La hache de guerre entre WordPress.org et WP Engine n'est pas prête d'être enterrée. La situation s'est même aggravée ce week-end avec la décision surprise du co-fondateur et CEO de WordPress Matt Mullenweg de forker le plug-in ACF (Advanced Custom Fields, un plugin WordPress qui permet aux concepteurs et aux développeurs de proposer des sites Web plus sophistiqués et conviviaux à leurs clients) par le plugin nommé Secure Custom Fields (SCF) quelques jours après lui avoir coupé les vivres. Invoquant l'article 18 des lignes directrices des répertoires de plugins, ce dernier assure que « cette mise à jour est aussi minimale que possible pour résoudre un problème de sécurité » et que « Secure Custom Fields est désormais un plugin non-commercial. » Et Matt Mullenweg de poursuivre : « des situations similaires se sont déjà produites, mais pas à cette échelle. Il s'agit d'une situation rare et inhabituelle provoquée par les attaques juridiques de WP Engine, nous ne prévoyons pas que cela se produise pour d'autres plugins. »
Cette décision a été fraichement accueillie par ACF (créé en 2012 et racheté par WP Engine en 2022) qui a indiqué dans un billet qu'« en 21 ans d'histoire de WordPress, un plugin en cours de développement n'a jamais été retiré unilatéralement et de force à son créateur sans son consentement. » Avec à la clé des conséquences pour certains utilisateurs : « si vous hébergez sur WP Engine, ce changement n'a pas d'impact sur vous, car ils maintiennent un miroir du dépôt de plugins. Cependant, si vous avez activé les mises à jour automatiques, vous avez peut-être remarqué une surprise : ACF a déjà été remplacé par Secure Custom Fields (SCF) », explique le consultant en sécurité WordPress Tim Nash qui remet par ailleurs en cause l'argument de sécurité poussé par le CEO et co-fondateur de Wordpress. « Il est important de noter que Secure Custom Fields n'est pas plus sûr qu'ACF. Le patch de sécurité pour corriger une vulnérabilité trouvée par Automattic la semaine dernière a déjà été appliqué par l'équipe WP Engine avant cet incident, partagé avec l'équipe de sécurité de WordPress qui avait déjà patché ACF sur wordpress.org. À court terme, aucune des deux parties n'est susceptible de procéder à des changements importants pour éviter de perturber les utilisateurs. »
David Heinemeier Hansson veut faire entendre raison à Matt Mullenweg
En forçant le remplacement d'ACF par SCF, Matt Mullenweg s'est attiré les foudres d'Advanced Custom Fields : « La modification de notre distribution publiée, et sous notre slug [l'identifiant texte d'une publication] qui identifie de manière unique le plugin ACF et le code auquel nos utilisateurs font confiance dans le dépôt de plugins de WordPress.org, est incompatible avec les valeurs et les principes de l'open source. La modification apportée par Mullenweg est malencontreusement utilisée pour mettre à jour des millions d'installations existantes d'ACF avec un code non approuvé et non fiable par l'équipe d'Advanced Custom Fields. », indique Iain Poulson, responsable produits.
David Heinemeier Hansson, créateur du framework Ruby on Rails, s'est aussi élevé contre la décision du patron de Wordpress qui pourrait surtout tirer la couverture à lui : « il y a une ironie incroyable dans le fait qu'Automattic [la société de services d'hébergement de sites Wordpress de Matt Mullenweg] détourne maintenant les utilisateurs qui cherchent ACF vers leur propre plugin. Et pour justifier cette violation sans précédent des normes de l'open source, ils expliquent qu'ACF a besoin de maintenance, et que comme WPE n'est plus en mesure de la fournir (étant donné qu'ils ont été bloqués !), Automattic doit intervenir pour le faire [...] Prendre en otage des registres de code source ouvert est une chose inacceptable. Ils doivent rester un territoire neutre. [...] Il est encore temps de faire marche-arrière. De conclure un accord modeste qui permette à toutes les parties de sauver la face. Je vous implore de poursuivre dans cette voie. »