Fork di Advanced Custom Fields (ACF): WordPress lancia Secure Custom Fields(SCF) per migliorare
La controversia tra Advanced Custom Fields e WordPress
Ad ottobre 2024, il mondo di WordPress è stato scosso da una controversia che coinvolge Advanced Custom Fields (ACF), uno dei plugin più usati per la gestione di campi personalizzati su milioni di siti. La decisione del team di sicurezza di WordPress di creare un fork del plugin, denominato Secure Custom Fields (SCF), ha generato un acceso dibattito nella community. Esaminiamo cosa è successo e le diverse opinioni su questa vicenda.
Le origini del problema: vulnerabilità e aggiornamenti
ACF, gestito da WP Engine, è stato al centro di preoccupazioni sulla sicurezza a causa di vulnerabilità note, come gli attacchi di cross-site scripting (XSS), che hanno messo a rischio numerosi siti web. A maggio 2023, è stata scoperta una vulnerabilità di tipo XSS che ha colpito milioni di installazioni di ACF, consentendo potenzialmente ad attaccanti di rubare informazioni sensibili e aumentare i propri privilegi sui siti vulnerabili. Sebbene WP Engine abbia rilasciato aggiornamenti per risolvere questi problemi, ha anche deciso di gestire gli aggiornamenti del plugin attraverso i propri server, bypassando WordPress.org. Questa mossa è stata percepita come problematica dalla WordPress Foundation, che ha deciso di creare un fork del plugin per garantirne la sicurezza e l'aggiornamento continuo all'interno del proprio ecosistema.
Cos'è Secure Custom Fields?
Secure Custom Fields (SCF) è stato creato dal team di WordPress per affrontare le vulnerabilità di sicurezza e rimuovere tutte le funzionalità commerciali introdotte da WP Engine, come gli upsell. SCF è completamente open-source e viene aggiornato direttamente tramite WordPress.org, garantendo sicurezza e facilità di aggiornamento per gli utenti. I siti che avevano attivato gli aggiornamenti automatici per ACF sono stati automaticamente trasferiti a SCF, mentre chi desidera può passare manualmente al nuovo plugin.
Consigliati da LinkedIn
WP Engine e la gestione di ACF
WP Engine continua a gestire la propria versione di Advanced Custom Fields, disponibile per il download e l'aggiornamento direttamente dal loro sito. Tuttavia, la decisione di rimuovere ACF dal sistema di aggiornamento di WordPress.org ha suscitato preoccupazioni tra gli utenti, soprattutto per la possibilità che questo comporti una maggiore dipendenza da WP Engine e una riduzione della trasparenza e della sicurezza del plugin.
Le reazioni della community
La decisione di creare Secure Custom Fields ha diviso la community di WordPress. Molti utenti hanno elogiato l'intervento di WordPress per garantire la sicurezza del plugin e mantenere il controllo su di esso all'interno dell'ecosistema open-source. Tuttavia, altri hanno accusato WordPress di aver dirottato il plugin e di aver causato una divisione non necessaria. Diversi utenti hanno espresso la loro frustrazione nei forum di supporto, sostenendo che la transizione a SCF sia stata gestita senza un adeguato coinvolgimento della community e senza rispetto per il lavoro originale di WP Engine. Al contempo, sostenitori di WP Engine credono che il loro approccio possa offrire aggiornamenti più rapidi e una migliore gestione del plugin, anche se richiede una gestione manuale più attenta.
Quale plugin scegliere?
La scelta tra Secure Custom Fields e Advanced Custom Fields ora dipende dalle preferenze degli utenti. SCF è consigliato per chi desidera un'esperienza completamente open-source, integrata con il sistema di aggiornamenti di WordPress.org, che garantisca la sicurezza e l'affidabilità del plugin. Al contrario, gli utenti che preferiscono gestire gli aggiornamenti direttamente tramite WP Engine possono continuare a usare ACF, pur essendo consapevoli della necessità di un controllo più diretto sugli aggiornamenti e sulla sicurezza del plugin.
Conclusioni
Il caso di ACF e SCF mette in luce il conflitto tra la filosofia open-source e le esigenze commerciali all'interno dell'ecosistema WordPress. Secure Custom Fields rappresenta un impegno di WordPress per garantire la sicurezza e l'accessibilità del plugin a tutta la community, mentre WP Engine continua a offrire una versione del plugin con aggiornamenti centralizzati. Gli utenti devono ora valutare quale soluzione si adatta meglio alle loro esigenze, tenendo conto della sicurezza, della facilità di gestione e della filosofia open-source.