हवाला दिया, जो WordPress टीम को developer की सहमति के बिना प्लगइन हटाने या बदलने की अनुमति देता है
- यह कदम WP Engine द्वारा हाल ही में Mullenweg और Automattic के खिलाफ दायर मुकदमे से जुड़ा है
- Mullenweg ने बताया कि ऐसे हालात पहले भी आए हैं, लेकिन इस बार जितने बड़े पैमाने पर नहीं; उन्होंने इसे WP Engine के कानूनी हमले के कारण पैदा हुई “दुर्लभ और असामान्य स्थिति” बताया
- उन्होंने यह भी जोड़ा कि वे उम्मीद नहीं करते कि दूसरे plugins के साथ भी ऐसा ही होगा
सुरक्षा सुधारों का अस्पष्ट दायरा
- Mullenweg ने कहा कि सुरक्षा समस्याएं ठीक की जा रही हैं, लेकिन यह स्पष्ट नहीं है कि वे किन security issues की बात कर रहे हैं
- इस update को “minimal” update बताया गया है
- प्लगइन में बदलाव का औचित्य commercial upsell हटाने और security issues ठीक करने पर केंद्रित है
WP Engine ACF टीम का जवाब और users के लिए कदम
- WP Engine की ACF टीम ने X पर जवाब दिया कि WordPress ने प्लगइन बनाने वाले व्यक्ति की सहमति के बिना कभी भी उसे एकतरफा और जबरन अपने नियंत्रण में नहीं लिया है
- इसके बाद ACF टीम ने WP Engine, Flywheel, ACF Pro customers के अलावा अन्य users के लिए अलग update प्रक्रिया बताई
- ACF साइट पर जाना होगा
- ACF द्वारा पहले साझा की गई प्रक्रिया का पालन करना होगा
- updates जारी रखने के लिए “असली 6.3.8 version” को एक बार download करना होगा
ACF प्लगइन की भूमिका
- ACF एक ऐसा प्लगइन है जो website creators को मौजूदा सामान्य fields पर्याप्त न होने पर custom fields इस्तेमाल करने देता है
- ACF overview के अनुसार custom fields WordPress में पहले से built-in feature के रूप में मौजूद हैं, लेकिन वे “बहुत user-friendly” नहीं हैं
1 टिप्पणियां
Hacker News की राय
आज एक ऐसे ग्राहक ने संपर्क किया जिससे 5 साल से कोई बात नहीं हुई थी; वे ACF और WPEngine द्वारा अधिग्रहित, अपलोड फ़ाइलों को S3 पर माइग्रेट करने वाला प्लगइन इस्तेमाल कर रहे हैं
इस घटना से वे काफ़ी चिंतित हैं और सोच रहे हैं कि अगला बदलाव उनके बिज़नेस को कैसे प्रभावित करेगा, इसलिए अंत में वे WordPress छोड़ना चाहते हैं
WordPress ने पहले plugin directory में fork plugins पर रोक लगाई थी, लेकिन अब वे खुद वही कर रहे हैं जो उन्होंने दूसरों के लिए प्रतिबंधित किया था: https://make.wordpress.org/plugins/2021/02/16/reminder-forke...
इस plugin को fork किया गया है, यह सही है, लेकिन ऐसा नहीं लगता कि premium features मुफ्त में दिए जा रहे हैं
यह नैतिक बचाव नहीं, बल्कि तथ्यों का सुधार है
Mullenweg ने पोस्ट में जिस security issue का ज़िक्र किया है, वह स्पष्ट नहीं है
CVE कहां है, और original plugin को इस्तेमाल करते रहने में क्या जोखिम है—इस पर कोई detail नहीं है
इससे बस यह चिंता पैदा होती है कि original सुरक्षित है या नहीं, यह पता नहीं
“आगे से Secure Custom Fields एक non-commercial plugin होगा” — क्या इसका मतलब यह है कि WordPress WPEngine की revenue stream को निशाना बना रहा हो सकता है?
अगर Pro option था, तो क्या वह हिस्सा closed source होने के कारण WordPress के fork codebase में नहीं है—यह भी स्पष्ट नहीं है: https://www.advancedcustomfields.com/pro/
ऐसा लगता है कि वे WPEngine ग्राहकों को डराकर सेवा छोड़ने पर मजबूर करना चाहते हैं, और अब यह व्यक्तिगत लड़ाई जैसा दिख रहा है
अगर यह उल्लंघन निकले तो हैरानी नहीं होगी
यह ACF Pro पर भी लागू होता है
यहां उपयुक्त पलटवार यह होगा कि WPEngine कम-से-कम एक भरोसेमंद third party ढूंढे और साथ मिलकर एक foundation बनाए, ताकि WordPress को सफलतापूर्वक fork किया जा सके
उनकी चिंता यह है कि WP Engine WordPress में योगदान नहीं देता, इसलिए अगर वे fork और infrastructure maintain करने का फैसला करते हैं तो वे अब free-rider नहीं रहेंगे
मेरी राय में Automattic भी उनके fork करने से खुश होगा
Matt द्वारा बनाई गई इस अव्यवस्था में अगर कोई बीच का रास्ता निकल भी आए, तो डर है कि community को हुआ नुकसान पहले ही हो चुका है
ऐसा लगता है कि जिस मशहूर platform को लगभग सभी किसी-न-किसी तरह इस्तेमाल करते थे, उसकी लोकप्रियता गिरना अब बस समय की बात है
WordPress ने वर्षों में internet को बहुत कुछ दिया, लेकिन उसका बड़ा हिस्सा compromised sites और security issues भी था
अगर यह घटना आधुनिक और सुरक्षित tools के जन्म या लोकप्रियता की ओर ले जाती है, तो कुल मिलाकर सबके लिए फायदा हो सकता है
बेशक, पहले लंबी भूमिका बनती है और फिर कोई मशहूर घटना विस्फोट की तरह सामने आती है, लेकिन WordPress में भी पहले से संकेत दिख सकते हैं
अभी तक देखने में current PR बहुत अच्छी नहीं लग रही
WordPress बस सबसे लंबा बौना ही है
उनकी legal counsel या तो बेहतरीन है या सबसे खराब, या फिर वे बस legal counsel को ignore कर रहे हैं
यह Matt नाम का व्यक्ति मानसिक रूप से अस्थिर लगता है
इसलिए समस्या client की तरफ़ होने की संभावना ज़्यादा दिखती है
Mullenweg मौजूदा users को supply chain attack के ज़रिए hijack कर रहे हैं
मुझे लगा था कि definition में वही मुख्य बात होती है
इस तरह की हरकत से WordPress नाम मिट्टी में मिल रहा है
अजीब तरीके से देखें तो यह समझ में आता है
wp.org खुद security holes बंद करने की मजबूरी में आ गया, और ऐसा करने के लिए उसे खुद patch करना पड़ा; इसी प्रक्रिया में उसे package अपने कब्ज़े में लेना पड़ा
चौंकाने वाला तो है, लेकिन ज्ञात और सार्वजनिक security vulnerabilities को यूं ही छोड़ देने से शायद बेहतर था
अब यह बस साधारण तौर पर दुखद लगने लगा है
अफ़सोस है कि किसी कम मनमौजी ecosystem का तुलनीय विकल्प नहीं है
पिछली Hacker News चर्चा: https://news.ycombinator.com/item?id=41821400
https://news.ycombinator.com/item?id=41821336 (165 comments, जिनमें photomatt के 5 comments शामिल हैं)
https://news.ycombinator.com/item?id=41824852 (63 comments)