WordPressは、古いサイトを4.7に自動更新する提案の実装を開始する準備ができています

公開: 2019-08-22
写真提供者:Ryan McGuire

昨日、世界中のWordPress寄稿者が活発な会議に参加し、管理されたロールアウトで古いサイトをバージョン4.7に自動更新する提案に関する議論を続けました。 アイデアは、サイトが1つのメジャーバージョンから次のバージョンに徐々に更新されるということです(一度にすべてではありません)。 ディスカッションは、WordPress3.7のリリースリーダーであるAndrewNacinが主導し、IanDunnとセキュリティチームのリーダーであるJakeSpurlockの助けを借りました。

会議中の参加者の回答に基づいて、サイト所有者の明示的な同意なしに古いサイトを更新することに抵抗を感じる少数の反対者がいました。これは、影響を受けるすべての人に電子メールや管理者通知が届かない場合は取得が困難です。

貢献者の大多数は、提案を進めるための最良の実装を見つけることに傾倒しています。これは、最新バージョンのWordPressを使用していないことを知らない一般ユーザーや、サイトを放棄したユーザーにとって、基本的に大胆な決定を下します。 古いバージョンを積極的に利用することを選択しているサイト所有者は、自動更新をすでにオプトアウトしている可能性が高く、これらの決定は更新システムによって尊重されます。

ダン氏は、議論の目標は「アイデアを聞き、うまくいけばある種の決定に近づくこと」だと述べた。 当初は、WordPressがサイトをメジャーバージョンに自動更新するかどうかではなく、マーケティングと実装の詳細に重点を置いて開始しました。

「これを回避するには、大きなマーケティングの推進が必要だと思います」とスパーロック氏は述べています。 「私たちは、WordPressの最新サイトに関するニュースを先取りし、この更新を、更新されている何百万ものサイトの主なメリットとして捉える立場にありたいと考えています。」 WordPressのエグゼクティブディレクターであるJosephaHadenからの励ましを受けて、ロールアウトプロセスについて話し合うことを熱望している人々は、自動更新自体のより中心的な問題に取り組むために撤退しました。 Spurlockは、セキュリティチームが古いサイトに対して持っている3つのオプションを要約しました。

1.古いサイトのセキュリティ更新を破棄します
2.多大なコストをかけて、セキュリティの更新を継続します
3.サイトを手動で更新し、古いサイトは更新せずに残します。

「これらのサイト所有者は、すでに最大6年間の管理者通知を受け取っていることを指摘する価値があります」とNacin氏は述べています。 「最も古いサイトは、30通以上のメールを受信した可能性があります。 メジャーリリースの自動更新のサポートを追加するために新機能(たとえば5.3または5.4)を伝達する方法は、3.8以降に移行したい3.7を実行している古いサイトを処理する方法とは大幅に異なる可能性があります。」

寄稿者は、更新なしで古いサイトを離れることの結果を比較検討します

コアコントリビューターのZebulanStanphillは、同意なしにメジャーバージョンに自動更新することの反対者の1人でした。

「3.7の自動更新機能はメジャーアップデートを含むものとして宣伝されていなかったので、それを含むように突然変更するのは欺瞞的だと思います」とスタンフィル氏は述べています。 「所有者が最初にWordPressに与えたよりも、Webサイトをより細かく制御できると想定しているような気がします。 新しいバージョンのWordPressでは自動メジャーアップデートがデフォルトになっているので問題ありませんが、それを古いバージョンにさかのぼって適用するのは間違っているようです。」

コアへのフルタイムのスポンサー付き寄稿者であるGaryPendergastは、問題は潜在的に何百万ものサイト所有者が通知を見ることができず、最終的には安全でなくなる古いバージョンに固執することであると反論しました。 Stanphillは、許可がない場合にユーザーのサイトを更新するのはWordPressの責任ではないと主張しました。

「インターネットのかなりの部分のボットネットの基礎を築かないのは私たちの責任です」とペンダーガスト氏は述べています。

WordPressは、自動更新システムが3.7で導入された2013年よりも、Web上ではるかに大きなフットプリントを持っています。 プラットフォームの市場シェアは、2019年8月の時点で上位1,000万のWebサイトの34.5%に成長しています。3.7を実行しているサイトは非公式に約200万と推定されていますが、明確な数は確認されていません。

「私たちが無意識のうちに誰かに本当の悪を行うためのプラットフォームを与えた場合、私たちは結果をもたらす可能性のある十分な大きさです」とコア寄稿者のメアリー・バウムは言いました。

明確な同意の欠如と破損の可能性は、計画に反対した人々の上位2つの懸念でした。 賛成派は、何百万ものウェブサイトを壊すことなくそれを行うことができると信じています。 元セキュリティチームのリーダーであるAaronCampbellは、段階的な更新の展開の利点を強調しました。

テストベースとして3.7ユーザーから始めると(これはIanが提案した計画の一部です)、ユーザーが自分で行うのに苦労していることをユーザーに提供できる素晴らしいことの1つは、バージョンからバージョンへの更新が遅いことです。 3.7サイトのダッシュボードのボタンは、サイトを5.2に更新しますが、これは当然のことながら恐ろしいことです。 3.7-> 3.8、次に3.8-> 3.9などを4.6-> 4.7まで更新します。 3.7から4.7へのよりスムーズなパスを提供し、必要に応じてプロセスを改善するための多くの場所を提供します。

ロールアップにはいくつかのメリットがあると思います。 それらの1つは、DBの変更です。これは、1回の更新ですべてをバッチ処理するのではなく、過去6年間に発生したのと同じチャンクでロールアウトされます。 メモリと時間制限のエラーも少なくなるようです。

以前のP2の議論で述べたように、Nacinは、コアチームの計画は常にメジャーバージョンの自動更新をもたらすことであったと繰り返し述べました。

少し歴史と文脈を共有したいと思います。もちろん、WordPressの最新バージョンのみが公式にサポートされています。 3.7(2013年10月)の自動バックグラウンド更新により、計算が完全に変更されました。初めて、セキュリティリリースを古いブランチに出荷できるようになりました。 ただし、これらの古いバージョンを発表または文書化したり、定期的にダウンロードしたり、ダッシュボード→更新画面に公開したりすることはありませんでした。 WordPressの最新バージョンのみが公式にサポートされているという私たちの頻繁に述べられているポリシーを変更する意図はありませんでした。 ただし、サポートされていない古いサイトにセキュリティ修正プログラムをすばやくプッシュする機能を構築している場合は、その機能を使用しないことに気が付くでしょう。

メジャーリリースの自動更新がより迅速に進行し、それらの更新の安全性と復元力が向上することを期待していました。 そうすれば、これらの古いサイトを3.7までさかのぼって、より新しいバージョンのWordPressに更新できるようになります。 それは常に計画でした。 そこにたどり着くのに6年かかるとは思っていませんでした。

最終的に、長期的な目標は、メジャーアップデートのデフォルトを「オプトアウト」に変更し、安定性が証明されたらそれを変更することです。 古いバージョンを4.7に自動更新するという提案は、その方向に徐々に移行するための次のステップになります。 Nacinは、「WordPress 3.7以降がインストールされているため、古いサイトはすでにオプトインされている」と主張しています。

会議のある時点で、古いサイトを4.7に自動更新する倫理を取り巻く議論は、車のメンテナンス、予防接種、腐敗した死体、および貢献者が意見をより関連性のあるものにするために現実世界から引き出すことができるものすべてを含む類似点に分解されました手元のトピックに。

「事実上放棄されたサイトの「自律性」について話すのは難しい」とマーク・ジャキスは言った。 「同様に、あなたが路上で死んだ場合、あなたが埋葬に同意しなかったので、社会はあなたがそこで腐敗することを許しません。」

コア寄稿者のジョン・ジェームズ・ジェイコビー氏は、オプトアウトとオプトインの黙示的な同意に完全に満足しているわけではないが、最終的には「何かが起こる必要がある」ことに同意したと述べた。

「しかし、以前のMarkを言い換えると、WordPressは、ダッシュボードに「ねえ、あなたのためにこれをしなければならなかった」という大きな「olメタボックス」が含まれていない限り、Webから自分の死骸を掃除するべきではないと思います。これが理由です」とJacobyは言いました。

他の人は、メジャーアップデートを選択しない限り、3.7は自動セキュリティアップデートのみを実行することを最初に伝えた後、WordPressがユーザーのサーバー上のファイルを変更することに強く反対しています。

「私は、ソフトウェアに無人のメジャーアップデートをプッシュすることに非常に反対しています」とGaborJavorszky氏は述べています。 「WordPressCoreには、明示的な要求なしにサーバー上のコードを変更する権限がありません。 それが私がサインアップしたものであり、それが現在の自動アップデーターがデフォルトでどのように機能するかであるため、マイナーバージョン用にそれ自体を更新しても大丈夫です。 メジャーアップデートを許可するように変更することも、アップデートをまったく許可しないように変更することもできますが、WPがその選択を上書きするのは間違っています。」

Michael Panagaは、ユーザーは、許可されていない自動更新のためにサイトが壊れていることに気付くよりも、古いWebサイトがハッキングされていることをもっと喜んで理解するだろうと主張しました。 提案の反対者は、たとえ何百万ものサイトがハッキングされたとしても、人々のサイトが危険にさらされるのを防ぐことがWordPressの責任であるとは信じていません。 彼らはこれをユーザーの問題またはホスティング会社が処理すべきものと見なしています。

「合理的な人々はこれに同意することができ、同意しないでしょうが、私たちの哲学は、サイトがハッキングされた場合、それはユーザーの責任だけではないと考えています」とNacin氏は述べています。 「私たちもその責任を感じています。彼らのサイトが最新の状態に保たれ、最新かつ最高のバージョンのWordPressを実行していることを確認するために、できる限りのことをするつもりです。」

正式な決定は発表されていないが、計画を実行する力を持っている人はしっかりと決定されており、昨日の会議を通じてコン​​センサスを得たようだ。

「結局のところ、自動更新サーバーに変更をプッシュして、オプトインではなくこのオプトアウトを行うことができる人はごくわずかであり、決心しているように聞こえるので、意味がありません。 P2 [ディスカッション]を継続することで、実装フェーズに移行し、破壊を最小限に抑えることもできます」とWordPressの開発者であるEarleDavies氏は述べています。

Nacinは、議論に声を貸してくれた貢献者に感謝し、2007年までの以前の決定を文書化して、今後数日で作成/コア化するためのフォローアップ投稿とロードマップが公開される可能性があると述べました。

「皆さんがこのトピックについて話してくれて本当にうれしいです」とNacinは言いました。 「10年経った今でも、WordPressコミュニティとそのユーザーをどれだけ気にかけているかに深く感銘を受けています。 ウェブはそれに値する。」