Na madrugada do dia 13 de outubro de 2024, durante o feriado de Ação de Graças no Canadá, um episódio surpreendente tomou conta da comunidade WordPress: a Automattic assumiu unilateralmente o controle do plugin Advanced Custom Fields (ACF). O plugin, amplamente utilizado no desenvolvimento de sites WordPress e com milhões de instalações, é de propriedade da WP Engine, a empresa atualmente envolvida em um embate com Matt Mullenweg, CEO da Automattic e fundador do WordPress. O fato faz parte da saga onde o WordPress substitui ACF por Secure Custom Fields após controvérsia com WP Engine.
Em um post intitulado “Secure Custom Fields”, Matt Mullenweg declarou que estava invocando o “ponto 18” das diretrizes do diretório de plugins do WordPress.org para forçar um fork do ACF. A decisão foi justificada como uma resposta a uma vulnerabilidade de segurança no plugin, que não pôde ser corrigida pela equipe original devido ao bloqueio imposto aos funcionários da WP Engine. Embora o ACF esteja sob a licença GPLv2, permitindo legalmente a criação de forks, a medida foi vista por muitos como uma ação agressiva e inusitada.
O ACF é um plugin de confiança para muitos usuários, que esperam receber atualizações da fonte original. No entanto, a Automattic, citando preocupações de segurança, criou o fork “Secure Custom Fields” e colocou-o no lugar do ACF no diretório de plugins. Para muitos, essa manobra foi comparada a um ataque à cadeia de suprimentos, já que a Automattic usou sua própria imposição do bloqueio à WP Engine como justificativa para tomar o controle do ACF.
A equipe do site oficial do ACF já atualizou a página com um aviso sobre a tomada de controle, mas é provável que muitos usuários não se deem conta da mudança imediatamente. Isso levanta uma questão importante: se a Automattic está disposta a tomar o controle de um plugin tão popular e amplamente utilizado, o que impede que façam o mesmo com outros plugins hospedados no WordPress.org?
Esse incidente gerou grande controvérsia dentro da comunidade WordPress, com desenvolvedores e usuários manifestando seu descontentamento com a ação unilateral da Automattic. Para alguns, como o autor desta análise, a recomendação é clara: quem utiliza o WordPress profissionalmente deve considerar seriamente mudar para outra plataforma.
A tomada de controle do ACF não apenas intensifica o conflito entre Automattic e WP Engine, mas também levanta preocupações mais amplas sobre o controle e governança do ecossistema WordPress. Mullenweg, ao mesmo tempo em que busca justificar a ação sob o pretexto da segurança, pode ter perdido a confiança de muitos usuários e desenvolvedores que já se sentem inseguros com o rumo que a plataforma está tomando.