Jak sprawdzić, czy zainstalowane wtyczki nie są już w katalogu wtyczek?

Kiedy pisaliśmy o tym, dlaczego wtyczki czasami znikają z katalogu wtyczek WordPressa, wywołało to zdrową dyskusję w komentarzach. Jednym z poruszanych tematów dyskusji jest to, czy użytkownicy powinni być powiadamiani o zniknięciu wtyczki, a jeśli tak, to w jaki sposób?

Obecnie, gdy wtyczka jest ukryta w katalogu, użytkownicy nie są powiadamiani. Jeśli zostanie usunięty z powodu luki w zabezpieczeniach, a autor zdecyduje się nie naprawiać tego ani nie przenosić wtyczki w inne miejsce, takie jak GitHub, użytkownicy pozostają w ciemności.

Donna Cavalier podzieliła się ostatnim przykładem, dlaczego użytkownicy powinni być powiadamiani. Contact Form DB to popularna wtyczka, która zapisuje w bazie danych przesłane formularze kontaktowe z wielu popularnych wtyczek Contact Forms. Na dzień 30 października 2016 r. był aktywnie zainstalowany w ponad 400 tys. witryn.

Około miesiąc temu wtyczka została ukryta z powodu luki w zabezpieczeniach. Zamiast wypuścić łatę, Michael Simpson, twórca Contact Form DB, przeniósł wtyczkę na GitHub, a następnie wydał nową wersję, która załatała lukę. Simpson mówi, że osoba z zespołu recenzentów wtyczek, z którą rozmawiał, była protekcjonalna, nieprofesjonalna i nacierała go w niewłaściwy sposób.

„Cieszę się, że mogę rozwiązać wszelkie problemy i spełnić wszelkie standardy, ale jestem na granicy mojej cierpliwości” — powiedział Simpson.

„Staram się być dobrym obywatelem i odwdzięczać się społeczności. Pracuję w niezliczonych godzinach od prawie siedmiu lat. Kiedy jestem traktowany w ten sposób, wygląda na to, że WordPress nie docenia mnie ani mojego wkładu w swoją społeczność.

„W każdym razie umieściłem kod na GitHub i nadal będę go wspierać. Ale w tym momencie nie jestem pewien, czy chcę mieć do czynienia z takimi ludźmi, aby ponownie umieścić wtyczkę na tej stronie. Nie potrzebuję frustracji”.

Jeśli korzystasz z bazy danych Contact Form DB, jak najszybciej zaktualizuj ją do wersji 2.10.30, ponieważ zawiera ona wspomnianą wyżej poprawkę bezpieczeństwa.

Użytkownicy Contact Form DB nie mogą automatycznie instalować aktualizacji z GitHub bez instalowania wtyczki aktualizującej. Naraża to tysiące witryn na ryzyko.

Jak się dowiedzieć, kiedy zainstalowane wtyczki nie są już w katalogu?

W komentarzach do naszego artykułu czytelnik Tavern Central Geek udostępnił linki do kilku wtyczek mających na celu dostarczenie przydatnych informacji, takich jak to, czy wtyczka została porzucona i lepsze informacje o zgodności wtyczek.

Jedna z wymienionych przez niego wtyczek nazywa się No Longer in Directory, opracowana przez White Fir Design. Wtyczka dodaje stronę do zaplecza WordPress, która informuje użytkowników, czy którakolwiek z zainstalowanych wtyczek jest dostępna w katalogu wtyczek. Zawiera również osobno listę zainstalowanych wtyczek, które nie były aktualizowane od dwóch lat lub dłużej.

Sprawdzenie odbywa się przy użyciu nazwy folderu katalogu wtyczek. Autor zauważa, że ​​może to prowadzić do oflagowania wtyczek, które nigdy nie znajdowały się w katalogu wtyczek, jeśli używają tej samej nazwy, co wtyczka, która była w tym katalogu w przeszłości. Jeśli napotkasz taką sytuację, zachęcamy do utworzenia nowego wątku na forum wsparcia wtyczki.

Jak dotąd No Longer in Directory jest aktywnie instalowany w ponad 1 tys. witrynach. Spośród łącznie sześciu recenzji, jego średnia ocena to 4,8 na 5 gwiazdek. Przetestowałem wtyczkę z WordPress 4.8 alpha i nie napotkałem żadnych problemów.

Jeśli jest to funkcja, którą chciałbyś, aby została zaimplementowana w WordPressie, rozważ zagłosowanie na nią. Jak dotąd pomysł zdobył 43 głosy ze średnią pięciogwiazdkową oceną. Mika Epstein, przedstawicielka katalogu wtyczek, odpowiedziała na ten pomysł cztery lata temu, zauważając, że trwają nad nim prace.

Jak wspomniał Epstein w naszym poprzednim artykule, wyjaśnienie DLACZEGO wtyczka została zamknięta jest skomplikowane.

„Oczywiście ostatnią rzeczą, jakiej chcemy, są ludzie, którzy zostali zhakowani, ale daje nam to kilka opcji i wszystkie mają wady” – powiedziała.

„Nie byliśmy w stanie określić sposobu, w jaki można by powiedzieć ludziom: „Ta wtyczka zniknęła, nie używaj jej” i „Ta wtyczka zniknęła, ale użyj jej, jeśli chcesz”. bez narażania użytkowników na ryzyko”.

Jeśli wtyczka zostanie trwale usunięta z katalogu, użytkownicy powinni zostać powiadomieni

Uważam, że użytkownicy powinni zostać poinformowani, jeśli wtyczka zostanie trwale usunięta z katalogu. Nie ma sensu powiadamiać użytkowników, jeśli jest tymczasowo ukryty z powodu naruszenia wytycznych lub problemu z bezpieczeństwem. Ponadto między powiadomieniami o aktualizacji a powiadomieniami administratora użytkownicy otrzymują wystarczającą liczbę powiadomień bez zmian.

Nie jestem pewien, czy powiadomienie powinno być powiadomieniem administratora, ponieważ już udokumentowaliśmy, w jaki sposób autorzy wtyczek używają ich do reklamowania. Użytkownicy coraz bardziej się przez nie denerwują, a ich użyteczność spada.

Pojawia się też pytanie, kto odpowiada za informowanie użytkowników. Ta odpowiedzialność powinna spaść na autora wtyczki. Gdybym był autorem wtyczki i nie był zainteresowany przyjęciem przez kogoś mojej wtyczki i chciałem, aby została ona usunięta z katalogu, zrobiłbym to, wypychając ostatnią aktualizację.

Wyjaśniłbym w opisie wtyczki i dzienniku zmian, że wsparcie i aktualizacje nie będą już występować i że użytkownicy powinni szukać alternatyw. Mogę nawet zasugerować kilka, które przychodzą mi do głowy. Następnie, po około miesiącu, przesyłam do zespołu ds. weryfikacji wtyczek prośbę o ich trwałe usunięcie.

Dałoby to użytkownikom uwagę i mnóstwo czasu na szukanie alternatywy. Wtyczka Post Template jest dobrym przykładem tego pomysłu w działaniu. Oto powiadomienie, które wyświetlało się na wszystkich stronach ustawień, zanim zniknęło.

Od wersji 4.0.0 wtyczka została wydana na licencji komercyjnej. Dodano nowe funkcje, takie jak dodawanie niestandardowych pól do szablonów. Co więcej, ta wersja została wycofana, co oznacza, że ​​nie będą wprowadzane żadne dalsze poprawki błędów, nowe funkcje i poprawki kompatybilności dla nowych wersji WordPressa. Jeśli chcesz kupić najnowszą wersję szablonu posta, odwiedź stronę internetową wtyczki.

Powiadamiając użytkowników z wyprzedzeniem, odpowiedzialność za znalezienie alternatywy spada na użytkownika.

Simpon powiedział, że będzie pracował nad ponownym umieszczeniem wtyczki na liście, ale może to zająć trochę czasu, ponieważ jest zawalony pracą. W momencie publikacji wtyczka nie jest dostępna na WordPress.org.

Niefortunna sytuacja dla użytkowników formularza kontaktowego DB

Podczas gdy użytkownicy sympatyzowali z Simpsonem z powodu jego decyzji, myślę, że jest to częściowo nieodpowiedzialne. Jeśli wtyczka ma lukę w zabezpieczeniach, załatanie jej i udostępnienie jej tak szybko, jak to możliwe, powinno mieć pierwszeństwo przed tym, jak się czujemy w danej sytuacji.

Zamiast odłożyć na bok różnice i wypuścić aktualizację, aby załatać lukę w zabezpieczeniach, Simpson zdecydował się przenieść wtyczkę i poprawioną wersję na GitHub. Decyzja, by nie współpracować z zespołem sprawdzającym wtyczki, naraziła tysiące witryn na ryzyko, bez łatwego sposobu na aktualizację przez użytkowników.

Miejmy nadzieję, że Simpson będzie współpracować z zespołem, aby jak najszybciej umieścić w katalogu poprawioną wersję bazy danych Contact Form DB. Do tego czasu, jeśli korzystasz z bazy danych Contact Form DB, zaktualizuj ją ręcznie do wersji 2.10.30, ponieważ usuwa ona lukę w zabezpieczeniach.