Le plugin populaire Advanced Custom Fields (ACF), utilisé par des milliers de développeurs et référenceurs pour personnaliser les sites WordPress, est au centre d'une controverse. WordPress.org, sous la direction de Matt Mullenweg, a pris la décision de copier le plugin et de créer une version distincte, appelée Secure Custom Fields (SCF). Cette action, motivée par des préoccupations de sécurité, a déclenché un débat houleux dans la communauté open source.
Ce qu'il faut retenir :
- Matt Mullenweg, de WordPress, a "forké" (copié) le plugin ACF pour créer Secure Custom Fields, invoquant des raisons de sécurité.
- WP Engine, propriétaire d'ACF, accuse WordPress de violation des principes open source.
- Les utilisateurs d'ACF PRO ne sont pas impactés par ce changement.
- Les utilisateurs de la version gratuite d'ACF doivent suivre un processus spécifique pour obtenir les mises à jour officielles.
Une décision polémique de WordPress
Le 12 octobre 2024, Matt Mullenweg, co-fondateur de WordPress et PDG d'Automattic, a annoncé une décision surprenante : WordPress.org a pris le contrôle du plugin Advanced Custom Fields (ACF), un outil utilisé par des millions de sites pour gérer des champs personnalisés. Ce plugin, développé par WP Engine, a été intégralement copié et rebaptisé Secure Custom Fields (SCF). D'après la version de Mullenweg, cette action visait à supprimer les options commerciales présentes dans le plugin et à résoudre un problème de sécurité.
Evidemment, cette décision n'a pas été bien accueillie par WP Engine. L'équipe d'ACF a exprimé son indignation, affirmant que WordPress n'avait jamais, en 21 ans, pris le contrôle d'un plugin sans le consentement de son créateur. Ils accusent WordPress d'avoir violé un engagement fondamental envers la communauté open source.
Les raisons invoquées par WordPress
Dans son annonce, Mullenweg a invoqué le point 18 des directives du répertoire des plugins WordPress.org. Ce point permet à WordPress de retirer ou de modifier un plugin sans le consentement de son développeur en cas de problème de sécurité ou de non-conformité. Il a également souligné que cette situation était exceptionnelle et liée aux actions juridiques récemment entreprises par WP Engine contre Automattic.
Mullenweg a également souligné que la copie Secure Custom Fields était une mise à jour minimale visant à corriger un problème de sécurité (non spécifié) et à retirer les incitations commerciales du plugin. Cependant, aucun détail précis sur la nature de la vulnérabilité n’a été fourni, ce qui a semé le doute parmi certains membres de la communauté.
Les critiques de la communauté open source
La décision de WordPress a suscité des réactions fortes au sein de la communauté open source. Certains ont vu cette action comme une mesure nécessaire pour protéger l'écosystème WordPress. D'autres, notamment des figures influentes comme David Heinemeier Hansson, créateur de Ruby on Rails, ont qualifié cette démarche de "dangereuse". Il a souligné que l’utilisation de WordPress comme levier dans un conflit commercial menaçait l'intégrité de l'open source. Pour Hansson, WordPress, en tant que plateforme open source, doit rester neutre dans les conflits commerciaux et ne pas être utilisé comme un outil de pression.
De son côté, l’équipe ACF a dénoncé une atteinte grave aux valeurs open source, accusant Mullenweg de mener une croisade commerciale en dépit des principes de transparence et de partage qui guident normalement les projets open source.
WP Engine contre-attaque
En réponse à cette prise de contrôle, WP Engine a pris des mesures pour permettre à ses utilisateurs de continuer à utiliser ACF en toute sécurité. Pour les clients de WP Engine, Flywheel, et ACF PRO, la situation reste stable : ces utilisateurs continueront à recevoir les mises à jour régulières directement de l'équipe ACF.
Cependant, pour les utilisateurs de la version gratuite du plugin hébergée sur WordPress, la situation est plus complexe. WP Engine a recommandé à ces utilisateurs de télécharger manuellement la version 6.3.8 depuis le site officiel d’ACF afin de continuer à recevoir les mises à jour officielles, hors du contrôle de WordPress.
L'équipe ACF a également critiqué l'utilisation du "slug" (identifiant unique) d'ACF par WordPress pour déployer le plugin Secure Custom Fields, estimant que cela créait de la confusion et exposait des millions de sites à un code non approuvé par leur équipe. En effet, si vous êtes un utilisateur de la version hébergée sur WordPress.org, il est probable que vous ayez été automatiquement migré vers Secure Custom Fields, à moins que vous n’ayez désactivé les mises à jour automatiques.
Cette transition vers un plugin modifié sans validation de l’équipe originale a semé la confusion, certains utilisateurs se retrouvant avec une version non désirée du plugin, et d’autres souhaitant revenir à la version authentique développée par WP Engine.
L’équipe ACF a rapidement réagi en publiant un guide détaillant la marche à suivre pour récupérer une version officielle du plugin et en envoyant un e-mail à tous ses utilisateurs.
Comment installer la dernière version gratuite d'ACF ?
Si vous utilisez la version gratuite d'Advanced Custom Fields et que votre site a été migré vers Secure Custom Fields via WordPress, voici comment récupérer la version officielle d'ACF et continuer à recevoir les mises à jour légitimes :
- Téléchargement de la version 6.3.8
Allez sur le site officiel d'ACF à l'adresse advancedcustomfields.com et téléchargez la version 6.3.8 du plugin. Cette version est celle approuvée et publiée par l'équipe d'ACF. - Installation manuelle du plugin
- Accédez à votre tableau de bord WordPress.
- Dans le menu de gauche, cliquez sur Extensions puis sur Ajouter.
- Cliquez sur le bouton Téléverser une extension en haut de l’écran.
- Sélectionnez le fichier ZIP que vous avez téléchargé depuis le site d’ACF et cliquez sur Installer maintenant.
- Une fois l’installation terminée, cliquez sur Activer l’extension.
- Mises à jour futures
Une fois que vous avez installé manuellement cette version, les mises à jour futures du plugin seront disponibles directement dans votre panneau d'administration WordPress, comme d'habitude. Vous recevrez des notifications de mise à jour lorsque l'équipe ACF publiera de nouvelles versions via leur propre réseau de distribution.
En suivant ces étapes, vous pourrez continuer à utiliser la version d'ACF développée et approuvée par l'équipe originale, sans être impacté par les modifications apportées par WordPress.org.
Sources :
- ACF Plugin no longer available on WordPress.org (ACF), 12/10/2024
- Installing and Upgrading to the Latest Version of ACF (ACF), 3/10/2024
Articles complémentaires :
Faille critique dans LiteSpeed Cache : 5 millions de sites WordPress menacés
Attaque de Rank Math SEO : Plus de 2 millions de sites WordPress vulnérables
Top 9 des plugins SEO WordPress pour faire décoller votre site
Bonjour, précision importante : WordPress n’est pas une entreprise, WordPress n’a pas forké quoi que ce soit. C’est le compte administrateur du site communautaire wordpress.org autrement dit Matt Mullenweg qui a pris la décision du « fork ».
Bonjour Aurélien, je vous remercie pour cette précision 😊
Bonne journée !