“Secure Custom Fields: La Solución Segura para los Usuarios de ACF tras el Conflicto con WP Engine”
En un movimiento que ha captado la atención de la comunidad de WordPress, el equipo de seguridad de la plataforma ha tomado medidas decisivas ante los recientes cambios en el complemento Advanced Custom Fields (ACF), uno de los más utilizados para gestionar campos personalizados en sitios web. La controversia surgió cuando WP Engine, actual propietario de ACF, anunció una modificación en la distribución de las actualizaciones del complemento, lo que llevó a WordPress.org a bifurcar el plugin y desarrollar una versión alternativa, llamada Secure Custom Fields (SCF).
¿Qué ha ocurrido con ACF?
El 3 de octubre de 2024, el equipo de ACF comunicó que las futuras actualizaciones de su complemento ya no estarían disponibles a través de WordPress.org. En su lugar, las actualizaciones se enviarían directamente desde el sitio web de WP Engine. Esta decisión fue acompañada de una guía publicada el 5 de octubre en el foro de soporte de WordPress.org, que detallaba cómo los usuarios podían seguir recibiendo actualizaciones directamente de WP Engine si así lo deseaban.
Sin embargo, esta nueva política generó preocupaciones entre los usuarios y el equipo de seguridad de WordPress, particularmente en lo que respecta a la gestión de actualizaciones y la protección contra vulnerabilidades. Esto condujo a la decisión de bifurcar el complemento ACF y crear Secure Custom Fields (SCF), una versión revisada que aborda tanto los problemas de seguridad como las prácticas comerciales cuestionables introducidas en la versión manejada por WP Engine.
La importancia de Secure Custom Fields (SCF)
SCF, a diferencia de ACF en su forma actual, es un complemento completamente no comercial. El equipo de WordPress.org ha garantizado que SCF no incluirá ventas adicionales ni dependencias externas que puedan comprometer la seguridad o estabilidad de los sitios web. Además, la actualización a SCF es automática para los sitios que utilizan actualizaciones automáticas a través del sistema nativo de WordPress.org.
Los usuarios que prefieran continuar utilizando la versión gestionada por WP Engine deberán optar manualmente por recibir sus actualizaciones directamente desde el servidor de WP Engine, aunque el equipo de seguridad de WordPress ha advertido que esta opción no es recomendable hasta que se aborden las vulnerabilidades detectadas.
Un precedente para la comunidad
Este incidente es inusual en la historia reciente de WordPress, aunque no es completamente sin precedentes. En otras ocasiones, complementos populares han sido objeto de disputas o controversias debido a cambios en su modelo de negocio o su adquisición por terceros. Sin embargo, la escala de este conflicto, así como la intervención rápida del equipo de seguridad de WordPress, subraya la importancia de la comunidad en la protección y mantenimiento del ecosistema de complementos de código abierto.
¿Qué opciones tienen los usuarios?
Los sitios que siguen utilizando la versión de ACF alojada en WordPress.org y que no han optado por las actualizaciones de WP Engine pueden hacer clic en “Actualizar” para migrar automáticamente a Secure Custom Fields. Aquellos que han habilitado las actualizaciones automáticas también serán migrados a la nueva versión sin necesidad de intervención manual. Para quienes opten por continuar con ACF bajo el sistema de WP Engine, se recomienda estar atentos a posibles actualizaciones de seguridad.
El equipo de seguridad de WordPress ha hecho un llamado a los desarrolladores interesados en contribuir al mantenimiento y mejora de SCF a que se pongan en contacto, reforzando la importancia de la colaboración abierta en proyectos de código abierto.
¿Qué sigue para ACF y WP Engine?
Aunque este episodio ha generado incertidumbre, WP Engine ha proporcionado instrucciones detalladas para aquellos que prefieren seguir utilizando su versión de ACF, incluyendo cómo recibir actualizaciones desde su servidor. No obstante, el equipo de seguridad de WordPress mantiene una postura cautelosa y ha advertido que, mientras no se solucionen los problemas de seguridad, SCF es la opción más segura para los usuarios.
Un futuro incierto para ACF
En paralelo a estos eventos, se ha conocido que Jason Bahl, creador de WPGraphQL, ha dejado WP Engine para unirse a Automattic. Esto sugiere un enfoque más comunitario en el futuro de algunos proyectos, y se espera que otros desarrolladores también adopten una filosofía similar, alejándose de estructuras comerciales cerradas y volviendo al espíritu del software libre y colaborativo que caracteriza a WordPress.
La historia de ACF y su bifurcación en SCF es una advertencia para todos los usuarios y desarrolladores: la evolución de los complementos en WordPress puede traer consigo desafíos y cambios inesperados. Estar al tanto de estas actualizaciones y tomar decisiones informadas es crucial para garantizar la seguridad y estabilidad de los sitios web en esta plataforma.
Descarga Secure Custom Fields aquí: Secure Custom Fields en WordPress.org.