Como verificar se os plug-ins instalados não estão mais no diretório de plug-ins

Quando escrevemos sobre por que os plugins às vezes desaparecem do diretório de plugins do WordPress, isso gerou uma discussão saudável nos comentários. Um dos tópicos de discussão levantados é se os usuários devem ou não ser notificados quando um plugin desaparece e, em caso afirmativo, como?

Atualmente, quando um plugin está oculto no diretório, os usuários não são notificados. Se for removido devido a uma vulnerabilidade de segurança e o autor optar por não corrigi-lo ou mover o plug-in para outro lugar, como o GitHub, os usuários ficarão no escuro.

Donna Cavalier compartilhou um exemplo recente de por que os usuários devem ser notificados. Contact Form DB é um plugin popular que salva envios de formulários de contato de muitos plugins de formulários de contato populares para o banco de dados. Em 30 de outubro de 2016, ele foi instalado ativamente em mais de 400 mil sites.

Aproximadamente um mês atrás, o plugin estava oculto devido a uma vulnerabilidade de segurança. Em vez de lançar um patch, Michael Simpson, criador do Contact Form DB, moveu o plugin para o GitHub e posteriormente lançou uma nova versão que corrigiu a vulnerabilidade. Simpson diz que a pessoa da equipe de revisão de plugins com quem ele falou foi condescendente, pouco profissional e o incomodou.

“Fico feliz em resolver qualquer problema e atender a qualquer padrão, mas estou no limite da minha paciência”, disse Simpson.

“Procuro ser um bom cidadão e retribuir à comunidade. Dediquei incontáveis ​​horas por quase sete anos. Quando sou tratado assim, parece que o WordPress não valoriza a mim ou minha contribuição para sua comunidade.

“De qualquer forma, coloquei o código no GitHub e continuarei a apoiá-lo. Mas, neste momento, não tenho certeza se quero lidar com pessoas assim para listar novamente o plug-in neste site. Não preciso da frustração.”

Se você usa o Contact Form DB, atualize para 2.10.30 o mais rápido possível, pois contém a correção de segurança acima mencionada.

É impossível para os usuários do Contact Form DB instalar automaticamente as atualizações do GitHub sem instalar um plugin atualizador. Isso deixa milhares de sites em risco.

Como saber quando os plugins instalados não estão mais no diretório

Nos comentários do nosso artigo, o leitor do Tavern Central Geek compartilhou links para alguns plugins destinados a fornecer informações úteis, como se um plugin foi abandonado e melhores informações de compatibilidade de plugins.

Um dos plugins que ele menciona chama-se No Longer in Directory, desenvolvido pela White Fir Design. O plug-in adiciona uma página ao back-end do WordPress que informa aos usuários se algum dos plug-ins instalados está disponível no diretório de plug-ins. Ele também lista separadamente os plugins instalados que não foram atualizados em dois anos ou mais.

A verificação é realizada usando o nome da pasta do diretório do plugin. O autor observa que isso pode fazer com que plugins que nunca estiveram no diretório de plugins sejam sinalizados se usarem o mesmo nome de um plugin que estava no diretório no passado. Se você encontrar essa situação, recomendamos criar um novo tópico no fórum de suporte do plug-in.

Até agora, o No Longer in Directory está instalado ativamente em mais de 1K sites. De um total de seis comentários, sua classificação média é de 4,8 de 5 estrelas. Testei o plugin com o WordPress 4.8 alpha e não encontrei nenhum problema.

Se este é um recurso que você gostaria de ver implementado no WordPress, considere votar nele. Até agora, a ideia tem 43 votos com uma classificação média de cinco estrelas. Mika Epstein, representante do diretório de plug-ins, respondeu à ideia há quatro anos, observando que ela estava sendo trabalhada.

Como Epstein mencionou em nosso artigo anterior, explicar POR QUE um plugin foi fechado é complexo.

“Obviamente, a última coisa que queremos são pessoas sendo hackeadas, mas isso nos apresenta algumas opções e todas elas têm falhas”, disse ela.

“Não conseguimos determinar uma maneira de dizer às pessoas 'Este plugin sumiu, não o use' e 'Este plugin sumiu, mas use-o se quiser'. sem colocar os usuários em risco.”

Se um plug-in for removido permanentemente do diretório, os usuários devem ser notificados

Acredito que os usuários devem ser informados se um plugin for removido permanentemente do diretório. Não faz sentido notificar os usuários se estiver temporariamente oculto devido à violação de uma diretriz ou um problema de segurança. Além disso, entre os avisos de atualização e administração, os usuários estão recebendo notificações suficientes.

Não tenho certeza se a notificação deve ser um aviso do administrador, pois já documentamos como os autores de plug-ins os estão usando para anunciar. Os usuários estão cada vez mais irritados com eles e sua utilidade está em declínio.

Há também a questão de quem é responsável por informar os usuários. Esta responsabilidade deve recair diretamente sobre o autor do plugin. Se eu fosse um autor de plugin e não estivesse interessado em alguém adotar meu plugin e quisesse removê-lo do diretório, eu faria isso enviando uma última atualização.

Eu explicaria na descrição do plugin e no changelog que o suporte e as atualizações não ocorreriam mais e que os usuários deveriam buscar alternativas. Posso até sugerir alguns que me vêm à mente. Então, após cerca de um mês, eu enviaria uma solicitação à equipe de revisão do plug-in para removê-lo permanentemente.

Isso daria aos usuários um aviso e tempo de sobra para procurar uma alternativa. O plugin Post Template é um bom exemplo dessa ideia em ação. Aqui está o aviso exibido em todas as suas páginas de configurações antes de desaparecer.

Desde a versão 4.0.0, o plugin foi lançado sob licença comercial. Novos recursos, como a adição de campos personalizados aos modelos, foram adicionados. Além disso, esta versão foi descontinuada, o que significa que não serão implementadas mais correções de bugs, novos recursos e correções de compatibilidade para novas versões do WordPress. Se você quiser comprar a versão mais recente do Post Template, visite a página do plugin.

Ao notificar os usuários com antecedência, a responsabilidade passa para o usuário para encontrar uma alternativa.

Simpon disse que trabalhará para que o plugin seja listado novamente, mas pode levar algum tempo, pois ele está sobrecarregado de trabalho. No momento da publicação, o plugin não está disponível no WordPress.org.

Uma situação infeliz para usuários do formulário de contato DB

Embora os usuários simpatizem com Simpson sobre sua decisão, acho que é parcialmente irresponsável. Se um plug-in tiver uma vulnerabilidade de segurança, corrigi-lo e disponibilizá-lo o mais rápido possível deve ter precedência sobre como alguém se sente em relação a uma situação.

Em vez de deixar de lado as diferenças e enviar uma atualização para corrigir uma vulnerabilidade de segurança, Simpson optou por mover o plug-in e a versão corrigida para o GitHub. A decisão de não trabalhar com a equipe de revisão de plugins colocou milhares de sites em risco, sem uma maneira fácil para os usuários atualizarem.

Felizmente, Simpson trabalhará com a equipe para obter uma versão corrigida do Contact Form DB de volta ao diretório o mais rápido possível. Até lá, se você usar o Contact Form DB, atualize para a versão 2.10.30 manualmente, pois ela corrige a vulnerabilidade de segurança.