• 홈페이지
  • 조항
  • 가이드
  • WordPress의 이전 버전을 4.7로 자동 업데이트하자는 제안이 뜨거운 논쟁을 불러일으켰습니다.

WordPress의 이전 버전을 4.7로 자동 업데이트하자는 제안이 뜨거운 논쟁을 불러일으켰습니다.

게시 됨: 2019-08-09

WordPress 기고자, 개발자 및 커뮤니티 회원은 현재 이전 버전에 대한 보안 지원과 관련된 새로운 정책을 구현하기 위한 제안에 대해 토론하고 있습니다. 토론은 지난주 보안 팀의 책임자인 Jake Spurlock이 보안 수정 사항을 이전 버전으로 백포팅하는 다양한 접근 방식에 대한 피드백을 요청하면서 시작되었습니다. 이 토론에 이어, Automattic이 후원하는 WordPress 코어의 전임 기고자 Ian Dunn은 새로운 정책을 추진하기 위한 제안을 발표했습니다.

최신 6개 버전을 지원하고 지원되지 않는 사이트를 지원되는 가장 오래된 버전으로 자동 업데이트합니다.

즉, 현재 지원되는 버전은 4.7 – 5.2이고 3.7 – 4.6 분기는 결국 4.7로 자동 업데이트됩니다.

실제로, 각 지점에 대해 약 2년의 지원을 제공하고 현재 사이트의 약 10%가 결국 4.7로 자동 업데이트됩니다. 5.3이 출시되면 가장 오래된 지원 버전은 4.8이 됩니다.

Dunn은 이전 사이트를 한 주요 버전에서 다음 메이저 버전으로 점진적으로 업데이트하기 전에(한 번에 모두가 아님) 문제를 식별하기 위해 소규모 사이트 하위 집합을 테스트하는 것과 관련된 새 정책을 구현하기 위한 세부 계획을 설명했습니다. 사이트 관리자는 자동 업데이트가 시작되기 최소 30일 전에 이메일과 관리자의 알림으로 알림을 받게 되며 이는 옵트아웃 기회도 제공합니다.

제안은 수십 개의 의견을 받았으며 일부 기여자들은 지원을 받았고 일부는 롤아웃 수정에 찬성했으며 다른 일부는 이전 사이트를 주요 버전으로 자동 업데이트하는 아이디어에 대해 명백히 반대했습니다.

일반적인 문제 중 하나는 작동하지 않는 이메일 주소로 인해 많은 관리자가 알림을 받지 못하거나 관리자 대시보드에 충분히 자주 로그인하지 않는다는 것입니다. 반대론자들은 또한 업그레이드에 실패한 사이트에 대한 대체가 있더라도 플러그인이나 테마 문제로 인해 일부 사이트는 WordPress가 감지할 수 없는 방식으로 손상될 수 있다고 주장합니다.

글렌 메서스미스(Glenn Messersmith)는 “백엔드 통지는 신뢰할 수 있는 이메일 커뮤니케이션의 부족을 만회하지 못할 것입니다. “사이트가 개발된 후에는 백엔드로 모험을 떠나지 않는 사이트 소유자가 많이 있습니다. 이들은 이메일 주소가 오래 전에 사라진 개발자의 주소이기 때문에 이메일 알림을 받지 못하는 바로 그 사람들입니다.

“어떤 종류의 오류 감지라도 알림을 본 적이 없는 사람들을 위한 안전망 역할을 할 수 있는 방법은 없습니다. 사이트 소유자가 업데이트 스크립트가 감지할 수 없는 '손상된' 사이트로 간주할 수 있는 모든 종류의 방법이 있습니다.”

중단된 사이트가 중단되거나 중단된 플러그인에 크게 의존하는 관리자에 대한 우려에 대해 Dunn은 현재 제안에서 이러한 유형의 상황이 불가피할 수 있다는 데 동의했습니다.

Dunn은 "나는 그 상황에 확실히 공감할 수 있지만 어딘가에 선을 그어야 합니다."라고 말했습니다. “우리는 자원이 무제한이 아니며 현재 정책은 전체 WordPress 생태계에 해로운 영향을 미칩니다.

“현실에서 선택은 순전히 좋은 것과 순전히 나쁜 것 사이에 있지 않습니다. 그들은 항상 경쟁적인 절충안 사이에 있습니다.

"소수의 사이트 소유자가 사이트를 업그레이드하기 위해 추가 작업을 수행해야 하는 것은 좋지 않다는 데에는 동의합니다. 하지만 크게 보면 보안 팀이 매우 부담스러운 지원 정책으로 인해 방해를 받는 것보다 훨씬 낫습니다. .”

제안 작성자는 "아무도 업데이트하지 않을 것"이라고 주장합니다. 반대론자들은 사용자에게 옵트아웃을 요구하는 것은 동의가 아니라고 주장합니다.

사이트를 깨뜨릴 수 있는 문제 외에도 제안에 반대하는 사람들은 사이트 관리자의 명시적인 동의 없이 업데이트를 강제하는 WordPress에 참여하지 않습니다. 사용자에게 주요 핵심 릴리스에 대한 자동 업데이트를 선택하는 방법을 제공하는 것은 Matt Mullenweg가 2019년에 작업하기 위해 식별한 9개 프로젝트 중 하나입니다. 그러나 이 제안에 대한 계획은 3.7에서 사이트 소유자가 필요하다는 점에서 더 공격적입니다. – 4.6 분기가 4.7로 점진적으로 자동 업데이트되지 않으려는 경우 선택 해제합니다.

Dunn은 "무슨 일이 있어도 여전히 대리인을 유지하고 있으며 아무도 업데이트를 강요하지 않으며 모든 사람이 자신의 사이트를 계속 제어할 수 있으며 원할 경우 옵트아웃할 수 있습니다."라고 말했습니다. “기본적으로 켜져 있는 것은 누군가에게 무언가를 하도록 강요하는 것과는 매우 다릅니다. 우리는 옵트아웃을 매우 쉽게 만들 것입니다. 플러그인을 설치하기만 하면 되고 구성이 필요하지 않습니다. 옵트아웃에 대한 지침은 모든 이메일 및 관리자 통지에 포함될 것입니다."

Dunn은 누가 이러한 업데이트를 받을 것인지에 대한 설명에서 다음과 같이 추가로 설명했습니다.

아무도 강요하지 않고 대신 옵트 아웃 프로세스가 될 것입니다. 누군가가 이미 주요 버전에 대한 자동 업데이트를 비활성화한 경우 이는 존중되며 해당 사이트는 업데이트되지 않습니다.

누군가 이메일에서 옵트아웃 링크를 클릭하거나 관리자 알림에서 옵트아웃 버튼을 클릭한 경우 업데이트도 비활성화됩니다.

업데이트를 받을 수 있는 유일한 사람은 다음과 같습니다.

1) 업데이트를 원합니다
2) 신경쓰지마
3) 사이트 또는 이메일 계정을 포기한 경우

토론에 참여한 여러 참가자는 옵트아웃하지 않은 사용자에게 업데이트를 강요하는 대신 4.7에서 이러한 사이트를 얻는 과정에서 동의를 받을 수 없는 이유를 물었습니다. 옵트아웃 메커니즘이 아무리 편리하더라도 적절한 옵트아웃 메커니즘이 있다고 해서 동의가 되는 것은 아닙니다. 3.7 릴리스 게시물에 설명된 대로 이 프로세스를 수행해야 하는 많은 사이트 소유자는 유지 관리 및 보안 업데이트를 선택하고 사이트에서 "잠자는 동안 업데이트"를 수행하는 것이 안전할 것이라고 생각했습니다.

UpdraftPlus를 만든 David Anderson은 "안전하지 않은 사이트는 좋지 않지만 이 메커니즘에 의해 자신에게 부여된 권한을 소급적으로 확대하는 것은 더 나쁩니다."라고 말했습니다. “불안보다 신뢰와 평판을 손상시킬 가능성이 있습니다. 나는 거대한 대시보드가 ​​곧 포기할 것이라는 경고 + 업데이트의 필요성을 경고하는 이전 버전의 보기 흉하고 제거할 수 없는 알림이 더 나을 것이라고 주장하고 싶습니다. 사이트 소유자가 책임을 지도록 하십시오. 유모 놀이를 하거나, 신뢰를 남용하거나, 사이트를 깨고, 부수적 피해가 필요한 방법에 대해 블로그 게시물을 작성하지 마십시오. 깨진 사이트에서 깨어난 사람은 아무도 그것에 만족하지 않을 것입니다.”

WordPress 3.7 릴리스 책임자이자 WordPress의 자동 백그라운드 업데이트 기능의 공동 작성자인 Andrew Nacin은 제안 뒤에 있는 사람들에게 WordPress가 최신 주요 버전만 지원하며 이전 버전을 공식적으로 지원한 적이 없음을 명확히 하도록 권장했습니다.

Nacin은 "백포트에는 확실히 많은 작업이 필요합니다. “하지만 우리는 여전히 우리의 북극성을 고수해야 합니다. WordPress는 버전 간에 역호환이 가능하며 WordPress 사용자는 실행 중인 버전에 대해 걱정할 필요가 없으며 다음과 같은 경우 사이트를 최신 상태로 유지해야 합니다. 우리는 할 수 있습니다.”

Nacin은 자동 업데이트를 도입하기 위한 원래 전략에 대해 더 많은 컨텍스트를 제공했습니다. 여기에는 모든 사이트가 결국 최신 버전이 되도록 주요 릴리스를 자동 업데이트로 점차적으로 이동하는 것이 포함됩니다.

첫째, 자동 백그라운드 업데이트를 처음 출시했을 때 우리의 다음 큰 추진력은 향후 몇 년 안에 주요 출시 자동 업데이트가 될 것이라고 생각했습니다. 실제로, 우리는 이것을 언제든지 할 수 있고, 실제로 3.7은 이것을 플래그로 지원했습니다. 그러나 아이디어는 우리가 샌드박싱, 화이트스크린 보호, 롤백 기능 개선 등에 에너지를 투자할 것이기 때문에 메이저 버전의 성공률이 마이너 버전만큼 높았습니다. (실패율은 복사해야 하는 파일의 수에 따라 다소 선형적으로 확장되며 파일을 변경하는 것이 아니라 추가해야 하는 경우 더욱 복잡해집니다.) 일단 이 작업을 수행하면 모든 사이트 업데이트를 시작하기만 하면 됩니다. 최신 버전으로 업데이트하고 백포팅을 중지합니다. 분명히 우리는 아직 여기까지 오지 않았습니다.

그는 전반적으로 제안이 "훌륭한 계획"이라고 말했지만 사용자에게 업데이트하는 것이 안전하고 WordPress는 최신 버전만 지원할 계획임을 사용자에게 알리는 이점을 강조했습니다.

토론에 참여한 대부분의 참가자는 보안 팀이 이전 버전의 WordPress에 대한 수정 사항 백포팅을 중단하는 데 찬성합니다. 상대방에게 아직 답이 없는 질문은 이전 사이트를 강제로 업데이트하는 것이 WordPress의 책임인 이유입니다.

Will Stocks는 "저는 관리하지 않는 사이트를 메이저/브레이킹 버전으로 업데이트하는 것이 WordPress의 결정이 되어서는 안 된다고 생각하지만 이러한 분기를 유지하는 것은 중단되어야 한다고 생각합니다"라고 말했습니다. “귀하(WordPress)는 인프라나 비즈니스 프로세스를 소유하거나 해당 사이트를 관리하기 위한 지원을 이해하지 못합니다. 그 사이트들이 오늘날에도 여전히 버전이 있고 과거에 업그레이드되지 않은 이유가 있습니다.”

주요 버전에 대한 동의 없는 업데이트를 강제하지 않고 보안 팀의 제한된 리소스를 존중하기 위해 여전히 선을 그을 수 있는 다른 접근 방식이 있습니다. WPCampus의 이사인 Rachel Cherry는 이 제안에 대해 언급하면서 WordPress에 이러한 사이트를 업데이트하기 전에 동의를 얻을 것을 강력하게 촉구했습니다.

우리는 강제 업데이트가 기술 문제를 일으키고 실제 문제를 완전히 놓칠 것인지 여부에 대한 잡초에 빠져들고 있습니다.

우리는 사람들이 동의하지 않았을 때 소프트웨어를 강제로 업데이트하는 것에 대해 논의하고 있습니다.

그리고 무엇을 위해? 여기서 진짜 문제는 무엇입니까? 이전 버전 업데이트에 대해 걱정하고 싶지 않기 때문에?

이 문제를 해결하는 다른 방법이 있습니다.

릴리스에 대한 EOL 지원과 관련하여 명확한 정책을 만들 수 있습니다.

우리는 사용자가 자동 ​​업데이트를 원하는지 여부를 선택할 수 있도록 하는 설정을 코어에 추가할 수 있습니다. 그러면 동의가 있습니다.

업데이트에 대한 교육 및 커뮤니케이션 작업을 수행할 수 있습니다.

우리는 사람들에게 그들의 사이트가 오래되고 안전하지 않으며 교육 및 모범 사례에 대한 링크와 함께 최대한 빨리 업데이트해야 한다는 이메일을 보낼 수 있습니다. 여전히 도움이 필요하면 전문가에게 연락하도록 격려하십시오.

앞으로 이 문제를 해결할 수 있지만 승인 메커니즘을 배치하지 않았다는 이유로 소급 동의를 의미하지는 않습니다.

누군가가 자신의 사이트를 업데이트하지 않았다면 이유가 있습니다. 또는 무관심. 어느 쪽이든, 우리는 이렇게 들어가서 사람들의 웹사이트를 수정할 권리가 없습니다.

토론 참가자들은 여전히 ​​제안된 정책 변경의 잠재적 의미와 씨름하고 있습니다. 사소한 업데이트는 자동 업데이트로 매우 안정적인 것으로 입증되었습니다. Dunn은 3.7.29 자동 업데이트에서 3.7.28로 롤백해야 하는 오류가 한 번만 발생했다고 보고했습니다. 자동 업데이트 시스템을 사용하여 아직 철저하게 테스트되지 않은 오래된 사이트에 주요 업데이트를 푸시합니다.

Jeremy Felt는 "3.7 -> 5.x 릴리스를 자동 업데이트하는지 여부와 상관없이 이것이 미래(5.x -> x.x+)를 위해 시작할 것으로 기대하는 것임을 분명히 하는 것을 전적으로 지지합니다."라고 말했습니다. 제안에 대해 논평했다. "이를 지원하기 위한 인프라 및 코드 테스트 작업은 어느 쪽이든 절대적으로 수행되어야 합니다." Felt는 또한 제안된 릴리스에 대해 시차를 둔 출시 일정과 자동 업데이트를 비활성화하기 위해 공식적으로 지원되는 플러그인을 제공할 계획에 감사한다고 말했습니다.

제안에 대한 논의는 아직 진행 중이지만, 사이트 소유자가 잠재적으로 해킹당하지 않도록 하려는 의도가 있더라도 WordPress가 명시적 동의 없이 주요 버전 업데이트를 강제할 수 있는 권한이 있는지 여부에 대해 참가자들 사이에 근본적인 불일치가 있는 것으로 보입니다. .

"한 가지 확실한 것은 지금까지 대다수가 우려하는 것처럼 보이지만 우리 중 많은 사람들이 이러한 고귀한 의도를 좋아하지만 인터넷의 자비로운 지배자가되는 것이 WP가 앞으로 나아가는 좋은 이미지인지 확신할 수 없다는 것입니다. "라고 플러그인 개발자 Philip Ingram은 말했습니다.