著名なWordPressプラグイン Advanced Custom Fields が、wordpress.orgの公式プラグインから排除され、代わりに wordpress公式がフォーク（≒複製）した Secure Custom Fieldsが配布されています。

これはWordPressを開発する Automattic社（というか創業者・CEOのマット・マレンウェッグ氏）と、ホスティングサービスの WP Engine による係争によるものです。

※ Advanced Custom Fieldsは2022年6月に WP Engine によって買収されています。

 

経緯とか色々書いていますが、一般ユーザー目線からの本題は「Advanced Custom Fields を使うユーザーはどうしたらいいのか？」からとなります。

 

なお、この記事を書いている人はWordPressエコシステムに関しては完全なフリーライダーですので、とやかく口を出せる立場ではありません。「困ったな」くらいの立ち位置で書いています。

あと個人的には tumblr.を買収していただいたので Automattic様には大変感謝しております。

 

 

ざっくりとした経緯

詳しい経緯を日本語で解説されているのは、Capital P と Gigazine ですのでそちらを見ていただきたいのですが、ひとまず社内連絡程度のクオリティで経緯をまとめてみます。
（ですので漏れや誤認もあると思います）

1. 元々Automattic社はWP EngineにWordPressの商標利用権をライセンスしていた。
   年間10万ドル（1500万円）程度？
2. Automattic社は契約内容の変更を提示。下記のどちらかを選べというもの。
   – WP Engineの利益の8%を提供すること
   – WP Engineの利益の8%分、WordPress開発に労力を提供すること
   ちなみに年間利益が4億ドル（5億という説もあり）、日本円換算600億円くらいで、その8%だと50億円くらい。
   ソース：https://gigazine.net/news/20241003-automattic-wp-engine-wordpress-license/
   
3. 2024年9月WordPressのイベントWordCamp US 2024においてマット・マレンウェッグ氏がWP Engineを公然批判。
   – 「WordPressにあまり貢献していない」
   – 「金儲けばかりしている」
   – 「WP EngineはWordPressの癌である」
   – 「使うのをやめよう」と呼びかけ
   なお、Five for the Future「未来のために5%の時間だけWordPressに貢献しよう」という理念があるそうだが、WP Engineは0.5%以下で貢献度合いが低いのは確からしい。
4. WP Engine、商標権の濫用および名誉毀損でマット氏とAutomatticを提訴。
5. マット氏、WP Engineのサーバーから wordpress.org にアクセスできないようブロック。
   これによりWP EngineのユーザーはWordPressプラグインの更新ができなくなる。
   マット氏「WP Engineのユーザーは不具合が出たらWP Engineに直してもらって」
   現在法廷闘争中。
   ソース：https://gigazine.net/news/20240927-wordpress-ban-wp-engine/
6. マット氏、wordpress.org からWP Engineのメンバーを締め出す。
   Advanced Custom Fieldsプラグインを同意なく削除して、代わりに同じURLに Secure Custom FieldsというAdvanced Custom Fieldsをフォークしたプラグインを置く。
   ソース：https://gigazine.net/news/20241015-wordpress-acf-plugin-fork/
7. Automattic社員159名（8%程度）が退職。

 

5 はWP Engineのユーザーにとってはセキュリティインシデント発生時に致命的になりかねません。僕がアメリカの弁護士だったら、「ユーザーの皆さん、集団訴訟しましょう！」とか唆すと思います。

 

6 はメリットも大きいのですが、デメリットも大きいです。

メリット：

• Advanced Custom Fieldsの既存ユーザーは継続してセキュリティアップデートを受けられる。

デメリット：

• ACFの開発者がいないだろうに継続して修正できるのか不安が残る。
• Automatticの一存によりプラグインの乗っ取りができるという実績ができてしまった。

 

プラグインの乗っ取りについて

WordPress公式のお知らせによると乗っ取りの根拠としてプラグインディレクトリガイドラインの18番を適用とあるのですが、条項を読むと

… to disable or remove any plugin from the directory, even for reasons not explicitly covered by the guidelines.（訳：ガイドラインに明示されていない理由であっても、プラグインを無効にしたりディレクトリから削除したりすること。）

という項目があるためガイドラインなど有って無いようなものになっています。

今回の件で paid-memberships-proプラグインは、公式でのプラグインでの提供を取り止めるという判断をしたそう。

そのため公式ディレクトリから削除して欲しいと連絡したところ、【マット氏から「公式ディレクトリで我々が引き続き配布する」という「脅し」を受け取った】ということです。
ソース：https://capitalp.jp/2024/10/29/wpengine-provides-auto-aupdater/

プラグイン制作者からすれば「我々は尊重されていない」と感じるかもしれません。
※2024/10/31時点ではページは残っているものの、プラグインは配布されていないことを確認

 

Contact Form 7の三好隆之氏は今回のマット氏の行動を支持

短期的な利益を求める投資会社によってオープンソースソフトウェアが搾取されていることに対する戦いと位置付けて全面的に支持されています。

Silver Lake とかプライベートエクイティファームとか、なじみのない言葉が出てきて何のことやらよくわからなかったという方も多いと思います。プライベートエクイティとは市場に公開されていない未公開株のことです。Silver Lake という投資会社が WP Engine の未公開株を取得して経営権を握っている、という話です。

プライベートエクイティファームの投資目的とは企業価値を高めた上でさらに高い価格で転売することです。短期間で収益性を高めることが仕事ですから、会社と直接関係のない OSS コミュニティの長期的な発展などには彼らは毛の先ほどの関心も持っていません。むしろ帰属が曖昧な共有地から取れるだけ取ってやろうと考えているでしょう。

詐欺が横行している – iDeasilo

文章を通して読むと人気プラグイン開発者ならではの気苦労が伺い知れます。いつもお世話になっております、ありがとうございます。

 

DHH氏はAutomattic社を批判

Ruby on Railsの開発者として有名なデイヴィッド・ハイネマイヤー・ハンソン氏はAutomattic社を批判しています。原文は英語です。

（訳）Automattic が、WordPress に「十分な還元」をしていないという理由でWP Engine の収益の 8% を要求するのは、一般的なオープン ソースの理念とGPL ライセンスの仕様に対する不当な違反です。Automattic は完全に常軌を逸しており、オープン ソースの世界への潜在的な損害は WordPress をはるかに超えています。ドラマやその登場人物に惑わされて、その脅威から目をそらさないでください。

（訳）Automatticはオープンソースを汚いことに利用している

DHH氏はライセンスを重視しており、今回のAutomattic社の行動は自身のライセンスに違反する行動であり、彼らに文句があるのであれば自身のライセンスを変更しろといった主張です。

 

---

 

Advanced Custom Fields を使うユーザーはどうしたらいいのか？

少なくとも新規インストールする分には Secure Custom Fieldsよりも Advanced Custom Fieldsの方が安心できます。公式サイトから最新版の Advanced Custom Fieldsをダウンロードして手動インストールすれば、以後のバージョンアップもこれまで通り行われます。詳しくは公式の案内を見てください。

Installing and Upgrading to the Latest Version of ACF

対応の労力を考えると既存サイトについては、Secure Custom Fields のままでも現状では大丈夫です。この次に説明しますがソースコードはほぼ同一です。

ただし今後状況が変わる可能性が高いので注視はしましょう。

 

Advanced Custom Fields と Secure Custom Fields は何が違うの？

検証しましたが双方の Ver. 6.3.10.2を比較してみたところほぼ同一でした。
相違点は下記。

1. README.md / readme.txt の内容が異なる
2. ACFには自前でアップデートする仕組みが導入された ( /includes/Updater/ )
3. SCFではアップセル（有料Pro版への誘導）が削除された
4. SCFでは assets/build/css および assets/build/js がいくつか追加されている。しかしタイムスタンプが2022年のものも含まれており謎。使ってないんじゃないか？
5. phpファイルの変更は 2を除くと /acf.php のみ
   – コメントにおけるライセンス表示等の変更
   – ACF版におけるアップデート処理の追加
   – SCF版におけるアップセルの削除

ACFを元にSCFと比較した結果 by FolderDiff

 

 

今後どうなるの？

もちろん私のような田舎の木っ端エンジニアにはわかりませんが、僕のように「ただワイはAdvanced Custom Fieldsを使いたいだけなんや！」というユーザーにとっていちばん面倒くさくてありえそうな展開だとこんな感じかな。

1. ACF更新のたびにSCFも丸パクリして更新
2. ACF側が怒って現在のオープンなライセンス(GPLv2)からクローズドなライセンスやデュアルライセンスに変更
3. SCF側が脆弱性対応できなくなり更新停止・公開中止
4. 既存サイトを手動でACFに差し替えなくてはならなくなるハメに……

 

以下はものすごく前向きな展開。

1. SCFが積極的に独自機能を実装
2. ACFの有料版の機能をSCFに実装（リピーターフィールドなど）
3. SCFがカスタムフィールド系プラグインでトップシェアに！
4. SCFの機能がWordPress本体にマージされ さらに使いやすく！！

こうなったらいいな。でもならないだろうな。