Cómo verificar si los complementos instalados ya no están en el directorio de complementos

Cuando escribimos sobre por qué los complementos a veces desaparecen del directorio de complementos de WordPress, generó una discusión saludable en los comentarios. Uno de los temas de discusión planteados es si los usuarios deben ser notificados cuando desaparece un complemento y, de ser así, ¿cómo?

Actualmente, cuando un complemento está oculto en el directorio, no se notifica a los usuarios. Si se elimina debido a una vulnerabilidad de seguridad y el autor elige no repararlo o mover el complemento a otro lugar, como GitHub, los usuarios se quedan en la oscuridad.

Donna Cavalier compartió un ejemplo reciente de por qué se debe notificar a los usuarios. Contact Form DB es un complemento popular que guarda los envíos de formularios de contacto de muchos complementos de formularios de contacto populares en la base de datos. A partir del 30 de octubre de 2016, se instaló activamente en más de 400 000 sitios.

Hace aproximadamente un mes, el complemento se ocultó debido a una vulnerabilidad de seguridad. En lugar de lanzar un parche, Michael Simpson, creador de Contact Form DB, movió el complemento a GitHub y posteriormente lanzó una nueva versión que corrigió la vulnerabilidad. Simpson dice que la persona del equipo de revisión de complementos con la que habló fue condescendiente, poco profesional y lo molestó.

“Estoy feliz de abordar cualquier problema y cumplir con los estándares, pero estoy al límite de mi paciencia”, dijo Simpson.

“Trato de ser un buen ciudadano y retribuir a la comunidad. He dedicado innumerables horas durante casi siete años. Cuando me tratan así, parece que WordPress no me valora a mí ni a mi contribución a su comunidad.

“De todos modos, puse el código en GitHub y continuaré apoyándolo. Pero en este punto, no estoy seguro de querer tratar con personas como esta para volver a incluir el complemento en este sitio. No necesito la frustración”.

Si usa Contact Form DB, actualice a 2.10.30 lo antes posible, ya que contiene la solución de seguridad mencionada anteriormente.

Es imposible que los usuarios de Contact Form DB instalen automáticamente actualizaciones desde GitHub sin instalar un complemento de actualización. Esto deja miles de sitios en riesgo.

Cómo saber cuándo los complementos instalados ya no están en el directorio

En los comentarios de nuestro artículo, el lector de Tavern Central Geek compartió enlaces a un par de complementos destinados a proporcionar información útil, como si un complemento ha sido abandonado y mejor información de compatibilidad de complementos.

Uno de los complementos que menciona se llama No Longer in Directory, desarrollado por White Fir Design. El complemento agrega una página al backend de WordPress que informa a los usuarios si alguno de los complementos que están instalados está disponible en el directorio de complementos. También enumera por separado los complementos instalados que no se han actualizado en dos años o más.

La verificación se realiza utilizando el nombre de la carpeta del directorio del complemento. El autor señala que esto podría llevar a que los complementos que nunca han estado en el directorio de complementos se marquen si usan el mismo nombre que un complemento que estuvo en el directorio en el pasado. Si se encuentra con esta situación, le recomendamos que cree un nuevo hilo en el foro de soporte del complemento.

Hasta ahora, No Longer in Directory está instalado activamente en más de 1K sitios. De un total de seis reseñas, su valoración media es de 4,8 sobre 5 estrellas. Probé el complemento con WordPress 4.8 alfa y no encontré ningún problema.

Si esta es una característica que le gustaría ver implementada en WordPress, considere votar por ella. Hasta el momento, la idea cuenta con 43 votos con una calificación promedio de cinco estrellas. Mika Epstein, representante del directorio de complementos, respondió a la idea hace cuatro años y señaló que se estaba trabajando en ella.

Como mencionó Epstein en nuestro artículo anterior, explicar POR QUÉ se ha cerrado un complemento es complejo.

“Obviamente, lo último que queremos es que pirateen a las personas, pero nos presenta algunas opciones y todas tienen fallas”, dijo.

“No hemos podido determinar una manera de decirle a la gente 'Este complemento se ha ido, no lo use' y 'Este complemento se ha ido, pero úselo si quiere'. sin poner en riesgo a los usuarios”.

Si un complemento se elimina permanentemente del directorio, los usuarios deben ser notificados

Creo que se debe informar a los usuarios si un complemento se elimina permanentemente del directorio. No tiene sentido notificar a los usuarios si se oculta temporalmente debido a la violación de una directriz o un problema de seguridad. Además, entre los avisos de actualización y administración, los usuarios reciben suficientes notificaciones.

No estoy seguro de si la notificación debe ser un aviso de administrador, ya que ya hemos documentado cómo los autores de complementos los usan para anunciarse. Los usuarios se molestan cada vez más con ellos y su utilidad está en declive.

También está la cuestión de quién es responsable de informar a los usuarios. Esta responsabilidad debe recaer directamente en el autor del complemento. Si fuera un autor de complementos y no estuviera interesado en que alguien adoptara mi complemento y quisiera eliminarlo del directorio, lo haría enviando una última actualización.

Explicaría en la descripción del complemento y el registro de cambios que el soporte y las actualizaciones ya no se producirían y que los usuarios deberían buscar alternativas. Incluso podría sugerir algunos que vienen a la mente. Luego, después de aproximadamente un mes, enviaría una solicitud al equipo de revisión del complemento para eliminarlo de forma permanente.

Esto les daría a los usuarios un aviso y mucho tiempo para buscar una alternativa. El complemento Post Template es un buen ejemplo de esta idea en acción. Aquí está el aviso que mostraba en todas sus páginas de configuración antes de que desapareciera.

Desde la versión 4.0.0, el complemento se ha lanzado bajo una licencia comercial. Se han agregado nuevas funciones, como la adición de campos personalizados a las plantillas. Además, esta versión está descontinuada, lo que significa que no se implementarán más correcciones de errores, nuevas funciones y correcciones de compatibilidad para las nuevas versiones de WordPress. Si desea comprar la última versión de Post Template, visite la página web del complemento.

Al notificar a los usuarios con anticipación, la responsabilidad de encontrar una alternativa pasa al usuario.

Simpon dijo que trabajará para que el complemento vuelva a aparecer en la lista, pero puede llevar algo de tiempo ya que está inundado de trabajo. En el momento de la publicación, el complemento no está disponible en WordPress.org.

Una situación desafortunada para los usuarios de Contact Form DB

Si bien los usuarios simpatizaron con Simpson por su decisión, creo que es en parte irresponsable. Si un complemento tiene una vulnerabilidad de seguridad, parchearlo y ponerlo a disposición lo antes posible debe tener prioridad sobre cómo se siente uno acerca de una situación.

En lugar de dejar de lado las diferencias y lanzar una actualización para parchear una vulnerabilidad de seguridad, Simpson eligió mover el complemento y la versión parcheada a GitHub. La decisión de no trabajar con el equipo de revisión de complementos ha puesto en riesgo a miles de sitios que no tienen una forma fácil de actualizar para los usuarios.

Con suerte, Simpson trabajará con el equipo para recuperar una versión parcheada de Contact Form DB en el directorio lo antes posible. Hasta entonces, si usa Contact Form DB, actualice a 2.10.30 manualmente, ya que corrige la vulnerabilidad de seguridad.