現在、Wordpress界を揺るがしている出来事の影響で、多くのユーザーが使用している「Advanced Custom Fields」が2024年10月12日付で「Secure Custom Fields」へ変更となりました。
今回はこちらのテーマについてご紹介します。
「Secure Custom Fields」は所有者がWordPress.orgとなっているが、これは単純なフォークではなく、スラッグがそのままなので、既存のACFユーザーがWordPress管理画面からアップデートした場合、今後はこのSCFが使われることになる。
こうしたハイジャックと呼んでもよい手法について、WordPress公式ニュース(書いたのはマット・マレンウェグだが)は以下のように説明している。
“WordPress セキュリティチームを代表して、プラグインディレクトリのガイドライン第18項を適用し、「Advanced Custom Fields (ACF)」をフォークして新しいプラグイン「Secure Custom Fields (SCF)」を公開することを発表します。SCF は、商業的なアップセルを削除し、セキュリティ問題を修正するために更新されています。”
要するに、セキュリティチームとしてガイドライン18項を適用したということなのだが、この18項は公式プラグイン管理チームにプラグインの変更権限を与えるものなので、要するになんでもできるのである。とはいえ、通常は「犯罪捜査の対象になっているが犯人は作者である」「プラグインにとんでもない脆弱性が見つかったが作者と連絡が取れない」などの非常事態のためにこうした余地を残しておくものだ。「この変更は例外的なもので、WP Engineによる訴訟が理由であり、一般的なプラグインには適用されない」とのことだが、公式ディレクトリの信頼喪失は免れないだろう。
WordPress開発者のマット氏とWP Engineの問題よってWP Engineの従業員であるACFの開発者がWordPress.orgにログインできなくなったことにより、プラグインのアップデートが提供できなくなっていた。いまではログインするときに「WP Engineと金銭的な関わりを持たないこと」を要求されるほどだ。(引用元:https://capitalp.jp/2024/10/15/acf-overwritten-with-scf/)
WP Engineは、WordPressに特化したマネージドホスティングサービスを提供。2010年に設立され、WordPressウェブサイトの高性能ホスティング、セキュリティ、スケーラビリティに焦点を当てたサービスを展開しています。
WP EngineはWordPressプラグインやサポートツールを多く提供しており、代表的なサービスを一部紹介すると、
・Smart Plugin Manager:サイトのセキュリティを確保するツール
・Site Monitoring:エラーを素早く検知して解決するためのツール
・Advanced Custom Fields: カスタムフィールド
・Local:無料で利用できるWordPressのローカル環境
・WP Migrate:WP移行プラグイン など
弊社でも使用しているプラグインが多々あり、今後の動向や変化、HPへの影響などしっかり対応・対策していく所存です。
次回は、マット氏とWP Engineの問題について、ご紹介したいと思いますのでぜひご覧ください!