So prüfen Sie, ob sich installierte Plugins nicht mehr im Plugin-Verzeichnis befinden

Als wir darüber schrieben, warum Plugins manchmal aus dem WordPress-Plugin-Verzeichnis verschwinden, löste das in den Kommentaren eine lebhafte Diskussion aus. Eines der angesprochenen Diskussionsthemen ist, ob Benutzer benachrichtigt werden sollten, wenn ein Plugin verschwindet, und wenn ja, wie?

Derzeit werden Benutzer nicht benachrichtigt, wenn ein Plugin im Verzeichnis ausgeblendet ist. Wenn es aufgrund einer Sicherheitslücke entfernt wird und der Autor sich entscheidet, es nicht zu beheben oder das Plugin an einen anderen Ort wie GitHub zu verschieben, werden die Benutzer im Dunkeln gelassen.

Donna Cavalier teilte ein aktuelles Beispiel dafür, warum Benutzer benachrichtigt werden sollten. Contact Form DB ist ein beliebtes Plugin, das Kontaktformular-Übermittlungen von vielen beliebten Kontaktformular-Plugins in der Datenbank speichert. Zum 30. Oktober 2016 war es auf mehr als 400.000 Websites aktiv installiert.

Vor etwa einem Monat wurde das Plugin aufgrund einer Sicherheitslücke ausgeblendet. Anstatt einen Patch zu veröffentlichen, hat Michael Simpson, der Schöpfer von Contact Form DB, das Plugin auf GitHub verschoben und anschließend eine neue Version veröffentlicht, die die Schwachstelle gepatcht hat. Simpson sagt, dass die Person im Plugin-Überprüfungsteam, mit der er gesprochen hat, herablassend und unprofessionell war und ihn in die falsche Richtung gerieben hat.

„Ich spreche gerne alle Probleme an und erfülle alle Standards, aber ich bin am Ende meiner Geduld“, sagte Simpson.

„Ich versuche, ein guter Bürger zu sein und der Gemeinschaft etwas zurückzugeben. Ich habe jetzt seit fast sieben Jahren unzählige Stunden investiert. Wenn ich so behandelt werde, scheint WordPress mich oder meinen Beitrag zur Community nicht zu schätzen.

„Wie auch immer, ich habe den Code auf GitHub gestellt und werde ihn weiterhin unterstützen. Aber an diesem Punkt bin ich mir nicht sicher, ob ich mich mit Leuten wie diesen befassen möchte, um das Plugin auf dieser Seite erneut aufzulisten. Ich brauche den Frust nicht.“

Wenn Sie Contact Form DB verwenden, aktualisieren Sie bitte so schnell wie möglich auf 2.10.30, da es den oben genannten Sicherheitsfix enthält.

Es ist für Contact Form DB-Benutzer unmöglich, automatisch Updates von GitHub zu installieren, ohne ein Updater-Plug-in zu installieren. Dadurch sind Tausende von Websites gefährdet.

So erkennen Sie, wann installierte Plugins nicht mehr im Verzeichnis vorhanden sind

In den Kommentaren unseres Artikels teilte der Tavern-Leser Central Geek Links zu einigen Plugins, die darauf abzielen, nützliche Informationen bereitzustellen, z. B. ob ein Plugin aufgegeben wurde, und bessere Informationen zur Plugin-Kompatibilität.

Eines der von ihm erwähnten Plugins heißt No Longer in Directory und wurde von White Fir Design entwickelt. Das Plugin fügt dem WordPress-Backend eine Seite hinzu, die Benutzer darüber informiert, ob eines der installierten Plugins im Plugin-Verzeichnis verfügbar ist. Es listet auch separat installierte Plugins auf, die seit zwei Jahren oder länger nicht aktualisiert wurden.

Die Prüfung erfolgt anhand des Ordnernamens des Plugin-Verzeichnisses. Der Autor weist darauf hin, dass dies dazu führen könnte, dass Plugins, die sich noch nie im Plugin-Verzeichnis befunden haben, gekennzeichnet werden, wenn sie denselben Namen verwenden wie ein Plugin, das sich in der Vergangenheit im Verzeichnis befand. Wenn Sie auf diese Situation stoßen, sollten Sie einen neuen Thread im Support-Forum des Plugins erstellen.

Bisher ist No Longer in Directory auf mehr als 1.000 Websites aktiv installiert. Aus insgesamt sechs Bewertungen ergibt sich eine durchschnittliche Bewertung von 4,8 von 5 Sternen. Ich habe das Plugin mit WordPress 4.8 alpha getestet und bin auf keine Probleme gestoßen.

Wenn dies eine Funktion ist, die Sie gerne in WordPress implementiert sehen möchten, ziehen Sie in Betracht, dafür zu stimmen. Bisher hat die Idee 43 Stimmen mit einer Durchschnittsbewertung von fünf Sternen. Mika Epstein, Vertreter des Plugin-Verzeichnisses, reagierte vor vier Jahren auf die Idee und stellte fest, dass daran gearbeitet werde.

Wie Epstein in unserem vorherigen Artikel erwähnt hat, ist es komplex zu erklären, WARUM ein Plugin geschlossen wurde.

„Natürlich ist das Letzte, was wir wollen, dass Menschen gehackt werden, aber es bietet uns ein paar Optionen, und alle haben Fehler“, sagte sie.

„Wir konnten keinen Weg finden, den Leuten zu sagen: ‚Dieses Plug-in ist weg, verwenden Sie es nicht‘ und ‚Dieses Plug-in ist weg, aber verwenden Sie es, wenn Sie möchten.‘ ohne die Benutzer zu gefährden.“

Wenn ein Plugin dauerhaft aus dem Verzeichnis entfernt wird, sollten Benutzer benachrichtigt werden

Ich glaube, Benutzer sollten informiert werden, wenn ein Plugin dauerhaft aus dem Verzeichnis entfernt wird. Es ist nicht sinnvoll, Benutzer zu benachrichtigen, wenn es aufgrund eines Verstoßes gegen eine Richtlinie oder eines Sicherheitsproblems vorübergehend ausgeblendet ist. Außerdem erhalten Benutzer zwischen Upgrade- und Administratorbenachrichtigungen bereits genügend Benachrichtigungen.

Ich bin mir nicht sicher, ob die Benachrichtigung eine Admin-Benachrichtigung sein sollte, da wir bereits dokumentiert haben, wie Plugin-Autoren sie verwenden, um zu werben. Benutzer werden zunehmend von ihnen genervt und ihre Nützlichkeit nimmt ab.

Es stellt sich auch die Frage, wer für die Information der Nutzer verantwortlich ist. Diese Verantwortung sollte direkt auf den Plugin-Autor fallen. Wenn ich ein Plugin-Autor wäre und nicht daran interessiert wäre, dass jemand mein Plugin übernimmt, und wollte, dass es aus dem Verzeichnis entfernt wird, würde ich dies tun, indem ich ein letztes Update herausbringe.

Ich würde in der Beschreibung und im Änderungsprotokoll des Plugins erklären, dass Support und Updates nicht mehr stattfinden würden und dass Benutzer nach Alternativen suchen sollten. Ich könnte sogar ein paar vorschlagen, die mir in den Sinn kommen. Dann, nach etwa einem Monat, würde ich eine Anfrage an das Plugin-Überprüfungsteam senden, um es dauerhaft zu entfernen.

Dies würde den Benutzern eine Vorwarnung geben und viel Zeit, um nach einer Alternative zu suchen. Das Post-Template-Plugin ist ein gutes Beispiel für diese Idee in Aktion. Hier ist der Hinweis, der auf allen Einstellungsseiten angezeigt wurde, bevor er verschwand.

Seit Version 4.0.0 wird das Plugin unter einer kommerziellen Lizenz veröffentlicht. Neue Funktionen wie das Hinzufügen von benutzerdefinierten Feldern zu den Vorlagen wurden hinzugefügt. Darüber hinaus wird diese Version eingestellt, was bedeutet, dass keine weiteren Fehlerbehebungen, neuen Funktionen und Kompatibilitätskorrekturen für neue WordPress-Versionen implementiert werden. Wenn Sie die neueste Version von Post Template kaufen möchten, besuchen Sie bitte die Plugin-Webseite.

Durch die frühzeitige Benachrichtigung der Benutzer verlagert sich die Verantwortung auf den Benutzer, eine Alternative zu finden.

Simpon sagte, er werde daran arbeiten, dass das Plugin wieder gelistet wird, aber es kann einige Zeit dauern, da er mit Arbeit überschwemmt ist. Zum Zeitpunkt der Veröffentlichung ist das Plugin nicht auf WordPress.org verfügbar.

Eine unglückliche Situation für Benutzer von Contact Form DB

Während Benutzer mit Simpson über seine Entscheidung sympathisierten, halte ich es für teilweise unverantwortlich. Wenn ein Plugin eine Sicherheitslücke hat, sollte es Vorrang haben, es zu patchen und so schnell wie möglich verfügbar zu machen, wie man über eine Situation denkt.

Anstatt Differenzen beiseite zu legen und ein Update herauszubringen, um eine Sicherheitslücke zu schließen, entschied sich Simpson dafür, das Plugin und die gepatchte Version auf GitHub zu verschieben. Die Entscheidung, nicht mit dem Plugin-Überprüfungsteam zusammenzuarbeiten, hat Tausende von Websites gefährdet, ohne dass Benutzer eine einfache Möglichkeit zum Aktualisieren haben.

Hoffentlich wird Simpson mit dem Team zusammenarbeiten, um so schnell wie möglich eine gepatchte Version von Contact Form DB wieder in das Verzeichnis aufzunehmen. Wenn Sie bis dahin Contact Form DB verwenden, aktualisieren Sie bitte manuell auf 2.10.30, da die Sicherheitslücke gepatcht wird.