Как проверить, что установленных плагинов больше нет в каталоге плагинов

Когда мы написали о том, почему плагины иногда исчезают из каталога плагинов WordPress, это вызвало здоровую дискуссию в комментариях. Одна из поднятых тем обсуждения — должны ли пользователи уведомляться об исчезновении плагина, и если да, то как?

В настоящее время, когда плагин скрыт в каталоге, пользователи не уведомляются. Если он удаляется из-за уязвимости в системе безопасности, а автор решает не исправлять его или перемещать плагин куда-то еще, например, на GitHub, пользователи остаются в неведении.

Донна Кавалье поделилась недавним примером того, почему пользователи должны быть уведомлены. Contact Form DB — это популярный плагин, который сохраняет отправленные контактные формы из многих популярных плагинов контактных форм в базу данных. По состоянию на 30 октября 2016 года он был активно установлен более чем на 400 тысячах сайтов.

Примерно месяц назад плагин был скрыт из-за уязвимости в системе безопасности. Вместо выпуска исправления Майкл Симпсон, создатель базы данных Contact Form DB, переместил плагин на GitHub и впоследствии выпустил новую версию, исправляющую уязвимость. Симпсон говорит, что человек из команды проверки плагинов, с которым он разговаривал, был снисходительным, непрофессиональным и неправильно его растирал.

«Я рад решить любые проблемы и соответствовать любым стандартам, но мое терпение на пределе», — сказал Симпсон.

«Я стараюсь быть хорошим гражданином и отдавать долг обществу. Я провел бесчисленное количество часов в течение почти семи лет. Когда со мной так обращаются, кажется, что WordPress не ценит ни меня, ни мой вклад в сообщество.

«В любом случае, я выложил код на GitHub и буду продолжать его поддерживать. Но на данный момент я не уверен, что хочу иметь дело с такими людьми, чтобы повторно разместить плагин на этом сайте. Мне не нужно разочарование».

Если вы используете базу данных контактной формы, как можно скорее обновите ее до версии 2.10.30, так как она содержит вышеупомянутое исправление безопасности.

Пользователи базы данных контактной формы не могут автоматически устанавливать обновления с GitHub без установки подключаемого модуля обновления. Это подвергает риску тысячи сайтов.

Как узнать, что установленных плагинов больше нет в каталоге

В комментариях к нашей статье читатель Tavern Central Geek поделился ссылками на пару плагинов, предназначенных для предоставления полезной информации, например, о том, был ли плагин заброшен, и лучшей информации о совместимости плагинов.

Один из упомянутых им плагинов называется No Longer in Directory и разработан White Fir Design. Плагин добавляет страницу в серверную часть WordPress, которая информирует пользователей о том, доступны ли какие-либо из установленных плагинов в каталоге плагинов. Также отдельно перечислены установленные плагины, которые не обновлялись два года и более.

Проверка выполняется по имени папки каталога плагина. Автор отмечает, что это может привести к тому, что плагины, которые никогда не были в каталоге плагинов, будут помечены, если они используют то же имя, что и плагин, который был в каталоге в прошлом. Если вы столкнулись с такой ситуацией, вам рекомендуется создать новую тему на форуме поддержки плагина.

На данный момент No Longer in Directory активно установлен более чем на 1 тыс. сайтов. Из шести обзоров его средний рейтинг составляет 4,8 из 5 звезд. Я протестировал плагин с альфа-версией WordPress 4.8 и не обнаружил никаких проблем.

Если вы хотели бы, чтобы эта функция была реализована в WordPress, проголосуйте за нее. На данный момент идея набрала 43 голоса со средней оценкой в ​​пять звезд. Мика Эпштейн, представитель каталога плагинов, ответила на эту идею четыре года назад, отметив, что над ней работают.

Как упоминал Эпштейн в нашей предыдущей статье, объяснить, ПОЧЕМУ плагин был закрыт, сложно.

«Очевидно, что меньше всего мы хотим, чтобы людей взломали, но это дает нам несколько вариантов, и все они имеют недостатки», — сказала она.

«Мы не смогли найти способ сказать людям: «Этот плагин больше не используется, не используйте его» и «Этот плагин больше не используется, но используйте его, если хотите». не подвергая пользователей риску».

Если плагин навсегда удален из каталога, пользователи должны быть уведомлены

Я считаю, что пользователи должны быть проинформированы, если плагин навсегда удален из каталога. Нет смысла уведомлять пользователей, если он временно скрыт из-за нарушения правил или проблем с безопасностью. Кроме того, между обновлениями и уведомлениями администратора пользователи и так получают достаточно уведомлений.

Я не уверен, должно ли уведомление быть уведомлением администратора, поскольку мы уже задокументировали, как авторы плагинов используют их для рекламы. Пользователей они все больше раздражают, а их полезность снижается.

Также возникает вопрос, кто отвечает за информирование пользователей. Эта ответственность должна полностью лежать на авторе плагина. Если бы я был автором плагина и не был заинтересован в том, чтобы кто-то принял мой плагин, и хотел бы удалить его из каталога, я бы сделал это, выпустив последнее обновление.

Я бы объяснил в описании плагина и журнале изменений, что поддержки и обновлений больше не будет, и что пользователи должны искать альтернативы. Могу даже предложить несколько, которые приходят на ум. Затем, примерно через месяц, я отправлял запрос в группу проверки плагинов, чтобы удалить его навсегда.

Это дало бы пользователям возможность быть начеку и иметь достаточно времени для поиска альтернативы. Плагин Post Template — хороший пример этой идеи в действии. Вот уведомление, которое оно отображало на всех страницах настроек, прежде чем оно исчезло.

Начиная с версии 4.0.0 плагин выпускается под коммерческой лицензией. Добавлены новые функции, такие как добавление настраиваемых полей в шаблоны. Кроме того, эта версия прекращена, что означает, что дальнейшие исправления ошибок, новые функции и исправления совместимости для новых версий WordPress не будут реализованы. Если вы хотите купить последнюю версию шаблона сообщения, посетите веб-страницу плагина.

Уведомляя пользователей заранее, ответственность за поиск альтернативы переходит на пользователя.

Симпон сказал, что будет работать над повторным включением плагина в список, но это может занять некоторое время, так как он завален работой. На момент публикации плагин недоступен на WordPress.org.

Неблагоприятная ситуация для пользователей БД контактной формы

Хотя пользователи сочувствовали Симпсону в связи с его решением, я считаю его отчасти безответственным. Если у плагина есть уязвимость в системе безопасности, его исправление и доступность как можно скорее должны иметь приоритет над тем, как вы относитесь к ситуации.

Вместо того, чтобы отложить в сторону различия и выпустить обновление для исправления уязвимости в системе безопасности, Симпсон решил переместить плагин и исправленную версию на GitHub. Решение не работать с группой проверки плагинов поставило под угрозу тысячи сайтов, и у пользователей не было простого способа обновления.

Надеюсь, Симпсон будет работать с командой, чтобы как можно скорее вернуть исправленную версию БД контактной формы в каталог. До тех пор, если вы используете базу данных контактной формы, обновите ее до версии 2.10.30 вручную, так как она исправляет уязвимость в системе безопасности.