Em um movimento inesperado, a equipe de segurança do WordPress anunciou a criação de um fork do popular plugin Advanced Custom Fields (ACF), introduzindo o novo plugin “Secure Custom Fields” (SCF). A decisão foi tomada com base no ponto 18 das diretrizes do diretório de plugins, alegando a necessidade de corrigir uma vulnerabilidade de segurança e remover funcionalidades comerciais do ACF. O SCF será oferecido como uma alternativa não-comercial ao ACF, com foco em manter a segurança dos sites que dependem do serviço de atualizações do WordPress.org.
O conflito começou em 3 de outubro de 2024, quando a equipe do ACF informou que as atualizações do plugin passariam a ser distribuídas diretamente pelo site da WP Engine, empresa responsável pelo desenvolvimento do ACF. A WP Engine, em 1º de outubro de 2024, já havia implementado seu próprio sistema de atualizações e instalações de plugins para seus clientes, afastando-se dos serviços do WordPress.org.
Para os sites que ainda utilizam o serviço de atualizações do WordPress.org e não optaram por seguir o novo sistema de atualizações da WP Engine, o plugin Secure Custom Fields será oferecido como uma alternativa segura. Sites com atualizações automáticas habilitadas no WordPress.org serão migrados automaticamente do ACF para o SCF, garantindo que a vulnerabilidade seja corrigida sem intervenção dos administradores de site.
Embora a migração tenha sido feita de maneira mínima, visando apenas a correção do problema de segurança, a equipe de segurança do WordPress reforçou que o SCF se tornará um plugin totalmente aberto e livre de opções comerciais. Desenvolvedores que tiverem interesse em contribuir para a evolução do SCF são incentivados a entrar em contato com a equipe responsável.
A equipe do WordPress ressaltou que, apesar de a WP Engine ter fornecido instruções sobre como continuar utilizando sua versão do ACF, o time de segurança do WordPress não recomenda essa opção até que as vulnerabilidades sejam corrigidas pela WP Engine. Para quem preferir, o ACF pode ser desinstalado e substituído pelo SCF diretamente pelo diretório de plugins do WordPress.org.
Paralelamente, foi noticiado que Jason Bahl, desenvolvedor do WPGraphQL, deixou a WP Engine para trabalhar na Automattic, e o WPGraphQL se tornará um plugin comunitário oficial. Essa movimentação pode ser um indicativo de que mais desenvolvedores seguirão o mesmo caminho.