Ya os hemos contado que el ecosistema en torno a WordPress (el CMS más usado para crear sitios web hoy en día) lleva sufriendo caos y enfrentamientos desde hace unas semanas, a raíz de la intensa disputa entre su fundador y CEO de Automattic, Matt Mullenweg, y WP Engine, una de las principales empresas de alojamiento especializado en WordPress, a la que el primero ha calificado de 'cáncer' por no contribuir más al desarrollo de WordPress.
Y en estos últimos días, una polémica en torno a un popular plugin de la plataforma ha generado una notable escalada de las tensiones que empiezan, según muchos miembros de la comunidad, a poner en peligro la viabilidad del proyecto WordPress.
El conflicto
El pasado sábado, Mullenweg anunció que el equipo de seguridad de WordPress había decidido "bifurcar" el plugin 'Advanced Custom Fields' (ACF), desarrollado por WP Engine, y lanzar una versión alternativa bajo el nombre de 'Secure Custom Fields' (SCF). Según el anuncio, esta acción fue 'necesaria' para resolver un problema de seguridad, y para eliminar "upsells comerciales" (es decir, los llamamientos al usuario para adquirir la versión de pago).
"Ya han ocurrido situaciones similares antes, pero no a esta escala. Se trata de una situación poco común y poco habitual provocada por los ataques legales de WP Engine. No prevemos que esto suceda con otros complementos".
La 'bifurcación', en este caso, no sólo implica partir del mismo código que ACF y empezar a desarrollarlo por su cuenta (una práctica frecuente y normalizada en el ámbito 'open source'), sino que en este caso -y ahí radica la polémica- se está utilizando como excusa para que aquellos usuarios que actualicen el plugin ACF (que ha desaparecido del 'repositorio oficial' de plugins) ahora se vean automáticamente trasladados a SCF.
Con otras palabras. Esto es como si te suscribes a una revista que recibes por correo, hasta que un día Correos decide dejar de aceptar esos envíos... y empieza a mandarte, en su lugar, la 'Correos Magazine'. Si esto fuera un ciberataque, sería un ejemplo clásico del 'Man in the middle'.
Y es que los plugins de WordPress no están centralizados, pero su proceso de actualización sí: al haber sido expulsado ACF del repositorio, se obliga a sus usuarios a tener que estar pendientes de cada nuevo lanzamiento y a actualizar el plugin a mano.
Pero lo que supone un 'shock' para muchos usuarios es la forma en que WordPress ha 'secuestrado' a los usuarios de ACF forzándoles, de manera solapada, a cambiar el plugin que instalaron por otro.
Las acusaciones
Desde WP Engine, la respuesta no se hizo esperar. WP Engine respondió rápidamente a los movimientos de WordPress, argumentando que la versión vulnerable de ACF ya había sido parcheada para resolver el problema de seguridad mencionado... antes de que WordPress implementara la bifurcación. Aunque WordPress se ha defendido en X negando que el parche solucionara adecuadamente la vulnerabilidad.
El equipo de ACF expresó su indignación, describiendo la acción de WordPress como una "apropiación unilateral" del plugin, una medida que consideraron sin precedentes en la historia de la plataforma.
Iain Poulson, el gerente de producto de ACF, fue más allá, calificando las acciones de Mullenweg como un abuso de confianza y un conflicto de intereses. Según Poulson, este movimiento podría causar daños irreparables al ecosistema de WordPress y a la relación entre desarrolladores y la plataforma.
Por ahora, el personal de WordPress.org se está dedicando a borrar la multitud de reviews del nuevo plugin bifurcado con las que los usuarios denuncian la suplantación de ACF:
Las repercusiones
El conflicto también ha comenzado a tener repercusiones más allá de los desarrolladores de plugins. Los WordCamps, eventos de la comunidad de WordPress que promueven el intercambio de conocimientos, han comenzado a verse afectados: el equipo organizador de WordCamp Sidney reveló que WordPress Community Support eliminó a WP Engine como patrocinador del evento, sin que el equipo organizador tuviera voz en la decisión.
La comunidad de software libre también ha comenzado a reaccionar. David Heinemeier Hansson, creador de Ruby on Rails, comparó la situación con una "guerra comercial" dentro del mundo del código abierto.
Hansson criticó lo que considera un uso inapropiado de los repositorios de código abierto como herramientas en disputas contractuales y expresó su temor de que este tipo de acciones puedan sembrar dudas y desconfianza en una comunidad que, durante décadas, ha prosperado bajo los principios de la colaboración y la neutralidad.
Gergely Orosz (autor de la popular newsletter sobre programación 'Pragmatic Engineer') ha sido claro en X:
"Automattic hizo mucho bien por la comunidad del código abierto durante 20 años y, sin embargo, alegando que defiende la ética del código abierto (de devolver) cometió un robo descarado: robó el trabajo de 13 años y la base de usuarios de otro equipo".
Los críticos señalan que este tipo de acciones podrían poner en peligro la integridad de WordPress como plataforma abierta y descentralizada. Si otros desarrolladores comienzan a temer que sus proyectos puedan ser apropiados sin su consentimiento, la comunidad podría enfrentar una crisis de confianza.
Y ojo, porque algunos usuarios han denunciado también que el cambio a traición de ACF por SCF "está rompiendo los sitios de WordPress". Desde su punto de vista,
"Este es el resultado de hacer un cambio inesperado a un plugin crítico que se utiliza en 2 millones de sitios y lanzarlo un sábado por la mañana! Gracias, Matt Mullenweg, por arruinar mi domingo".
Imagen | Marcos Merino mediante IA
Ver 0 comentarios