Comment vérifier si les plugins installés ne sont plus dans le répertoire des plugins

Lorsque nous avons expliqué pourquoi les plugins disparaissent parfois du répertoire des plugins WordPress, cela a généré une discussion saine dans les commentaires. L'un des sujets de discussion abordé est de savoir si les utilisateurs doivent être avertis ou non lorsqu'un plugin disparaît et si oui, comment ?

Actuellement, lorsqu'un plugin est caché dans le répertoire, les utilisateurs ne sont pas notifiés. S'il est supprimé en raison d'une faille de sécurité et que l'auteur choisit de ne pas le réparer ou de déplacer le plugin ailleurs, comme GitHub, les utilisateurs sont laissés dans l'ignorance.

Donna Cavalier a partagé un exemple récent de la raison pour laquelle les utilisateurs devraient être informés. Contact Form DB est un plugin populaire qui enregistre les soumissions de formulaires de contact de nombreux plugins de formulaires de contact populaires dans la base de données. Au 30 octobre 2016, il était activement installé sur plus de 400 000 sites.

Il y a environ un mois, le plugin était masqué en raison d'une faille de sécurité. Au lieu de publier un correctif, Michael Simpson, créateur de Contact Form DB, a déplacé le plugin vers GitHub et a ensuite publié une nouvelle version qui corrigeait la vulnérabilité. Simpson dit que la personne de l'équipe de révision du plugin avec qui il a parlé était condescendante, non professionnelle et l'a malmené.

"Je suis heureux de résoudre tous les problèmes et de respecter toutes les normes, mais je suis à la limite de ma patience", a déclaré Simpson.

« J'essaie d'être un bon citoyen et de redonner à la communauté. J'y ai consacré d'innombrables heures depuis près de sept ans maintenant. Quand je suis traité comme ça, il semble que WordPress ne me valorise pas ou ma contribution à sa communauté.

"Quoi qu'il en soit, j'ai mis le code sur GitHub et je continuerai à le supporter. Mais à ce stade, je ne suis pas sûr de vouloir traiter avec des personnes comme celle-ci pour réinscrire le plugin sur ce site. Je n'ai pas besoin de frustration.

Si vous utilisez Contact Form DB, veuillez mettre à jour vers 2.10.30 dès que possible car il contient le correctif de sécurité susmentionné.

Il est impossible pour les utilisateurs de Contact Form DB d'installer automatiquement les mises à jour à partir de GitHub sans installer un plugin de mise à jour. Cela laisse des milliers de sites en danger.

Comment savoir quand les plugins installés ne sont plus dans le répertoire

Dans les commentaires de notre article, le lecteur de taverne Central Geek a partagé des liens vers quelques plugins visant à fournir des informations utiles telles que, si un plugin a été abandonné et de meilleures informations sur la compatibilité des plugins.

L'un des plugins qu'il mentionne s'appelle No Longer in Directory, développé par White Fir Design. Le plugin ajoute une page au backend WordPress qui informe les utilisateurs si l'un des plugins installés est disponible dans le répertoire des plugins. Il répertorie également séparément les plugins installés qui n'ont pas été mis à jour depuis deux ans ou plus.

La vérification est effectuée à l'aide du nom de dossier du répertoire du plugin. L'auteur note que cela pourrait conduire à ce que des plugins qui n'ont jamais été dans le répertoire des plugins soient signalés s'ils utilisent le même nom qu'un plugin qui était dans le répertoire dans le passé. Si vous rencontrez cette situation, nous vous encourageons à créer un nouveau fil sur le forum de support du plugin.

Jusqu'à présent, No Longer in Directory est activement installé sur plus de 1 000 sites. Sur un total de six avis, sa note moyenne est de 4,8 étoiles sur 5. J'ai testé le plugin avec WordPress 4.8 alpha et je n'ai rencontré aucun problème.

S'il s'agit d'une fonctionnalité que vous aimeriez voir implémentée dans WordPress, pensez à voter pour elle. Jusqu'à présent, l'idée a 43 votes avec une note moyenne de cinq étoiles. Mika Epstein, représentant du répertoire des plugins, a répondu à l'idée il y a quatre ans en notant qu'elle était en cours d'élaboration.

Comme Epstein l'a mentionné dans notre article précédent, expliquer POURQUOI un plugin a été fermé est complexe.

"De toute évidence, la dernière chose que nous voulons, ce sont des personnes qui se font pirater, mais cela nous présente quelques options et elles ont toutes des défauts", a-t-elle déclaré.

"Nous n'avons pas été en mesure de déterminer un moyen de dire aux gens 'Ce plugin est parti, ne l'utilisez pas' et 'Ce plugin est parti, mais utilisez-le si vous le souhaitez.' sans mettre les utilisateurs en danger.

Si un plugin est définitivement supprimé du répertoire, les utilisateurs doivent en être informés

Je pense que les utilisateurs doivent être informés si un plugin est définitivement supprimé du répertoire. Cela n'a aucun sens d'avertir les utilisateurs s'il est temporairement masqué en raison d'une violation d'une directive ou d'un problème de sécurité. De plus, entre les avis de mise à niveau et d'administration, les utilisateurs reçoivent suffisamment de notifications.

Je ne sais pas si la notification doit être un avis d'administration car nous avons déjà documenté la façon dont les auteurs de plugins les utilisent pour faire de la publicité. Les utilisateurs en sont de plus en plus agacés et leur utilité est en déclin.

Il y a aussi la question de savoir qui est responsable de l'information des utilisateurs. Cette responsabilité devrait incomber entièrement à l'auteur du plugin. Si j'étais un auteur de plugins et que je ne souhaitais pas que quelqu'un adopte mon plugin et veuille le supprimer du répertoire, je le ferais en publiant une dernière mise à jour.

J'expliquerais dans la description et le journal des modifications du plugin que le support et les mises à jour ne se produiraient plus et que les utilisateurs devraient rechercher des alternatives. Je pourrais même suggérer quelques-uns qui me viennent à l'esprit. Ensuite, après environ un mois, je soumettrais une demande à l'équipe de révision du plugin pour le supprimer définitivement.

Cela donnerait aux utilisateurs un avertissement et suffisamment de temps pour rechercher une alternative. Le plugin Post Template est un bon exemple de cette idée en action. Voici l'avis qu'il affichait sur toutes ses pages de paramètres avant de disparaître.

Depuis la version 4.0.0, le plugin est publié sous une licence commerciale. De nouvelles fonctionnalités telles que l'ajout de champs personnalisés aux modèles ont été ajoutées. De plus, cette version est abandonnée, ce qui signifie qu'aucune autre correction de bogue, nouvelle fonctionnalité et correction de compatibilité pour les nouvelles versions de WordPress ne sera implémentée. Si vous souhaitez acheter la dernière version de Post Template, veuillez visiter la page Web du plugin.

En avertissant les utilisateurs à l'avance, la responsabilité incombe à l'utilisateur de trouver une alternative.

Simpon a déclaré qu'il travaillerait pour réinscrire le plugin, mais cela pourrait prendre un certain temps car il est submergé de travail. Au moment de la publication, le plugin n'est pas disponible sur WordPress.org.

Une situation malheureuse pour les utilisateurs de Contact Form DB

Bien que les utilisateurs aient sympathisé avec Simpson pour sa décision, je pense que c'est en partie irresponsable. Si un plugin présente une faille de sécurité, le corriger et le rendre disponible dès que possible devrait avoir la priorité sur ce que l'on ressent face à une situation.

Au lieu de mettre de côté les différences et de publier une mise à jour pour corriger une vulnérabilité de sécurité, Simpson a choisi de déplacer le plugin et la version corrigée vers GitHub. La décision de ne pas travailler avec l'équipe de révision des plugins a mis des milliers de sites en danger sans aucun moyen facile pour les utilisateurs de mettre à jour.

Espérons que Simpson travaillera avec l'équipe pour remettre une version corrigée de Contact Form DB dans le répertoire dès que possible. Jusque-là, si vous utilisez Contact Form DB, veuillez mettre à jour manuellement la version 2.10.30 car elle corrige la vulnérabilité de sécurité.