ここ最近WordPress界隈を騒がせている『Advanced Custom Fields』関連の問題について。
いろいろ調べてわかってきたことをまとめます。
目次
登場人物、用語解説
マット・マレンウェグ(Matt Mullenweg)
WordPress共同創業者で、Automattic社のCEO。プラグインAdvanced Custom Fields(ACF)のセキュリティ脆弱性を理由に挙げてフォークし、Secure Custom Fields(SCF)と名前を変えて乗っ取った。本件の中心人物。
WP Engine社
プラグインAdvanced Custom Fields(ACF)を開発している企業。「開発者の許可なく一方的にフォークが行われた」と主張。WordPress.orgをBANされ、ACFを乗っ取られて激おこ。
Automattic社
WordPressの開発に最も貢献している企業のひとつ。しかしながら、WordPressの親会社というわけではない。
WordPress.org
オープンソースのCMS(コンテンツ管理システム)であるWordPressの公式サイト。
Automattic社はWordPressの開発に大きく関与しているが、WordPress.org はコミュニティ主導で運営されている。
Advanced Custom Fields(ACF)
WordPressの超有名プラグイン。元の開発者はElliot Condon氏。Delicious Brains社を経て、現在はWP Engineが買収し所有している。世界中の開発者たちが愛用。
発端
ことの発端は1ヶ月前。
2024年9月17日〜20日にかけて開催された『WordCamp US 2024』にて。
WordPress共同創業者であるマット・マレンウェグ氏が、プラグイン『Advanced Custom Fields』の運営会社『WP Engine』を名指しで批判しました。
マット氏の主張によると、「WP EngineはWordPressコミュニティに貢献していない、WordPressを利用して金儲けしている」とのこと。
WordCamp US の参加者だけでなく、世界中のWordPress利用者に対して、 WP Engine の使用をやめるように促しました。
対してWP Engine側は、WordPress.org とその運営母体であるAutomattic社を名誉毀損などで告訴。
泥沼化する様相を見せていました。
Automattic社職員の辞職
マット氏のブログによると、10月3日の記事 “Automattic Alignment” にてAutomattic社の職員159名が退職したとのこと。
この159名の中には日本人の高野直子氏も含まれていて、10月4日に、ブログ記事にてその胸中を告白してくださっています。
辞める理由ですが、簡潔に言うとすれば「最近の WP Engineとの対立の中でマット (Automattic CEO・WordPressプロジェクトリード) が下した戦略的決定に賛同できないため」です。
Automattic との契約を終了します。
マット・マレンウェグ氏による『Advanced Custom Fields』乗っ取り事件
そして10月12日。
前代未聞の事件が起きました。
WordPress公式サイトで配布されているAdvanced Custom Fieldsがマット氏(WordPress.org)によって乗っ取られ、『Secure Custom Fields(SCF)』と名前を変えて配布されました。
ワードプレス管理画面から、純正のWP Engine版Advanced Custom Fieldsを最新版にアップデートすると、自動でSecure Custom Fieldsに上書きされてしまいます。
とうぜんWP Engine陣営はこの件について激おこ。
WP Engine の ACF開発チームによると、WordPress.orgアカウントがBANされ、ACFが更新できなくなってしまったとのこと。
以下の画像はSecure Custom Fieldsに置き換わってしまった旧Advanced Custom Fieldsの配布サイト。
https://wordpress.org/plugins/advanced-custom-fields/
多くのWordPressユーザーを巻き込んだ問題に発展し、渦中のWP Engine社だけでなく、世界中のACFユーザーも激怒しています。
何が問題だったのか?
Advanced Custom FieldsはGPLライセンスなので、Forkすること自体は問題ありません。
しかしながら、マット氏はWordPressの公式ディレクトリ上にあるACFを『WordPress.org』での権限を使って開発者の許可なく書き換えたようです。
Fork(フォーク)とは?
ソフトウェア開発において既存のプロジェクトをコピーし、分岐させ、新しい方向に開発を進めること。
新しいアイデアや方向性を模索したり、コミュニティの意向に基づいたプロジェクトを維持・推進するために非常に重要なプロセス。
ユーザー側での対応
ウェブサイト運営者は今後、ACFかSCFか、どちらを使って運用していくかを検討しなければなりません。
もしかすると第3案として「どちらも使用しない」という選択肢もあるかもしれませんが。
いずれにしても、本問題を回避(乗っ取り版ACFの使用を回避)するには、WP EngineのAdvanced Custom Fields公式サイトから純正版(Version 6.3.8〜)をダウンロードする必要があります。
もし今お使いのACFのバージョンが「6.3.6」である場合、既に乗っ取り版のACFに置き換わってしまっているので、以下のURLから正規版を入手しましょう。
純正Advanced Custom Fieldsダウンロード:https://www.advancedcustomfields.com
WordPressダッシュボードのプラグインページにて、「バージョン 6.3.8」と「作者: WP Engine」の記載が確認できればOKです。
- 無料版のAdvanced Custom Fields「6.3.6.x」系、またはそれ以前のバージョンの場合は何かしらの対応が必要。
- 有料版のAdvanced Custom Fields Proを使用の場合は今のまま継続してOK。
追記:マット・マレンウェグ氏による反論
10月14日。
この記事を執筆している本日。
WordPress.org にてマット・マレンウェグ氏が『Secure Custom Fields』と題する記事を公開。
その記事の日本語版もすぐに翻訳・公開されました。
マット・マレンウェグ氏によるブログ記事の日本語翻訳:『Secure Custom Fields』
この声明の要点は以下のとおり。
- ACFのフォーク版で、セキュリティ問題を修正したSecure Custom Fields(SCF)を発表
- ACF更新はWP Engine経由で行われ、SCFはWordPress.orgで自動アップデートできる。
- SCFは今後、非商用のプラグインとして維持され、開発者の参加が歓迎されている。
- 今回の問題の背景には WP Engine の独自ソリューションと法的問題が起因している。
とは言っても、公平なコミュニティであるWordPressにおいて、Advanced Custom Fieldsのディレクトリを管理者権限を用いて乗っ取る行為は、容認できるものではありません。
オンズの見解
今のところACFとSCFの中身は同じものですが、今後も同等の機能が提供されることは保証されません。
- 無料版のAdvanced Custom Fields「6.3.6.x」系、またはそれ以前のバージョンを使用している場合はWP Engineのサイトから「6.3.8」を入手してアップデートする
- できれば有料版の Advanced Custom Fields Pro を使う
- (今後の諸々の保険のために)ブロックエディタを使わずに Classic Editor を使って運用する
- 念のためプラグインの自動更新も無効化しておいたほうがいい
また今後の動向を注視していきます。
追加の情報があった際にはこちらに追記します。
本件について手助けが必要な方は弊社のお問い合わせフォームよりご連絡ください。