Cara Memeriksa apakah Plugin yang Diinstal Tidak Lagi di Direktori Plugin

Ketika kami menulis tentang mengapa plugin terkadang menghilang dari direktori plugin WordPress, itu menghasilkan diskusi yang sehat di komentar. Salah satu topik diskusi yang diangkat adalah apakah pengguna harus diberi tahu atau tidak ketika sebuah plugin menghilang dan jika demikian, bagaimana caranya?

Saat ini, ketika sebuah plugin disembunyikan di direktori, pengguna tidak diberi tahu. Jika dihapus karena kerentanan keamanan dan penulis memilih untuk tidak memperbaikinya atau memindahkan plugin ke tempat lain seperti GitHub, pengguna tidak akan mengetahuinya.

Donna Cavalier membagikan contoh terbaru mengapa pengguna harus diberi tahu. Contact Form DB adalah plugin populer yang menyimpan pengiriman formulir kontak dari banyak plugin Contact Forms populer ke database. Pada 30 Oktober 2016, itu diinstal secara aktif di lebih dari 400 ribu situs.

Sekitar satu bulan yang lalu, plugin disembunyikan karena kerentanan keamanan. Alih-alih merilis patch, Michael Simpson, pencipta Contact Form DB, memindahkan plugin ke GitHub dan kemudian merilis versi baru yang menambal kerentanan. Simpson mengatakan orang di tim peninjau plugin yang dia ajak bicara merendahkan, tidak profesional, dan menggosoknya dengan cara yang salah.

“Saya senang untuk mengatasi masalah apa pun dan memenuhi standar apa pun, tetapi saya berada di batas kesabaran saya,” kata Simpson.

“Saya berusaha menjadi warga negara yang baik dan memberi kembali kepada masyarakat. Saya telah menghabiskan banyak waktu selama hampir tujuh tahun sekarang. Ketika saya diperlakukan seperti ini, sepertinya WordPress tidak menghargai saya atau kontribusi saya kepada komunitasnya.

“Pokoknya, saya meletakkan kode di GitHub dan saya akan terus mendukungnya. Tetapi pada titik ini saya tidak yakin saya ingin berurusan dengan orang-orang seperti ini untuk mendaftar ulang plugin di situs ini. Saya tidak butuh frustrasi.”

Jika Anda menggunakan DB Formulir Kontak, harap perbarui ke 2.10.30 sesegera mungkin karena berisi perbaikan keamanan yang disebutkan di atas.

Tidak mungkin bagi pengguna DB Formulir Kontak untuk menginstal pembaruan secara otomatis dari GitHub tanpa menginstal plugin pembaru. Ini membuat ribuan situs berisiko.

Bagaimana Mengetahui Saat Plugin yang Diinstal Tidak Lagi Ada di Direktori

Dalam komentar artikel kami, pembaca Tavern Central Geek membagikan tautan ke beberapa plugin yang bertujuan memberikan informasi yang berguna seperti, apakah sebuah plugin telah ditinggalkan dan informasi kompatibilitas plugin yang lebih baik.

Salah satu plugin yang dia sebutkan disebut No Longer in Directory, yang dikembangkan oleh White Fir Design. Plugin menambahkan halaman ke backend WordPress yang memberi tahu pengguna jika ada plugin yang diinstal tersedia di direktori plugin. Itu juga secara terpisah mencantumkan plugin yang diinstal yang belum diperbarui dalam dua tahun atau lebih.

Pemeriksaan dilakukan menggunakan nama folder direktori plugin. Penulis mencatat bahwa ini dapat menyebabkan plugin yang tidak pernah ada di direktori plugin akan ditandai jika mereka menggunakan nama yang sama dengan plugin yang ada di direktori sebelumnya. Jika Anda mengalami situasi ini, Anda dianjurkan untuk membuat utas baru di forum dukungan plugin.

Sejauh ini, Tidak Ada Lagi di Direktori secara aktif diinstal di lebih dari 1.000 situs. Dari total enam ulasan, peringkat rata-ratanya adalah 4,8 dari 5 bintang. Saya menguji plugin dengan WordPress 4.8 alpha dan tidak menemukan masalah apa pun.

Jika ini adalah fitur yang ingin Anda lihat diterapkan di WordPress, pertimbangkan untuk memilihnya. Sejauh ini, ide tersebut memiliki 43 suara dengan peringkat rata-rata bintang lima. Mika Epstein, Perwakilan Direktori Plugin, menanggapi gagasan itu empat tahun lalu dengan mencatat bahwa itu sedang dikerjakan.

Seperti yang disebutkan Epstein di artikel kami sebelumnya, menjelaskan MENGAPA sebuah plugin telah ditutup itu rumit.

“Jelas hal terakhir yang kami inginkan adalah orang-orang diretas, tetapi ini memberi kami beberapa opsi dan mereka semua memiliki kekurangan,” katanya.

“Kami belum dapat menentukan cara untuk memberi tahu orang-orang 'Plugin ini hilang, jangan gunakan' dan 'Plugin ini hilang, tetapi gunakan jika Anda mau.' tanpa membahayakan pengguna.”

Jika Plugin Dihapus Secara Permanen Dari Direktori, Pengguna Harus Diberitahu

Saya percaya pengguna harus diberi tahu jika sebuah plugin dihapus secara permanen dari direktori. Tidak masuk akal untuk memberi tahu pengguna jika disembunyikan sementara karena melanggar pedoman atau masalah keamanan. Plus, antara peningkatan dan pemberitahuan admin, pengguna menerima pemberitahuan yang cukup apa adanya.

Saya tidak yakin apakah pemberitahuan tersebut harus berupa pemberitahuan admin karena kami telah mendokumentasikan bagaimana pembuat plugin menggunakannya untuk beriklan. Pengguna semakin terganggu olehnya dan kegunaannya menurun.

Ada juga pertanyaan tentang siapa yang bertanggung jawab untuk memberi tahu pengguna. Tanggung jawab ini harus jatuh tepat pada pembuat plugin. Jika saya adalah pembuat plugin dan tidak tertarik pada seseorang yang mengadopsi plugin saya dan ingin menghapusnya dari direktori, saya akan melakukannya dengan mendorong satu pembaruan terakhir.

Saya akan menjelaskan dalam deskripsi plugin dan changelog bahwa dukungan dan pembaruan tidak akan terjadi lagi dan bahwa pengguna harus mencari alternatif. Saya bahkan mungkin menyarankan beberapa yang terlintas dalam pikiran. Kemudian, setelah sekitar satu bulan, saya akan mengirimkan permintaan ke tim peninjau plugin untuk menghapusnya secara permanen.

Ini akan memberi pengguna petunjuk dan banyak waktu untuk mencari alternatif. Plugin Template Posting adalah contoh yang baik dari ide ini dalam tindakan. Ini adalah pemberitahuan yang ditampilkan di semua halaman pengaturannya sebelum menghilang.

Sejak versi 4.0.0, plugin telah dirilis di bawah lisensi komersial. Fitur baru seperti penambahan bidang khusus ke template telah ditambahkan. Selanjutnya, versi ini dihentikan, yang berarti tidak ada perbaikan bug lebih lanjut, fitur baru, dan perbaikan kompatibilitas untuk versi WordPress baru yang akan diterapkan. Jika Anda ingin membeli Template Post versi terbaru, silakan kunjungi halaman web plugin.

Dengan memberi tahu pengguna sebelumnya, tanggung jawab beralih ke pengguna untuk menemukan alternatif.

Simpon mengatakan dia akan bekerja untuk membuat plugin terdaftar kembali tetapi mungkin perlu waktu karena dia dibanjiri pekerjaan. Pada saat penerbitan, plugin tidak tersedia di WordPress.org.

Situasi yang Tidak Menguntungkan bagi Pengguna Formulir Kontak DB

Sementara pengguna bersimpati dengan Simpson atas keputusannya, saya pikir itu sebagian tidak bertanggung jawab. Jika sebuah plugin memiliki kerentanan keamanan, menambalnya dan membuatnya tersedia sesegera mungkin harus diutamakan daripada perasaan seseorang tentang suatu situasi.

Alih-alih mengesampingkan perbedaan dan mendorong pembaruan untuk menambal kerentanan keamanan, Simpson memilih untuk memindahkan plugin dan versi yang ditambal ke GitHub. Keputusan untuk tidak bekerja dengan tim peninjau plugin telah menempatkan ribuan situs dalam risiko tanpa cara mudah bagi pengguna untuk memperbarui.

Mudah-mudahan, Simpson akan bekerja dengan tim untuk mendapatkan versi tambalan dari DB Formulir Kontak kembali ke direktori sesegera mungkin. Sampai saat itu, jika Anda menggunakan DB Formulir Kontak, harap perbarui ke 2.10.30 secara manual karena ini menambal kerentanan keamanan.