El equipo de seguridad de WordPress ha anunciado la creación de un nuevo plugin, Secure Custom Fields (SCF), un «fork» o bifurcación del popular Advanced Custom Fields (ACF), como respuesta a recientes conflictos con los desarrolladores originales del plugin. Este cambio ha sido motivado, entre otras razones, por la necesidad de corregir un problema de seguridad detectado en ACF.
El 1 de octubre de 2024, WP Engine, empresa propietaria de ACF, implementó su propio sistema de actualizaciones para el plugin, gestionado desde su propia web, lo que fue comunicado en el foro de soporte de WordPress.org el 5 de octubre. Esta decisión generó tensiones con el equipo de seguridad de WordPress, que ha tomado la decisión de bifurcar ACF para crear Secure Custom Fields, un plugin gratuito y no comercial, disponible desde el directorio oficial de WordPress.
¿Qué implica este cambio para los usuarios?
Los sitios que sigan utilizando el servicio de actualizaciones de WordPress.org podrán actualizar automáticamente a Secure Custom Fields si tienen activadas las actualizaciones automáticas. Aquellos que hayan seguido las indicaciones del equipo de ACF para obtener actualizaciones desde el sitio de WP Engine, seguirán recibiendo actualizaciones directamente desde esa plataforma.
El equipo de WordPress ha dejado claro que el cambio a Secure Custom Fields ha sido lo más mínimo posible, con el único propósito de corregir el problema de seguridad, y que el plugin no incluirá ventas adicionales ni opciones comerciales.
Un conflicto sin precedentes
Este es un caso poco común en la comunidad de WordPress, donde los conflictos legales entre WP Engine y el equipo de WordPress han llevado a una bifurcación de un plugin tan conocido y utilizado como ACF. Aunque situaciones similares han ocurrido en el pasado, la magnitud del cambio actual es inédita.
El equipo de seguridad de WordPress también ha recomendado a los usuarios que desinstalen ACF y activen Secure Custom Fields desde el directorio de plugins de WordPress, asegurando que el problema de seguridad está resuelto en esta versión.
La situación con WP Engine
WP Engine, por su parte, sigue ofreciendo instrucciones para aquellos que deseen continuar utilizando Advanced Custom Fields a través de su servidor de actualizaciones. Sin embargo, el equipo de seguridad de WordPress no recomienda esta opción hasta que se resuelvan por completo los problemas de seguridad.
Este conflicto ha generado una cierta incertidumbre en la comunidad de desarrolladores de WordPress, especialmente porque WP Engine ha sido un importante proveedor de plugins y servicios dentro de la plataforma. La tensión también ha crecido tras la reciente noticia de que Jason Bahl, desarrollador clave de WPGraphQL, ha dejado WP Engine para unirse a Automattic, la compañía detrás de WordPress.com. Se espera que otros desarrolladores puedan seguir su ejemplo.
Conclusión
La creación de Secure Custom Fields marca un antes y un después en el ecosistema de WordPress, que hasta ahora había operado bajo la premisa de la colaboración abierta entre desarrolladores y plataformas. Este cambio responde a la preocupación por la seguridad de los usuarios y refuerza la autonomía del equipo de seguridad de WordPress a la hora de gestionar plugins que son utilizados por millones de sitios web en todo el mundo.
Por ahora, la recomendación del equipo de seguridad de WordPress es clara: cambiar a Secure Custom Fields para garantizar que los sitios web continúen funcionando de manera segura, mientras que aquellos que prefieran seguir con Advanced Custom Fields deberán tomar precauciones adicionales hasta que WP Engine resuelva los problemas de seguridad mencionados.
