以下は WordPress.org 公式ブログでの Matt Mullenweg 氏による記事「Secure Custom Fields」を訳したものです。
誤字脱字誤訳などありましたらフォーラムまでお知らせください。
WordPressセキュリティチームを代表して、プラグインディレクトリガイドラインの18番を適用し、「Advanced Custom Fields(ACF)」を新しいプラグイン 「Secure Custom Fields (SCF)」 にフォークすることをお知らせいたします。SCF は、商業的なアップセルを削除し、セキュリティ問題を修正したバージョンに更新されています。
2024年10月3日、ACF チームは、ACF プラグインの更新を彼らのサイトから直接行うことを発表しました。この情報は、10月5日に WordPress.org のサポートフォーラムでサポート通知 (注1)としても伝えられました。ACF チームの指示に従い「ACF を更新する方法」に従ったサイトは、今後も WP Engine から直接更新を受け取ることができます。2024年10月1日、WP Engine は、WordPress.org の更新サービスに代わり、自社の顧客サイトに対するプラグインやテーマの更新およびインストールのための独自のソリューションを展開しました。
(訳注1: 原文リンク切れにてWP Engineサイトの ACF のインストールと最新バージョンへのアップグレード をリンクします)
WordPress.org の更新サービスを引き続き使用し、WP Engine からの ACF 更新に切り替えていないサイトは、「Secure Custom Fields」 への切り替えをクリックして更新することができます。WordPress.org のプラグイン自動更新が有効になっているサイトでは、この更新プロセスにより、自動的に 「Advanced Custom Fields」 から 「Secure Custom Fields」 に切り替わります。
この更新は、セキュリティ問題を修正するための必要最小限の変更です。今後「Secure Custom Fields」 は非商用プラグインとなります。メンテナンスや改良に関わりたい開発者はぜひご連絡ください。
以前にも同様の事例がありましたが、これほど大規模なものはありませんでした。このような事態は、WP Engine による法的な攻撃が原因であり、他のプラグインでは発生する可能性は低いと考えています。
WP Engine は、独自の更新サーバーを使用して Advanced Custom Fields を利用する方法の手順を公開していますが、WordPress セキュリティチームは、セキュリティ問題が修正されるまでこれを推奨していません。Advanced Custom Fields をアンインストールし、プラグインディレクトリから “Secure Custom Fields“ を有効化することで問題なく利用できます。
また、直接関連はありませんが、Jason Bahl 氏が WP Engineを退社し、Automattic で働くことになったというニュースもあります。彼は WPGraphQL を正式なコミュニティプラグインにする予定です。他にも、同様の移籍が続くと予想されています。