Come verificare se i plugin installati non sono più nella directory dei plugin

Quando abbiamo scritto sul motivo per cui i plug-in a volte scompaiono dalla directory dei plug-in di WordPress, ha generato una sana discussione nei commenti. Uno degli argomenti di discussione sollevati è se gli utenti debbano essere avvisati o meno quando un plug-in scompare e, in caso affermativo, come?

Attualmente, quando un plug-in è nascosto nella directory, gli utenti non vengono avvisati. Se viene rimosso a causa di una vulnerabilità di sicurezza e l'autore sceglie di non risolverlo o di spostare il plug-in da qualche altra parte come GitHub, gli utenti vengono lasciati all'oscuro.

Donna Cavalier ha condiviso un recente esempio del motivo per cui gli utenti dovrebbero essere avvisati. Contact Form DB è un popolare plug-in che salva gli invii di moduli di contatto da molti popolari plug-in di moduli di contatto nel database. Al 30 ottobre 2016 è stato installato attivamente su più di 400.000 siti.

Circa un mese fa, il plug-in è stato nascosto a causa di una vulnerabilità di sicurezza. Invece di rilasciare una patch, Michael Simpson, creatore di Contact Form DB, ha spostato il plug-in su GitHub e successivamente ha rilasciato una nuova versione che ha corretto la vulnerabilità. Simpson afferma che la persona del team di revisione dei plug-in con cui ha parlato era condiscendente, poco professionale e lo ha strofinato nel modo sbagliato.

"Sono felice di affrontare qualsiasi problema e soddisfare qualsiasi standard, ma sono al limite della mia pazienza", ha detto Simpson.

“Cerco di essere un buon cittadino e di restituire alla comunità. Ho impiegato innumerevoli ore per quasi sette anni ormai. Quando vengo trattato in questo modo, sembra che WordPress non apprezzi me o il mio contributo alla sua comunità.

“Comunque, metto il codice su GitHub e continuerò a supportarlo. Ma a questo punto non sono sicuro di voler trattare con persone come questa per ripubblicare il plugin su questo sito. Non ho bisogno della frustrazione".

Se utilizzi Contact Form DB, aggiorna il prima possibile a 2.10.30 poiché contiene la suddetta correzione di sicurezza.

È impossibile per gli utenti Contact Form DB installare automaticamente gli aggiornamenti da GitHub senza installare un plug-in di aggiornamento. Questo lascia migliaia di siti a rischio.

Come sapere quando i plugin installati non sono più nella directory

Nei commenti al nostro articolo, il lettore di Tavern Central Geek ha condiviso collegamenti a un paio di plug-in volti a fornire informazioni utili come se un plug-in è stato abbandonato e migliori informazioni sulla compatibilità dei plug-in.

Uno dei plugin che cita si chiama No Longer in Directory, sviluppato da White Fir Design. Il plug-in aggiunge una pagina al back-end di WordPress che informa gli utenti se uno qualsiasi dei plug-in installati è disponibile nella directory dei plug-in. Elenca anche separatamente i plug-in installati che non sono stati aggiornati da due anni o più.

Il controllo viene eseguito utilizzando il nome della cartella della directory del plugin. L'autore osserva che ciò potrebbe comportare la segnalazione di plug-in che non sono mai stati nella directory dei plug-in se utilizzano lo stesso nome di un plug-in che era nella directory in passato. Se incontri questa situazione, sei incoraggiato a creare un nuovo thread sul forum di supporto del plugin.

Finora, No Longer in Directory è installato attivamente su più di 1.000 siti. Su un totale di sei recensioni, la sua valutazione media è di 4,8 stelle su 5. Ho testato il plugin con WordPress 4.8 alpha e non ho riscontrato alcun problema.

Se questa è una funzionalità che vorresti vedere implementata in WordPress, considera di votarla. Finora, l'idea ha 43 voti con una valutazione media di cinque stelle. Mika Epstein, rappresentante di Plugin Directory, ha risposto all'idea quattro anni fa, notando che si stava lavorando.

Come menzionato da Epstein nel nostro precedente articolo, spiegare PERCHÉ un plugin è stato chiuso è complesso.

"Ovviamente l'ultima cosa che vogliamo sono le persone che vengono hackerate, ma ci presenta alcune opzioni e tutte hanno dei difetti", ha detto.

"Non siamo stati in grado di determinare un modo per dire alle persone 'Questo plugin non c'è più, non usarlo' e 'Questo plugin non c'è più, ma usalo se vuoi.' senza mettere a rischio gli utenti”.

Se un plug-in viene rimosso definitivamente dalla directory, gli utenti dovrebbero essere avvisati

Credo che gli utenti dovrebbero essere informati se un plug-in viene rimosso in modo permanente dalla directory. Non ha senso avvisare gli utenti se è temporaneamente nascosto a causa della violazione di una linea guida o di un problema di sicurezza. Inoltre, tra l'aggiornamento e gli avvisi dell'amministratore, gli utenti ricevono abbastanza notifiche così com'è.

Non sono sicuro che la notifica debba essere un avviso dell'amministratore poiché abbiamo già documentato come gli autori di plug-in li utilizzano per fare pubblicità. Gli utenti sono sempre più infastiditi da loro e la loro utilità è in declino.

C'è anche la domanda su chi è responsabile dell'informazione degli utenti. Questa responsabilità dovrebbe ricadere direttamente sull'autore del plugin. Se fossi un autore di plugin e non interessato a qualcuno che adotta il mio plugin e lo volessi rimosso dalla directory, lo farei pubblicando un ultimo aggiornamento.

Spiegherei nella descrizione del plug-in e nel log delle modifiche che il supporto e gli aggiornamenti non si verificherebbero più e che gli utenti dovrebbero cercare alternative. Potrei anche suggerire alcuni che mi vengono in mente. Quindi, dopo circa un mese, avrei inviato una richiesta al team di revisione del plug-in per rimuoverlo definitivamente.

Ciò darebbe agli utenti un avviso e tutto il tempo per cercare un'alternativa. Il plug-in Post Template è un buon esempio di questa idea in azione. Ecco l'avviso che veniva visualizzato su tutte le sue pagine delle impostazioni prima che scomparisse.

Dalla versione 4.0.0, il plugin è stato rilasciato con licenza commerciale. Sono state aggiunte nuove funzionalità come l'aggiunta di campi personalizzati ai modelli. Inoltre, questa versione è stata interrotta, il che significa che non verranno implementate ulteriori correzioni di bug, nuove funzionalità e correzioni di compatibilità per le nuove versioni di WordPress. Se desideri acquistare l'ultima versione di Post Template, visita la pagina Web del plug-in.

Informando gli utenti in anticipo, la responsabilità passa all'utente di trovare un'alternativa.

Simpon ha detto che lavorerà per rimettere in vendita il plugin, ma potrebbe volerci del tempo perché è sommerso dal lavoro. Al momento della pubblicazione, il plugin non è disponibile su WordPress.org.

Una situazione sfortunata per gli utenti di Contact Form DB

Sebbene gli utenti simpatizzano con Simpson per la sua decisione, penso che sia in parte irresponsabile. Se un plug-in presenta una vulnerabilità di sicurezza, correggerlo e renderlo disponibile il prima possibile dovrebbe avere la precedenza su come ci si sente riguardo a una situazione.

Invece di mettere da parte le differenze e pubblicare un aggiornamento per correggere una vulnerabilità di sicurezza, Simpson ha scelto di spostare il plug-in e la versione patchata su GitHub. La decisione di non collaborare con il team di revisione dei plug-in ha messo a rischio migliaia di siti senza un modo semplice per l'aggiornamento degli utenti.

Si spera che Simpson lavorerà con il team per riportare una versione patchata di Contact Form DB nella directory il prima possibile. Fino ad allora, se utilizzi Contact Form DB, aggiorna manualmente a 2.10.30 poiché corregge la vulnerabilità della sicurezza.