Zum Inhalt springen
20. January 2026: HelloBlog.io ist gestartet: 22 Sprachen, werbefrei und mit Open-Source-Fokus
Български Čeština Dansk Deutsch Eesti Ελληνικά English Español Français Hrvatski Italiano Latviešu Lietuvių Magyar Nederlands Polski Português Română Slovenčina Slovenščina Suomi Svenska
HelloBlog
Joost de Valk zieht sich aus FAIR zurück: Was das für unabhängige WordPress-Repositories bedeutet
Markus Weber
Markus Weber 26. February 2026 · 6 Min. Lesezeit

Joost de Valk zieht sich aus FAIR zurück: Was das für unabhängige WordPress-Repositories bedeutet

wordpress-Ökosystem linux foundation plugins supply chain security wordpress yoast

FAIR ist mit einem klaren Anspruch gestartet: weg vom Single Point of Failure in der WordPress-Distribution, hin zu einer föderierten Struktur aus unabhängig gehosteten Repositories für Themes und Plugins. Nun hat Joost de Valk (Yoast SEO) angekündigt, sich aus dem Projekt zurückzuziehen – ein Schritt, der vor allem wegen eines Problems passiert, das in der Open-Source-Welt immer wieder Projekte ausbremst: nachhaltige Finanzierung.

Was FAIR eigentlich lösen sollte

FAIR ist ein Projekt unter dem Dach der Linux Foundation, das ein unabhängiges Repository-Modell vorantreiben sollte. Der Auslöser war eine Eskalation im WordPress-Ökosystem Mitte 2025: Matt Mullenweg ersetzte das Advanced Custom Fields (ACF) Plugin von WP Engine im offiziellen Repository durch eine eigene Version – ein klassischer fork (also eine Abspaltung/Kopie eines bestehenden Projekts, die anschließend separat weiterentwickelt wird).

Parallel dazu wurden WP Engine und viele Kund:innen von WP Engine vom Zugriff auf das offizielle WordPress.org Theme- und Plugin-Repository sowie auf zugehörige Update-Services ausgesperrt. Diese Maßnahmen haben massiv Kritik ausgelöst und den Blick auf ein strukturelles Risiko gelenkt: Wenn zentrale Infrastruktur (Distribution und Updates) an einem einzigen Ort hängt, reicht ein Konflikt, um große Teile des Ökosystems zu beeinträchtigen.

Aus dieser Gemengelage entstand die Idee, die Verteilung von Plugins und Themes zu dezentralisieren – nicht über ein einzelnes alternatives Repository, sondern über einen Verbund (Federation) aus unabhängig betriebenen Repositories. Genau hier setzte FAIR an.

Joost de Valks Rolle: Mitgründer und Treiber

Joost de Valk spielte in der frühen Phase eine zentrale Rolle: Er hat öffentlich erklärt, warum unabhängige Repositories aus Community-Sicht nötig sind, und FAIR mitgegründet. Ein wichtiger Punkt war dabei auch, die Initiative in ein neutrales Governance-Modell zu überführen – weg von Einzelpersonen oder einzelnen Firmeninteressen, hin zu einer Struktur, die langfristig als unabhängig gelten kann.

Symbolbild zu FAIR und unabhängigen WordPress-Repositories
Forrás: Search Engine Journal / Shutterstock (Mathias Elle)

Warum de Valk jetzt aussteigt: fehlendes Geld und fehlendes Commitment

De Valk begründet seinen Rückzug vor allem damit, dass es FAIR nicht gelungen ist, ausreichend finanzielle Unterstützung zu sichern, um aus dem Projekt eine wirklich tragfähige Organisation zu machen. Er beschreibt außerdem, wie Gespräche mit Hosting-Unternehmen und anderen großen Playern im WordPress-Ökosystem in den letzten Monaten zunehmend ein klares Bild ergeben hätten: Diese Akteure wollen in so eine Lösung nicht investieren.

In recent months, we’ve had many conversations with hosting companies and other large ecosystem players. What became increasingly clear is this: they do not want to invest in this kind of solution. Not because they love the current situation. Not because they agree with everything that’s happened. But because investment means commitment. It means cost. It means stepping into political tension. And most of all, it means risk.

Joost de Valk

Auffällig an der Begründung ist die Formulierung „political tension“ und „risk“, ohne sie konkret zu benennen. In der Praxis liegt eine Interpretation nahe: Wer FAIR finanziert, könnte im Konflikt zwischen Matt Mullenweg und WP Engine als Partei wahrgenommen werden. Für Hostings geht es dabei nicht um Kleingeld – je nach Marktposition stehen potenziell Millionen bis Milliarden an Umsatz im Raum. Dass sich Unternehmen in so einer Situation eher zurückhalten, ist zumindest nachvollziehbar.

FAIR reagiert: Projekt läuft weiter – und ist ausdrücklich nicht nur „WordPress“

FAIR hat den Schritt bestätigt und gleichzeitig eingeräumt, dass Funding weiterhin ein zentrales Problem ist. Wichtig ist dabei eine Klarstellung: FAIR versteht sich zwar als Lösung, die auch WordPress helfen kann – war aber nie ausschließlich WordPress-spezifisch. Stattdessen positioniert sich FAIR als branchenweite Antwort auf Themen wie Software Supply-Chain Security (Sicherheit der Software-Lieferkette), dezentrale Distribution sowie Vertrauen und Verifikation von Paketen und Updates.

The problems FAIR solves are not WordPress-specific. Supply chain security, decentralized distribution, trust and verification are industry-wide issues and they’re becoming more urgent, not less. The EU’s Cyber Resilience Act arrives in December 2027 and when it does, software supply chain integrity becomes a regulatory requirement — demonstrating provenance, security scanning, and traceable update mechanisms. FAIR’s architecture is built with exactly this kind of trustworthiness in mind. We haven’t given up on WordPress. We still welcome contributors and ecosystem leaders to join us so we can continue advancing the work.

FAIR Project

Cyber Resilience Act (CRA): Warum FAIR das Thema „Trust“ so stark betont

Spannend ist der konkrete regulatorische Bezug: FAIR verweist auf den EU Cyber Resilience Act, der im Dezember 2027 greift. Ab dann wird Software-Supply-Chain-Integrität nicht nur „nice to have“, sondern eine Anforderung – inklusive Nachweis der Herkunft (Provenance), Security Scanning und nachvollziehbaren Update-Mechanismen. FAIR argumentiert, dass die Architektur genau für diese Art von Vertrauenswürdigkeit ausgelegt ist.

Was das fürs WordPress-Ökosystem praktisch bedeutet

Das Projekt existiert weiter, aber der Rückzug eines sichtbaren, in der WordPress-Community stark verankerten Sprechers ist ein Einschnitt. Ohne die aktive Beteiligung großer Hosting-Anbieter fehlt FAIR nicht nur Geld, sondern auch Marktdruck und Integrationspower – also genau das, was föderierte Distribution in der Praxis schnell „real“ macht.

Gleichzeitig bleibt die Kernbeobachtung bestehen, die FAIR überhaupt erst möglich gemacht hat: Ein zentrales Plugin-/Theme-Repository plus zentrale Update-Infrastruktur ist ein Single Point of Failure. Dass daraus mittelfristig Alternativen entstehen (FAIR oder andere Ansätze), wird auch davon abhängen, ob sich die Spannungen rund um den Mullenweg–WP-Engine-Konflikt entschärfen und ob Unternehmen bereit sind, das damit verbundene Risiko zu tragen.

Einordnung für Entwickler:innen

Wenn du Themes/Plugins auslieferst oder bei Kunden stark von WordPress-Updates abhängst, ist das Thema „Distribution & Trust“ nicht nur Governance-Debatte: Es betrifft direkt Build-/Release-Prozesse, Update-Kanäle und die Frage, wie du die Integrität von Abhängigkeiten und Updates nachweisen kannst.

Kurzfazit

  • FAIR wurde Mitte 2025 als Antwort auf die ACF-Fork-Situation und den Zugriffsentzug auf WordPress.org-Repository/Updates angestoßen, um Distribution zu dezentralisieren.
  • Joost de Valk zieht sich zurück und nennt insbesondere fehlende finanzielle Unterstützung sowie die Risiko- und Konfliktlage als Bremsfaktor für Investoren.
  • FAIR erklärt, dass das Projekt weiterläuft und ausdrücklich als industrieweite Lösung für Supply-Chain Security, dezentrale Distribution sowie Trust/Verification gedacht ist.
  • Der EU Cyber Resilience Act (Dezember 2027) wird Supply-Chain-Integrität regulatorisch relevant machen (Provenance, Security Scans, nachvollziehbare Updates).

Referenzen / Quellen

Markus Weber

Markus Weber

Senior-Entwickler, Spezialist für Datenbankoptimierung und Performance-Tuning. PostgreSQL und Redis sind meine Favoriten. Ich liebe es, komplexe Probleme in einfache Lösungen zu zerlegen.

Alle Beiträge

Mehr von Markus Weber

Kritische File-Upload-Lücke in WPvivid Backup: Bis zu 800.000 WordPress-Installationen potenziell betroffen Kritische File-Upload-Lücke in WPvivid Backup: Bis zu 800.000 WordPress-Installationen potenziell betroffen WordPress Studio 1.7.0: Die neue Studio CLI macht lokale Setups endlich skriptbar WordPress Studio 1.7.0: Die neue Studio CLI macht lokale Setups endlich skriptbar HelloBlog.io ist gestartet: 22 Sprachen, werbefrei und mit Open-Source-Fokus HelloBlog.io ist gestartet: 22 Sprachen, werbefrei und mit Open-Source-Fokus

Tritt der HelloWP-Community bei!

Chatte mit uns über WordPress, Webentwicklung und teile Erfahrungen mit anderen Entwickler*innen.

- Mitglieder
- online
Beitreten

Wir verwenden Cookies, um Ihre Erfahrung zu verbessern. Wenn Sie fortfahren, stimmen Sie unserer Cookie-Richtlinie zu.