WordPress, 오래된 사이트를 4.7로 자동 업데이트하기 위한 제안 구현 시작 준비

전 세계의 WordPress 기고자들이 어제 활발한 회의에 참여하여 통제된 롤아웃에서 이전 사이트를 버전 4.7로 자동 업데이트하는 제안에 대한 토론을 계속했습니다. 아이디어는 사이트가 하나의 주요 버전에서 다음 주요 버전으로 점진적으로 업데이트된다는 것입니다(한 번에 모두가 아님). 토론은 Ian Dunn과 보안 팀 리더 Jake Spurlock의 도움으로 WordPress 3.7 릴리스 리더인 Andrew Nacin이 주도했습니다.

회의 중 참가자들의 응답에 따르면 이메일과 관리자 통지가 영향을 받는 모든 사람에게 도달하지 않을 때 획득하기 어려운 사이트 소유자의 명시적 동의 없이 이전 사이트를 업데이트하는 것을 꺼리는 소수의 반대론자가 있었습니다.

기고자의 대다수는 제안을 진행하기 위한 최상의 구현을 찾는 데 기대고 있습니다. 이는 기본적으로 최신 버전의 WordPress가 없다는 사실을 모르는 일반 사용자와 사이트를 포기한 사용자를 위해 과감한 결정을 내리는 것입니다. 이전 버전에 매달리기를 적극적으로 선택하는 사이트 소유자는 이미 자동 업데이트를 선택 해제했을 가능성이 높으며 이러한 결정은 업데이트 시스템에서 존중됩니다.

Dunn은 토론의 목표가 "아이디어를 듣고 어떤 종류의 결정에 더 가까이 다가가는 것"이라고 말했습니다. 처음에는 WordPress가 사이트를 주요 버전으로 자동 업데이트해야 하는지 여부보다 마케팅 및 구현 세부 사항에 더 중점을 두고 시작되었습니다.

Spurlock은 "이와 관련하여 대대적인 마케팅 추진이 필요하다고 생각합니다."라고 말했습니다. "WordPress 중단 사이트에 대한 뉴스보다 앞서서 이 업데이트를 업데이트 중인 수백만 개의 사이트에 대한 주요 이점으로 프레임화할 수 있는 위치에 있기를 원합니다." WordPress 전무 이사 Josepha Haden의 격려 이후, 롤아웃 프로세스에 대해 논의하기를 열망하는 사람들은 자동 업데이트 자체의 보다 핵심적인 문제에 참여하기 위해 뒤로 물러났습니다. Spurlock은 이전 사이트에 대한 보안 팀의 세 가지 옵션을 요약했습니다.

1. 오래된 사이트에 대한 보안 업데이트 포기
2. 많은 비용을 들여 보안 업데이트를 계속하십시오.
3. 수동으로 사이트를 업데이트하여 이전 사이트를 업데이트 없이 남겨둡니다.

Nacin은 "이러한 사이트 소유자는 이미 최대 6년 동안 관리 통지를 받았다는 점을 지적할 가치가 있습니다."라고 말했습니다. “가장 오래된 사이트는 30개 이상의 이메일을 수신했을 것입니다. 주요 릴리스 자동 업데이트에 대한 지원을 추가하기 위해 새로운 기능(예: 5.3 또는 5.4)을 전달하는 방법은 3.8 이상으로 이동하려는 3.7을 실행하는 이전 사이트를 처리하는 방법과 크게 다를 수 있습니다."

기고자들은 업데이트 없이 오래된 사이트를 떠날 때의 결과를 저울질합니다.

핵심 기고자 Zebulan Stanphill은 동의 없이 주요 버전으로 자동 업데이트하는 것을 강력히 반대하는 사람 중 하나였습니다.

Stanphill은 "3.7의 자동 업데이트 기능은 주요 업데이트를 포함한다고 광고하지 않았기 때문에 갑자기 포함하도록 변경하는 것은 기만적이라고 생각합니다."라고 말했습니다. “소유자가 원래 WordPress에 부여한 것보다 웹사이트에 대한 더 많은 제어권을 가정하는 것과 같습니다. 자동 주요 업데이트가 새 버전의 WordPress에서 기본값이 되는 것은 괜찮지만 이전 버전에 소급 적용하는 것은 잘못된 것 같습니다.”

core의 전임 후원 기고가인 Gary Pendergast는 잠재적으로 수백만 명의 사이트 소유자가 알림을 보지 못하고 결국 안전하지 않게 될 이전 버전에 고정될 것이라는 문제가 있다고 반박했습니다. Stanphill은 허가를 받지 않은 경우 사람들의 사이트를 업데이트하는 것은 WordPress의 책임이 아니라고 주장했습니다.

Pendergast는 "인터넷의 상당 부분에 대한 봇넷의 토대를 마련하지 않는 것이 우리의 책임입니다."라고 말했습니다.

WordPress는 2013년 3.7에서 자동 업데이트 시스템이 도입되었을 때보다 웹에서 훨씬 더 많은 공간을 차지합니다. 플랫폼의 시장 점유율은 2019년 8월 기준 상위 1000만 웹사이트의 34.5%로 성장했습니다. 3.7을 실행하는 사이트는 비공식적으로 약 200만으로 추정되지만 정확한 수는 확인되지 않았습니다.

핵심 기고자 Mary Baum은 "우리가 무의식적으로 누군가에게 진정한 악을 행할 수 있는 플랫폼을 제공한다면 우리는 결과를 초래할 수 있을 만큼 충분히 큽니다."라고 말했습니다.

명시적 동의의 부족과 파손 가능성은 계획에 반대하는 사람들의 가장 큰 두 가지 우려였습니다. 찬성하는 사람들은 수백만 개의 웹 사이트를 깨뜨리지 않고 수행할 수 있다고 믿습니다. 전 보안 팀 리더인 Aaron Campbell은 계층형 업데이트 롤아웃의 장점을 다음과 같이 강조했습니다.

테스트 기반(Ian이 제안한 계획의 일부)으로 3.7 사용자부터 시작하는 것에 대해 말하자면, 사용자가 스스로 하는 데 어려움을 겪는 사용자에게 제공할 수 있는 가장 좋은 점 중 하나는 버전마다 느린 업데이트입니다. 3.7 사이트 대시보드에 있는 버튼은 사이트를 5.2로 업데이트합니다. 우리는 4.6->4.7까지 3.7->3.8, 3.8->3.9 등을 업데이트할 것입니다. 3.7에서 4.7로의 더 부드러운 경로를 제공하고 필요한 경우 진행 과정에서 개선할 수 있는 많은 부분을 제공합니다.

롤업을 하면 장단점이 있는 것 같아요. 그 중 하나는 DB 변경 사항으로, 한 번의 업데이트로 일괄 처리되지 않고 지난 6년 동안 발생한 것과 동일한 청크로 롤아웃됩니다. 메모리 및 시간 제한 오류도 줄어들 것 같습니다.

이전 P2 토론에서 언급했듯이 Nacin은 핵심 팀의 계획은 항상 주요 버전에 대한 자동 업데이트를 제공하는 것이라고 반복했습니다.

약간의 역사와 맥락을 공유하고 싶습니다. 물론 최신 버전의 WordPress만 공식적으로 지원됩니다. 3.7(2013년 10월)의 자동 백그라운드 업데이트는 계산을 완전히 바꿨습니다. 처음으로 이전 분기에 보안 릴리스를 제공할 수 있었습니다. 그러나 우리는 이러한 이전 버전을 발표하거나 문서화하지 않았고, 정기적으로 다운로드할 수 있도록 제공하거나 대시보드 → 업데이트 화면에 노출하지 않았습니다. 최신 버전의 WordPress만 공식적으로 지원된다는 우리의 자주 언급되는 정책을 변경할 의도는 없었고 지금도 마찬가지입니다. 그러나 지원되지 않는 오래된 사이트에 보안 수정 사항을 신속하게 푸시하는 기능을 구축하면 해당 기능을 사용하지 않을 생각이 없다는 사실을 깨달았습니다.

우리는 주요 릴리스에 대한 자동 업데이트를 더 빠르게 진행하여 해당 업데이트의 안전성과 복원력을 개선할 것으로 기대했습니다. 그러면 이 오래된 사이트를 3.7까지 최신 버전의 WordPress로 업데이트할 수 있었습니다. 그것이 항상 계획이었습니다. 우리는 거기에 도달하는 데 6년이 걸릴 것이라고 예상하지 못했습니다.

결국 장기적 목표는 주요 업데이트가 안정성이 입증되면 기본 업데이트를 "선택 해제"로 변경하는 것입니다. 이전 버전을 4.7로 자동 업데이트하는 제안은 점진적으로 그 방향으로 나아가기 위한 다음 단계가 될 것입니다. Nacin은 이전 사이트가 "WordPress 3.7+ 설치 덕분에 이미 옵트인되어 있다"고 주장합니다.

회의의 특정 시점에서 오래된 사이트를 4.7로 자동 업데이트하는 윤리에 대한 토론은 자동차 정비, 백신 접종, 썩어가는 시체 및 의견을 더 관련성 있게 만들기 위해 기여자가 현실 세계에서 가져올 수 있는 모든 것과 관련된 유추로 세분화되었습니다. 당면한 주제에.

Mark Jaquith는 "효과적으로 버려진 사이트에 대한 '자율성'에 대해 이야기하기는 어렵습니다."라고 말했습니다. "마치, 당신이 거리에 쓰러지면 당신이 매장에 동의하지 않았다고 해서 사회가 당신을 그곳에서 썩게 내버려 두지 않습니다."

핵심 기고자 John James Jacoby는 옵트아웃 대 옵트인의 묵시적 동의가 완전히 편하지는 않지만 궁극적으로 "필요한 일"이라는 데 동의했다고 말했습니다.

“하지만 이전의 Mark를 바꿔서 말하자면 WordPress가 대시보드에 '이봐 우리가 당신을 위해 이것을 해야 했고 여기에 이유가 있습니다.'라고 Jacoby가 말했습니다.

다른 사람들은 WordPress 3.7이 주요 업데이트를 선택하지 않는 한 자동 보안 업데이트만 수행할 것이라고 원래 전달한 후 사용자 서버에서 파일을 변경하는 것에 대해 더 강력하게 반대합니다.

Gabor Javorszky는 "나는 모든 소프트웨어에 대한 무인 주요 업데이트를 추진하는 것에 대해 매우 반대합니다."라고 말했습니다. “WordPress Core는 내 명시적인 요청 없이 내 서버의 코드를 변경할 권한이 없습니다. 마이너 버전에 대해 자체적으로 업데이트하는 것은 괜찮습니다. 그것이 제가 가입한 것이고 이것이 현재 자동 업데이터가 기본적으로 작동하는 방식이기 때문입니다. 주요 업데이트를 허용하도록 변경할 수 있고 업데이트를 전혀 허용하지 않도록 변경할 수 있지만 WP가 해당 선택을 재정의하는 것은 잘못된 것입니다."

마이클 파나가(Michael Panaga)는 사용자들이 무단 자동 업데이트로 인해 사이트가 손상되었다는 사실을 알게 되기보다 이전 웹사이트가 해킹당했다는 사실을 더 기꺼이 이해하게 될 것이라고 주장했습니다. 제안에 반대하는 사람들은 수백만 개의 사이트가 해킹되더라도 사람들의 사이트가 손상되지 않도록 하는 것이 WordPress의 책임이라고 생각하지 않습니다. 그들은 이것을 사용자의 문제 또는 호스팅 회사가 처리해야 하는 것으로 봅니다.

Nacin은 "합리적인 사람들은 이에 대해 동의하지 않을 수 있지만 사이트가 해킹당하는 경우 사용자의 책임이라고 생각하지 않는다는 것이 우리의 철학입니다."라고 말했습니다. "저희도 그 책임을 느끼고 있으며 사이트가 최신 상태로 유지되고 최신 버전의 WordPress를 실행하고 있는지 확인하기 위해 우리가 할 수 있는 모든 것을 할 것입니다."

공식적으로 결정된 사항은 없으나 계획을 실행할 수 있는 권한이 있는 사람들이 확고하게 결정되었고 어제 회의를 통해 공감대를 얻은 것으로 보입니다.

“결국에는 자동 업데이트 서버에 변경 사항을 푸시하여 옵트인 대신 옵트아웃을 할 수 있는 능력이 있는 사람이 거의 없으며 마음이 결정된 것처럼 들리므로 의미가 없습니다. P2 [토론]을 계속하는 것은 구현 단계로 이동하여 파괴를 최소화하는 것이 좋습니다.”라고 WordPress 개발자 Earle Davies가 말했습니다.

Nacin은 토론에 자신의 목소리를 빌려준 기고자들에게 감사를 표했으며 2007년으로 거슬러 올라가는 이전 결정을 문서화하는 몇 가지 후속 게시물과 향후 몇 일 내에 메이크/코어를 위한 로드맵이 게시될 것이라고 말했습니다.

Nacin은 “여러분 모두가 이 주제에 대해 이야기하기 위해 나타나서 정말 기쁩니다.”라고 말했습니다. “10년이 지난 후에도 WordPress 커뮤니티와 사용자에 대한 관심에 깊은 인상을 받았습니다. 웹은 그럴 자격이 있습니다.”