Joost de Valk kliver av FAIR – vad det betyder för idén om ett fristående WordPress-repo

När WordPress-communityt skakar brukar det handla om blockredigeraren, hosting eller någon ny release. Under 2025–2026 har diskussionen i stället rört något mer grundläggande: vem som kontrollerar distributionen av teman och tillägg – och vad som händer när den infrastrukturen blir en flaskhals eller en konfliktzon.

I den kontexten startades FAIR, ett projekt inom Linux Foundation med ambitionen att bygga ett oberoende, federerat (alltså distribuerat mellan flera aktörer) repository för mjukvara. För WordPress-världen betydde det i praktiken: ett alternativ till att allt hänger på WordPress.org för katalog, nedladdning och uppdateringsflöden.

Bakgrunden: ett ekosystem med en tydlig single point of failure

FAIR tog fart i mitten av 2025 efter en infekterad händelse i WordPress-ekosystemet: Matt Mullenweg ersatte WP Engines plugin Advanced Custom Fields (ACF) i den officiella katalogen med en egen variant (en så kallad fork, dvs. en duplicerad kodbas som drivs vidare som eget projekt). Samtidigt stängdes WP Engine och många av deras kunder ute från åtkomst till WordPress.org:s tema- och plugin-repository och tillhörande uppdateringstjänster.

Kritiken som följde var inte bara riktad mot själva beslutet, utan mot att situationen blottade ett strukturellt problem: WordPress-ekosystemet hade en enda central punkt där distribution och uppdateringar kontrolleras. När en konflikt uppstår kan konsekvenserna bli omedelbara för allt från sajtägare och byråer till större hostingbolag – särskilt eftersom update-mekanismen i praktiken är en del av driftskedjan.

Det var här decentraliseringsidén tog fart. Tanken var en federerad grupp av oberoende hostade repositories, där flera parter kan tillhandahålla distribution och där trust/verification (förtroende och verifiering) samt spårbarhet byggs in från start.

Vad FAIR faktiskt var tänkt att göra

FAIR positionerades som mer än en WordPress-lösning, men WordPress var den tydligaste katalysatorn. Ambitionen var att skapa en neutral, oberoende distributionsmodell för teman och plugins – med en governance-struktur som inte kontrolleras av en enskild part.

Joost de Valk (grundare av Yoast SEO) var en av de centrala rösterna i att formulera varför communityt behövde oberoende repositories. Han var också med och grundade FAIR och bidrog till att få projektet ur startblocken och in i en mer neutral styrningsmodell.

Joost de Valk lämnar: “de vill inte investera i den här typen av lösning”

Nu har Joost de Valk meddelat att han kliver av FAIR. En av huvudpoängerna i hans besked är att projektet inte lyckats få det ekonomiska stöd som krävs för att bli en mer livskraftig satsning.

Han beskriver hur man under de senaste månaderna haft många samtal med hostingbolag och andra stora aktörer i ekosystemet – och att slutsatsen blivit att de inte vill investera i den här typen av lösning. Inte för att de nödvändigtvis uppskattar nuläget, utan för att investering innebär åtagande, kostnad, att kliva in i politisk spänning och – framför allt – risk.

In recent months, we’ve had many conversations with hosting companies and other large ecosystem players. What became increasingly clear is this: they do not want to invest in this kind of solution. Not because they love the current situation. Not because they agree with everything that’s happened. But because investment means commitment. It means cost. It means stepping into political tension. And most of all, it means risk.

Joost de Valk

Formuleringen “political tension” och “risk” konkretiseras inte med namn, men det ligger nära till hands att tolka det som att ett tydligt stöd till FAIR kan uppfattas som att man tar ställning i konflikten mellan Matt Mullenweg och WP Engine. För stora webbhotell kan insatserna vara enorma – i värsta fall handlar det om risk mot intäkter i storleksordningen miljontals eller till och med miljarder dollar. I det ljuset blir det mer begripligt varför hostingindustrin kan vara ovillig att gå in med pengar och mandat just nu.

FAIR:s officiella hållning: projektet fortsätter – och är större än WordPress

FAIR har också publicerat ett eget uttalande där man bekräftar Joost beslut och samtidigt slår fast att finansiering fortsatt är en utmaning. Samtidigt betonar man att FAIR fortsätter fungera som ett oberoende projekt, och att FAIR aldrig var tänkt som en WordPress-specifik satsning utan som en branschövergripande lösning för software supply-chain security (säkerhet i mjukvarans leveranskedja).

The problems FAIR solves are not WordPress-specific. Supply chain security, decentralized distribution, trust and verification are industry-wide issues and they’re becoming more urgent, not less. The EU’s Cyber Resilience Act arrives in December 2027 and when it does, software supply chain integrity becomes a regulatory requirement — demonstrating provenance, security scanning, and traceable update mechanisms. FAIR’s architecture is built with exactly this kind of trustworthiness in mind. We haven’t given up on WordPress. We still welcome contributors and ecosystem leaders to join us so we can continue advancing the work.

FAIR

Det här är en viktig positionsförflyttning i hur man kan se FAIR: från ett WordPress-drivet svar på en akut konflikt, till en mer generell distributions- och verifieringsmodell där WordPress är ett av flera möjliga ekosystem.

Cyber Resilience Act (CRA) och varför “supply chain integrity” plötsligt blir hårdvaluta

I FAIR:s uttalande lyfts EU:s Cyber Resilience Act fram, med en tydlig tidpunkt: december 2027. När den träder i kraft blir mjukvarans supply chain integrity ett regulatoriskt krav – med saker som proveniens (provenance/ursprung), säkerhetsskanning och spårbara uppdateringsmekanismer som centrala delar.

För oss som bygger med WordPress är kopplingen ganska rak: plugins och teman är en stor del av attackytan, och uppdateringskedjan är en av de mest kritiska kanalerna att kunna lita på. En federerad modell med inbyggd verification kan därför ses både som en robusthetshöjning och som ett sätt att ligga bättre i linje med kommande efterlevnadskrav – särskilt för större organisationer och leverantörer.

Vad händer nu? Troligen lägre profil – tills läget förändras

FAIR fortsätter, men utan en högprofilerad och aktiv WordPress-röst i fronten riskerar projektet att tappa synlighet i just WordPress-communityt. Samtidigt är det tydligt att frånvaron av deltagande från hostingindustrin bromsar möjligheten att skala upp till något som kan bära distribution, drift, governance och säkerhetsprocesser i praktiken.

En rimlig tolkning är att FAIR kan bli mer genomförbart när konflikten mellan Mullenweg och WP Engine väl har lugnat sig eller fått en tydligare upplösning. Tills dess verkar projektet behöva drivas vidare med begränsade resurser, samtidigt som man försöker hålla fast vid den bredare ambitionen: decentraliserad distribution och en mer verifierbar supply chain.

Kort sammanfattning

• FAIR startade som en reaktion på att ACF ersattes i WordPress.org-repot och att WP Engine samt många kunder låstes ute från repository och uppdateringstjänster.
• Händelserna satte ljuset på WordPress-ekosystemets single point of failure kring distribution och updates.
• Joost de Valk kliver nu av FAIR och pekar på bristande finansiellt stöd – och att större aktörer inte vill ta kostnad, åtagande och risk i en politiskt laddad situation.
• FAIR säger att projektet fortsätter, att problemen man löser är branschövergripande och kopplar relevansen till EU:s Cyber Resilience Act i december 2027 (proveniens, security scanning och spårbara uppdateringar).
• På kort sikt kan FAIR gå vidare i mindre skala, men idén kan få ny tyngd när ekosystemkonflikten svalnar och regulatoriska krav på supply chain-säkerhet skärps.