FAIR e repository federati per WordPress: perché Joost de Valk lascia il progetto (e cosa cambia per plugin e temi)

Joost de Valk (fondatore di Yoast SEO) ha annunciato che si fa da parte dal progetto FAIR, iniziativa sotto l’ombrello della Linux Foundation nata con un obiettivo ambizioso: creare un’alternativa indipendente e federata per la distribuzione di plugin e temi, riducendo la dipendenza dal repository ufficiale di WordPress.org.

La notizia è rilevante per chi sviluppa e mantiene estensioni WordPress perché rimette al centro un tema che, negli ultimi anni, è diventato anche un problema di risk management: la catena di distribuzione del software (supply chain) e i suoi punti unici di fallimento.

Cos’è FAIR e perché era nato a metà 2025

FAIR è stato lanciato a metà 2025 come risposta a una crisi che ha acceso i riflettori su quanto l’ecosistema WordPress sia concentrato su un’unica infrastruttura per distribuzione e aggiornamenti.

Il contesto: Matt Mullenweg ha sostituito nel repository ufficiale il plugin Advanced Custom Fields (ACF) di WP Engine con una propria versione (un fork, cioè una copia/derivazione del progetto). Inoltre, WP Engine e molti suoi clienti sono stati bloccati nell’accesso al repository di temi e plugin su WordPress.org e ai servizi collegati di aggiornamento.

Queste azioni hanno generato forti critiche e hanno portato molti a osservare un problema strutturale: se la distribuzione (e gli update) dipendono da un unico hub, quell’hub diventa un single point of failure per l’intero ecosistema.

Da qui l’idea: spingere verso una federazione di repository indipendenti ospitati separatamente, in modo decentralizzato. FAIR nasce esattamente in questo solco, con de Valk tra le figure chiave nel raccontare perché servissero repository indipendenti e nel co-fondare l’iniziativa, accompagnandola verso un modello di governance neutrale.

Perché Joost de Valk lascia FAIR: il nodo del finanziamento (e non solo)

De Valk ha motivato il passo indietro con un punto molto concreto: la mancanza di supporto finanziario ha impedito al progetto di diventare un’entità più sostenibile e “viabile”.

Nelle sue considerazioni, racconta di conversazioni avute negli ultimi mesi con hosting company e altri grandi attori dell’ecosistema. Il messaggio emerso è netto: non vogliono investire in questo tipo di soluzione.

In recent months, we’ve had many conversations with hosting companies and other large ecosystem players. What became increasingly clear is this: they do not want to invest in this kind of solution. Not because they love the current situation. Not because they agree with everything that’s happened. But because investment means commitment. It means cost. It means stepping into political tension. And most of all, it means risk.

Joost de Valk

Nel suo post compaiono espressioni come “political tension” e “risk”, senza però esplicitare a cosa si riferiscano nel dettaglio. È difficile non collegare quel passaggio alla realtà di un ecosistema spaccato dalla disputa tra Matt Mullenweg e WP Engine: sostenere un progetto alternativo potrebbe essere letto come una presa di posizione.

Per un hosting provider, la posta in gioco è alta: la scelta di schierarsi (o anche solo di essere percepiti come tali) può tradursi in rischi economici considerevoli, nell’ordine di milioni o persino miliardi di dollari di ricavi. In questo contesto, non sorprende che molti host evitino un impegno pubblico e finanziario verso FAIR, almeno in questa fase.

La risposta di FAIR: il progetto continua (e non riguarda solo WordPress)

FAIR ha pubblicato una dichiarazione in cui riconosce la decisione di de Valk e conferma che il finanziamento resta un problema. Allo stesso tempo ribadisce due punti chiave:

• FAIR continua a funzionare come progetto indipendente.
• FAIR non è mai stato “solo WordPress”: l’intento è una soluzione trasversale per la sicurezza della supply chain software.

Nel comunicato, FAIR lega esplicitamente l’urgenza del tema a trend industriali più ampi: distribuzione decentralizzata, fiducia e verifica (trust and verification) sono problemi comuni a molte piattaforme, e stanno diventando sempre più pressanti.

The problems FAIR solves are not WordPress-specific. Supply chain security, decentralized distribution, trust and verification are industry-wide issues and they’re becoming more urgent, not less. The EU’s Cyber Resilience Act arrives in December 2027 and when it does, software supply chain integrity becomes a regulatory requirement — demonstrating provenance, security scanning, and traceable update mechanisms. FAIR’s architecture is built with exactly this kind of trustworthiness in mind. We haven’t given up on WordPress. We still welcome contributors and ecosystem leaders to join us so we can continue advancing the work.

FAIR project

Cyber Resilience Act (UE): perché FAIR lo cita esplicitamente

FAIR richiama il Cyber Resilience Act dell’Unione Europea, con arrivo indicato per dicembre 2027. Il punto centrale è che l’integrità della supply chain software diventa un requisito regolatorio: dimostrare provenienza (provenance), eseguire scansioni di sicurezza (security scanning) e mantenere meccanismi di aggiornamento tracciabili (traceable update mechanisms).

FAIR sostiene che la propria architettura sia pensata proprio per questo tipo di affidabilità e verificabilità.

Implicazioni pratiche per l’ecosistema WordPress (anche se non usi FAIR)

Al di là del destino specifico del progetto, questa vicenda lascia sul tavolo alcuni aspetti che come sviluppatori WordPress conviene tenere a mente:

• Distribuzione e update sono infrastruttura critica: non è “solo un repository”, è una componente della sicurezza e della continuità operativa.
• Il tema del single point of failure non è teorico: blocchi, sostituzioni di plugin e accessi limitati hanno effetti immediati sulla manutenzione dei siti.
• Una rete di repository federati richiede governance neutrale e soprattutto sponsor: senza budget, è difficile garantire continuità, auditing, processi di verifica e operatività 24/7.
• Gli attori più grandi (hosting e grandi player) ragionano anche in termini di rischio politico e commerciale, non solo tecnico.

Cosa aspettarsi adesso

FAIR non si ferma, ma è realistico aspettarsi un percorso più difficile senza una figura altamente visibile e radicata nella community WordPress come de Valk. Inoltre, la scarsa partecipazione dell’industria hosting è un segnale importante: senza un sostegno forte, un’infrastruttura alternativa fatica a diventare lo standard de facto.

Resta anche un elemento di contesto: l’eventuale evoluzione del progetto potrebbe dipendere dal fatto che la disputa tra Mullenweg e WP Engine arrivi a una fase di minore tensione. In quel caso, per alcuni player potrebbe diventare meno rischioso esporsi e investire.