WordPress 近期的困境引发了依赖该平台的网络社区的恐慌。目前,超过四成的在线网站都使用WordPress。现在,由知名 WordPress 贡献者组成的联盟和 Linux 基金会正在推出一个联合更新和插件分发网络,旨在消除他们所称的全球使用最广泛的网站系统核心中一个关键的“供应链安全”漏洞。
FAIR 软件包管理器项目将于今天晚些时候在瑞士的一场会议上宣布,该项目将使网站托管公司和大型组织能够运行自己的 WordPress 核心更新、插件、主题和翻译服务器镜像。此举将取代对 WordPress.org 的依赖——该域名由 Automattic 首席执行官 Matt Mullenweg 控制。
支持者表示,新系统将加强安全性、降低成本,并为数百万人依赖的网络托管软件开辟新的商业机会。
该项目于今年早些时候启动,旨在回应穆伦维格的争议性举动。9月,他切断了对热门WordPress托管服务提供商WP Engine的访问,指责其从该开源平台榨取了数亿美元的价值,却没有给予足够的回报。他还指控该公司侵犯了WordPress的商标权,造成了混乱。在此事的余波中,约有150名员工在穆伦维格向那些不同意他处理方式的员工提出买断后离开了Automattic。
“10 月份,当 Automattic 接管生态系统内 WP Engine 产品的部分功能时,我们接到了一些客户(都是大公司)的首席法律顾问的电话,他们说‘这是一个供应链安全问题’”,企业机构 Crowd Favorite 的首席执行官兼该项目的发起人之一 Karim Marucchi 说道。
大约在同一时间,Yoast SEO 的创始人 Joost de Valk 试图与 Mullenweg 沟通。虽然 de Valk 也认为 WordPress 需要更公平的贡献,但他不同意 Mullenweg 的做法。“之后我们几乎就没再联系了,因为我不同意他的观点,”de Valk 说。
一个核心问题是,每个 WordPress 网站都依赖 WordPress.org 进行更新和扩展。“当我们开始研究这个问题时,我们意识到整个生态系统中有很多东西是我们无法控制的,”德·瓦尔克说。“大家注意到的一件事是,WordPress.org 实际上并非 WordPress 基金会的一部分,而是由 Matt 私人拥有,并且他在很多方面都将其用作自己的私人网站。”
WordPress 执行董事 Mary Hubbard 指出,用户始终可以控制网站的更新方式以及更新来源——这种灵活性自 WordPress 早期就已存在。“WordPress 和开源的魅力在于,人们可以完全控制如何运行它,并修改它的运作方式。”
FAIR 系统提供了一种替代方案,它与 WordPress 完全兼容,但独立于 WordPress.org 运行。“它仍然完全是 WordPress 的,”德·瓦尔克说,“只是一个不同的发行版。”FAIR 并非对 WordPress 进行分叉,而是提供任何人都可以运行的服务器组件。据 Marucchi 称,在过去六个月中,来自 10 多个组织的 100 多名贡献者参与了 FAIR 的构建。该组织已请求 Linux 基金会提供中立的监督。
Hubbard 指出,一些大型主机商(例如 Newfold/Bluehost)过去已经实现了自定义镜像,并强调 WordPress 的更新系统始终允许用户修改更新来源。“重要的是,无论主机商是谁,用户都知道更新的来源,并且可以选择更改。”她说道。
Linux 基金会法律和战略项目高级副总裁 Mike Dolan 表示:“WordPress 是沟通的关键基础设施,对于那些依赖它来运营网站、进行内容管理、博客和媒体的组织来说也是如此。为了维持这样的系统,你需要一个可靠的后端。”
为了避免中心化,Linux 基金会成立了一个技术指导委员会,由 WordPress 的长期领导者 Carrie Dils、Mika Epstein 和 Ryan McCue 共同担任主席。WordPress REST API 的架构师 McCue 称 FAIR 是“一个为 WordPress 未来几十年发展提供动力的平台”,并指出社区已经“分裂”,需要重新团结起来。
多兰对此表示赞同。“我觉得这件事最有意思的地方在于它的自然性,”他说。“这是社区的产物。那些毕生乃至毕生致力于 WordPress 社区的人都在呼吁我们去构建它,他们也希望携手共进。”
Linux 基金会标准副总裁兼该项目参与者 Jory Burson 希望此举能够“重新引入并重振社区”。她补充说,目前社区士气低落。“我认为这将让人们感到非常兴奋,并希望能够帮助一些人摆脱这种消极情绪和戏剧性。我们希望让人们关注 WordPress 仍然拥有的非常积极的未来。”
尽管 FAIR 的诞生源于对 Automattic 控制 WordPress.org 的不满,但它的支持者坚称,它并非一个竞争性的分支。“周五我们上台的时候,脱口而出的是:‘我们将把这些代码提供给 Automattic、WP Engine、GoDaddy、Newfold——所有人。’”马鲁奇说道。
如果该网络得到广泛采用,开发者可以在同一签名包中同时发布免费版和付费版插件——目前 WordPress 官方代码库禁止这么做。“这开启了创新的大门,”德·瓦尔克说道,“让围绕插件开展业务并提供良好用户体验变得更加容易。”
尽管如此,Hubbard 强调,WordPress 核心基础设施的碎片化可能会带来更多问题,而不是解决更多问题——例如扰乱更新流程、增加服务器负载,以及破坏用于确保兼容性的插件遥测。“如果这项工作能够带来改进,例如签名更新或更好的回退系统,我们乐于接受,”她说。“但我们必须以同样的长期谨慎来对待这项工作,正如我们之前所做的那样。”
FAIR 代码库已在 GitHub 上线并接受贡献。Automattic 是否会参与尚不确定;无论如何,项目团队计划继续推进。“我们面对的是一个过去曾面临信任挑战的社区,他们正在寻求稳定,”Dolan 说。“他们寻求中立。他们有自己想要完成的事情。”