Il y a quelques jours, la communauté WordPress s’insurgeait : wordpress.org aurait-il délibérément supprimé Advanced Custom Fields du répertoire de plugins pour son propre compte ? Tentons de retracer l’historique de ces faits assez peu communs.
Du côté d’Advanced Custom Fields
Advanced Custom Fields (ACF) est une puissante extension WordPress développée par WP Engine qui permet de personnaliser le contenu de nombreux documents tels que les pages et les articles avec des champs et des taxonomies personnalisées.
Depuis peu, une bannière apparaît sur le site advancedcustomfields.com : le plugin ACF n’est plus disponible sur WordPress.org !
Notre plugin ACF a été repris de force par wordpressdotorg sans notre consentement.
Si vous êtes un client de WP Engine, Flywheel ou ACF PRO, vous n’avez aucune action à entreprendre et continuerez à recevoir les dernières mises à jour de l’équipe ACF.
Si votre site est hébergé ailleurs et utilise ACF, pour obtenir les mises à jour d’ACF, vous devez effectuer un téléchargement unique de la version authentique 6.3.8 afin de rester en sécurité à l’avenir. Les serveurs de mise à jour de wordpressdotorg ne sont plus sous le contrôle de l’équipe ACF.
Vous faites confiance à ACF depuis plus de dix ans. Les experts qui maintiennent ACF continueront à soutenir et à améliorer les fonctionnalités que nos utilisateurs aiment et en lesquels ils ont confiance.
En clair, ACF perd sa place de leader du secteur sur la plateforme d’extension WordPress, une décision délibérée de WordPress.org en faveur de leur nouvelle extension SCF.
Le 03/10/2024, Iain Poulson, le product manager d’ACF postait un billet de blog en accusant WordPress d’avoir bloqué l’équipe développement d’ACF mais aussi plus largement, tous les plugins de WP Engine. Posts sur X et commentaires s’envolent.
Du côté de WordPress
De son côté, WordPress a donc réalisé un fork de Advanced Custom Fields. Les raisons invoquées sont la vente incitative et un problème de sécurité. Côté sécurité, le problème semble se situer au niveau de la politique de mise à jour d’ACF : WP Engine a déployé le 01/10/2024 sa propre solution de mise à jour sans passer par le répertoire de plugins de WordPress.
Le nouveau plugin dérivé (fork) d’ACF nommé Secure Custom Fields reprend les fonctionnalités de son parent le tout gratuitement. Une question se pose alors : WordPress.org a t’il le droit de forker un plugin si bien établi avec ses plus de 2 million d’installations actives ?
Matt Mullenweg, co-auteur de WordPress puis PDG fondateur de Automattic, invoque l’article 18 de leurs guidelines :
18. Nous nous réservons le droit de maintenir le répertoire des plugins au mieux de nos capacités.
Notre intention est d’appliquer ces directives avec autant d’équité que possible. Nous faisons cela pour garantir la qualité générale des plugins et la sécurité de leurs utilisateurs. À cette fin, nous nous réservons les droits suivants :
… de mettre à jour ces directives à tout moment.
… de désactiver ou de retirer tout plugin du répertoire, même pour des raisons non explicitement couvertes par les directives.
… d’accorder des exceptions et de permettre aux développeurs de résoudre des problèmes, y compris ceux liés à la sécurité.
… de retirer l’accès d’un développeur à un plugin au profit d’un nouveau développeur actif.
… d’apporter des modifications à un plugin, sans le consentement du développeur, dans l’intérêt de la sécurité publique.
En retour, nous promettons d’utiliser ces droits avec parcimonie et avec autant de respect que possible pour les utilisateurs finaux et les développeurs.
Dans son billet de blog, Matt Mullenweg relate aussi le départ de Jason Bahl de chez WP Engine pour Automattic. Ce dernier explique sur le blog de Wpgraphql qu’après 3,5 ans passés chez WP Engine, il était temps pour lui de se focaliser sur des projets gratuits et open-source.
Comme un air de champ de bataille
Outre les billets de blogs, nous voyons apparaître, sur la page du plugin de SCF (anciennement celle d’ACF) de nombreux commentaires. D’un côté, les pro-WP Engine expriment leur mécontentement en notant d’une étoile le nouveau plugin et de l’autre, les internautes accueillent avec enthousiasme cette version non-commerciale du plugin.
Qu’est devenu ACF ?
Depuis la suppression d’ACF du répertoire WordPress.org, deux situations se présentent à vous.
Si vous utilisez la version payante d’ACF, les mises à jour restent automatiques via WP Engine. Aucun changement majeur pour vous, à part la méthode de mise à jour qui ne passe plus par WordPress.org.
Si vous utilisez la version gratuite, vous devez effectuer manuellement une mise à jour vers la version 6.3.8 afin de garantir que votre site reste sécurisé et maintenu.
En parallèle, Secure Custom Fields (SCF), le fork créé par WordPRess.org, est désormais disponible pour remplacer ACF. Il conserve les principales fonctionnalités d’ACF mais sans support commercial et avec une gestion de la sécurité contrôlée par WordPress.org. L’avantage pour les utilisateurs de SCF est qu’il n’auront pas à reconfigurer leur site, car le plugin conserve une compatibilité avec ACF.
Conclusion
Cette décision de WordPress.org soulève des questions sur la sécurité et l’évolution de ces deux plugins. Elle laisse en effet les utilisateurs peser les avantages d’un support commercial ou d’une solution gratuite contrôlée par la communauté. Lancez les dés, faites votre choix !