Le conflit qui oppose Matt Mullenweg, fondateur de WordPress, et WP Engine, un fournisseur d’hébergement WordPress, vient de prendre un nouveau tournant. Dans une annonce fracassante, Mullenweg a révélé que WordPress allait « forker » un plugin développé par WP Engine, une première dans l’histoire de la célèbre plateforme de blogging.
WordPress Prend Le Contrôle Du Plugin ACF
Plus précisément, il s’agit du plugin Advanced Custom Fields (ACF), un outil très apprécié permettant aux utilisateurs de WordPress de personnaliser facilement leurs écrans d’édition. Ce plugin sera retiré des mains de WP Engine et mis à jour sous un nouveau nom : Secure Custom Fields.
Selon Mullenweg, cette décision était nécessaire « pour supprimer les incitations commerciales et corriger un problème de sécurité ». L’équipe d’ACF a rapidement réagi sur X, qualifiant cette situation de sans précédent en 21 ans d’existence de WordPress :
Un plugin en développement actif a été unilatéralement et de force retiré à son créateur sans son consentement. Cette promesse essentielle faite à la communauté a été violée, et nous demandons à chacun de considérer l’éthique d’une telle action, et le nouveau précédent qui vient d’être établi.
– L’équipe d’ACF
Tant le billet de blog de Mullenweg qu’une réponse de WordPress affirment que des situations similaires se sont déjà produites par le passé. Mullenweg a cependant ajouté : « C’est une situation rare et inhabituelle provoquée par les attaques juridiques de WP Engine, nous ne prévoyons pas que cela se reproduise pour d’autres plugins ».
Des Inquiétudes Sur La Sécurité D’ACF
Tôt lundi, après l’annonce initiale, WordPress a fourni plus d’informations sur ses préoccupations en matière de sécurité, concluant :
Le code [d’ACF] est actuellement non sécurisé, et c’est un manquement à leur devoir envers leurs clients de leur dire d’éviter Secure Custom Fields jusqu’à ce qu’ils corrigent leur vulnérabilité.
Un Conflit Qui Dure Depuis Des Mois
Pour rappel, WordPress est un système de gestion de contenu (CMS) open source utilisé par de nombreux sites web (dont TechCrunch), tandis que des entreprises comme WP Engine et Automattic (fondée par Mullenweg) proposent des services d’hébergement et autres services commerciaux.
Le mois dernier, Mullenweg avait publié un billet de blog qualifiant WP Engine de « cancer de WordPress ». Ses critiques portaient sur de nombreux points, allant du manque de support de WP Engine pour l’historique des révisions à son investisseur Silver Lake, en passant par le fait que la marque « WP » prête à confusion pour les clients, donnant l’impression d’un lien officiel avec WordPress.
Des lettres de cessation et d’abstention ont été échangées dans les deux sens, WP Engine affirmant que Mullenweg avait menacé d’adopter une « approche de terre brûlée » si l’entreprise ne payait pas pour obtenir la licence de la marque WordPress.
WordPress a banni WP Engine de l’accès à WordPress.org, a brièvement levé cette interdiction, puis l’a imposée à nouveau. Cela empêche essentiellement WP Engine de mettre à jour le plugin via WordPress.org et donc de proposer des mises à jour automatiques pour résoudre les problèmes de sécurité.
Une Solution De Contournement Pour Les Utilisateurs D’ACF
Cependant, WP Engine a publié une solution de contournement pour les utilisateurs qui souhaitent mettre à jour le plugin et continuer à utiliser ACF. Cette solution ne serait nécessaire que pour les utilisateurs gratuits d’ACF, les utilisateurs de la version pro continuant à recevoir les mises à jour via le site web d’ACF.
L’avenir De Secure Custom Fields
Pour l’avenir, Mullenweg a écrit que Secure Custom Fields sera disponible en tant que plugin non commercial : « Si des développeurs souhaitent s’impliquer dans la maintenance et l’amélioration du plugin, merci de nous contacter ».
Ce conflit sans précédent soulève de nombreuses questions sur la gouvernance de l’écosystème WordPress et les relations parfois tendues entre la plateforme open source et les entreprises commerciales qui gravitent autour. La communauté WordPress, ainsi que les clients de WP Engine et les utilisateurs d’ACF, suivront sans aucun doute de près l’évolution de cette situation dans les semaines et mois à venir.
