Die Auseinandersetzung zwischen der WordPress Foundation und Automattic – oder einfach: Matt Mullenweg – auf der einen und WP Engine auf der anderen Seite geht immer weiter. So haben letzte Woche 159 Mitarbeiter*innen Automattic verlassen, die mit dem eingeschlagenen Kurs in dem Streit nicht einverstanden waren – oder einfach die Chance gesehen haben, die angebotene Abfindung mitzunehmen. $30.000 oder sechs Monatsgehälter wurden angeboten – aber eine Wiedereinstellung soll ausgeschlossen sein. Dafür wechselt mindestens ein Mitarbeiter von WP Engine zu Automattic und bringt sein Plugin WPGraphQL mit.
Beim Thema Plugins: Viele kennen Advanced Custom Fields, ein Plugin für das Erstellen und Verwalten von Custom Fields und Content Types in WordPress. Es ist ziemlich weit verbreitet und wird meistens als erstes genannt, wenn hier nach einer Lösung gefragt wird (obwohl es hier wirklich viele Alternativen gibt). Advanced Custom Fields ist Open Source und wird wie auch die Pro-Version von WP Engine entwickelt. Laut WordPress.org hat es über 2 Millionen aktive Installationen, aber dort heißt es jetzt „Secure Custom Fields“ und als Entwickler ist WordPress.org angegeben.
Das kündigt Matt auch in einer eigenen Meldung an. Wohl als Reaktion auf das Aussperren von WP Engine von den WordPress.org Ressourcen hat WP Engine am 3. Oktober angekündigt auch die Updates für die freie Basisversion von Advanced Custom Fields selbst auszuliefern und nicht mehr über WordPress.org. Um also Updates für die ACF-Basisversion von WP Engine zu bekommen müssen Nutzer*innen einmal ein manuelles Update machen, wer das nicht macht, würde keine Updates mehr bekommen. Da es laut Matt einen Security-Bug in der letzten ACF-Version gibt, wurde das Plugin jetzt auf Basis von Punkt 18 der Plugin Directory Guidelines von WordPress.org als Secure Custom Fields geforkt und übernommen.
Damit haben Nutzer*innen von ACF jetzt zwei Optionen: Nichts tun und damit per Update-Mechanismus zu SCF von WordPress.org wechseln oder die neue Version bei WP Engine laden und dabei bleiben. Es ist schwer hier eine Empfehlung zu geben. Auf der einen Seite das nicht benannte und laut Matt nicht gefixte Sicherheitsproblem in ACF, auf der anderen Seite die Unsicherheit, ob es außer Sicherheitsupdates in Zukunft noch Updates für Secure Custom Fields geben wird. Möglicherweise wird die Funktionalität auch Teil des WordPress Cores, entsprechende Überlegungen formulierte Matt bereits Ende September.
Eines zumindest ist sicher: Es wird nicht die letzte Aktion in dieser Auseinandersetzung sein, die Auswirkungen auf die Kund*innen von WP Engine und auch andere Nutzer*innen von WordPress haben wird. Eine schöne Zusammenfassung des gesamten Dramas gibt es bei TechCrunch.