WordPress'in Eski Sürümlerini 4.7 Sparks Hararetli Tartışmaya Otomatik Güncelleme Önerisi

WordPress katkıda bulunanlar, geliştiriciler ve topluluk üyeleri şu anda eski sürümler için güvenlik desteği ile ilgili yeni bir politika uygulayacak bir teklifi tartışıyorlar. Tartışma, güvenlik ekibi lideri Jake Spurlock'un güvenlik düzeltmelerini eski sürümlere geri aktarmaya yönelik farklı yaklaşımlar hakkında geri bildirim istemesiyle geçen hafta başladı. Bu tartışmanın ardından, Automattic sponsorluğunda WordPress çekirdeğine tam zamanlı katkıda bulunan Ian Dunn, yeni bir politika ile ilerlemek için bir teklif yayınladı:

En son 6 sürümü destekleyin ve desteklenmeyen siteleri desteklenen en eski sürüme otomatik olarak güncelleyin.

Bu, şu anda desteklenen sürümlerin 4.7 – 5.2 olacağı ve 3.7 – 4.6 dallarının sonunda otomatik olarak 4.7'ye güncelleneceği anlamına gelir.

Uygulamada bu, her şube için yaklaşık 2 yıl destek sağlar ve mevcut sitelerin kabaca %10'u sonunda otomatik olarak 4.7'ye güncellenir. 5.3 yayınlandığında, desteklenen en eski sürüm 4.8 olacaktır.

Dunn, eski siteleri bir ana sürümden diğerine kademeli olarak güncellemeden önce sorunları belirlemek için küçük bir site alt kümesini test etmeyi içeren yeni politikanın uygulanması için ayrıntılı bir planın ana hatlarını çizdi (tümü aynı anda değil). Site yöneticilerine, otomatik güncellemelerden en az 30 gün önce e-postalar ve yöneticideki bildirimlerle bilgilendirilecek ve bu da devre dışı bırakma fırsatı da sunacaktır.

Teklif, bazı katkıda bulunanların desteklediği, bazılarının kullanıma sunmadaki değişiklikler lehine ve diğerlerinin eski sitelerin ana sürümlere otomatik olarak güncellenmesi fikrine kesin olarak karşı çıktığı düzinelerce yorum aldı.

Hakim endişelerden biri, pek çok yöneticinin, çalışmayan e-posta adresleri nedeniyle veya yönetici gösterge tablolarına yeterince sık giriş yapmamaları nedeniyle herhangi bir bildirim almayacak olmasıdır. Muhalifler ayrıca, yükseltme yapamayan siteler için geri dönüşler olsa da, eklentiler veya temalarla ilgili sorunlar nedeniyle bazı sitelerin WordPress'in algılayamayacağı şekilde bozulabileceğini iddia ediyor.

Glenn Messersmith, "Bir arka uç bildirimi, güvenilir e-posta iletişiminin eksikliğini telafi etmeye bile başlamaz" dedi. “Siteleri bir kez geliştirildikten sonra arka plana asla girmeyen tonlarca site sahibi var. Bunlar, e-posta adresi uzun süredir devam eden bir geliştiricinin adresi olduğu için e-posta bildirimleri almayacak kişilerdir.

“Hiç bir bildirim görmemiş olanlar için herhangi bir hata tespitinin bir güvenlik ağı görevi görmesine imkan yok. Bir site sahibinin, bir güncelleme komut dosyasının muhtemelen algılayamayacağı, sitelerinin 'bozuk' olduğunu düşünmesinin her türlü yolu vardır.”

Terk edilmiş sitelerin kırılması veya yöneticilerin büyük ölçüde terk edilmiş bir eklentiye güvenmesi konusundaki endişelere yanıt olarak Dunn, mevcut teklif kapsamında bu tür durumların kaçınılmaz olabileceğini kabul etti.

Dunn, "Bu duruma kesinlikle sempati duyabilirim, ancak sınırı bir yere çekmemiz gerekiyor" dedi. “Sınırsız kaynağımız yok ve mevcut politikanın tüm WordPress ekosistemi için zararlı etkileri var.

“Gerçekte, seçimler asla tamamen iyi bir şey ile tamamen kötü bir şey arasında değildir; onlar her zaman rakip takaslar arasındadır.

"Az sayıda site sahibinin sitelerini yükseltmek için fazladan iş yapmak zorunda kalmasının kesinlikle kötü olduğuna katılıyorum, ancak genel olarak bu, güvenlik ekibimizin son derece zahmetli bir destek politikası tarafından engellenmesinden çok, çok daha iyi. ”

Teklif Yazarı “Kimse Güncellemeye Zorlanmaz” İddiasında Bulunuyor; Muhalifler, Kullanıcıların Devre Dışı Bırakmasını Gerektirmenin Rıza Olmadığını Savunuyor

Muhtemelen siteleri kırma sorununa ek olarak, teklife karşı çıkanlar, site yöneticilerinden açık onay almadan WordPress'in bir güncellemeyi zorlamasıyla aynı fikirde değiller. Kullanıcılara ana çekirdek sürümler için otomatik güncellemeleri seçmenin bir yolunu sağlamak, Matt Mullenweg'in 2019'da üzerinde çalışmak üzere belirlediği dokuz projeden biridir. Ancak, bu teklifin planı, site sahiplerinin 3.7'yi gerektirmesi nedeniyle daha agresiftir. – 4,6 şube, kademeli olarak 4.7'ye otomatik olarak güncellenmek istemiyorsa devre dışı bırakılabilir.

Dunn, "Ne olursa olsun hala temsilcilikleri elinde tutuyorlar, kimse güncelleme yapmaya zorlanmayacak, herkes kendi sitesi üzerindeki kontrolü elinde tutuyor ve isterlerse devre dışı bırakabilir" dedi. “Varsayılan olarak bir şeyin açık olması, birini bir şey yapmaya zorlamaktan çok farklıdır. Devre dışı bırakmayı çok kolaylaştıracağız - sadece bir eklenti yükleyin, yapılandırma gerekmez - ve devre dışı bırakma talimatları her e-postaya ve yönetici bildirimine eklenecektir."

Dunn, bu güncellemeleri kimlerin alacağına ilişkin bir yorumda daha fazla açıklama yaptı:

Kimse zorlanmayacak, bunun yerine bir vazgeçme süreci olacaktı. Birisi ana sürümlerde otomatik güncellemeleri zaten devre dışı bıraktıysa, buna saygı duyulur ve siteleri güncellenmez.

Birisi e-postadaki devre dışı bırakma bağlantısını tıkladıysa veya yönetici bildirimindeki devre dışı bırakma düğmesini tıkladıysa, güncellemeler de devre dışı bırakılır.

Güncellemeleri alacak olan tek kişi:

1) Güncellemeyi istiyorum
2) umursama
3) Sitelerini veya e-posta hesaplarını terk ettiler

Tartışmaya katılan birkaç katılımcı, bu siteleri 4.7'ye alma sürecinin, güncellemeyi devre dışı bırakmayanları zorlamak yerine neden onay için kabul edilemeyeceğini sordu. Devre dışı bırakma mekanizması ne kadar uygun olursa olsun, birinin yerinde olması rıza anlamına gelmez. Bu sürece zorlanacak olan birçok site sahibi, 3.7 yayın gönderisinin özelliği açıkladığı gibi, bakım ve güvenlik güncellemelerini seçmenin ve sitelerini "uyurken güncellemeler" yapmak üzere bırakmanın güvenli olacağını düşündü.

UpdraftPlus yaratıcısı David Anderson, "Güvensiz siteler kötü, ancak tartışmalı olarak, bu mekanizma tarafından kendisine verilen gücü geriye dönük olarak genişletmek daha kötü" dedi. “Potansiyel olarak güvene + itibara güvensizlikten daha fazla zarar verebilir. Büyük gösterge panosunun, eski sürümlerde yaklaşan terk edilme uyarısı + güncelleme ihtiyacı konusunda çirkin, kaldırılamaz bildirimlerin daha iyi olacağını iddia ediyorum. Site sahibinin sorumluluk almasına izin verin. Dadı oynamayın, güveni kötüye kullanmayın, siteleri kırmayın ve ardından bunun nasıl gerekli olduğu hakkında tali zararlar hakkında blog yazıları yazmayın. Kırık bir siteye uyanan hiç kimse bundan memnun olmayacak. ”

WordPress 3.7 sürüm lideri ve WordPress'in otomatik arka plan güncellemeleri özelliğinin ortak yazarı Andrew Nacin, teklifin arkasındakileri WordPress'in yalnızca en son ana sürümü desteklediğini ve hiçbir zaman resmi olarak eski sürümleri desteklemediğini açıklamaya teşvik etti.

Nacin, "Tabii ki desteklemek için çok çalışmak gerekiyor" dedi. “Ancak yine de kuzey yıldızımıza bağlı kalmalıyız, bu da WordPress'in sürümden sürüme geriye dönük uyumlu olması, WordPress kullanıcılarının hangi sürümü çalıştırdıkları konusunda endişelenmelerine gerek olmaması ve eğer varsa siteleri güncel tutmamız gerektiğidir. Yapabiliriz."

Nacin, tüm sitelerin eninde sonunda en son sürümde olması için kademeli olarak büyük sürümleri otomatik güncellemeler olarak kullanmaya geçişi içeren otomatik güncellemeleri tanıtmak için orijinal strateji hakkında daha fazla bağlam sundu:

İlk olarak, otomatik arka plan güncellemelerini ilk yayınladığımızda, bir sonraki büyük çabamızın önümüzdeki birkaç yıl içinde büyük otomatik güncellemeleri yayınlamak olacağını düşündük. Pratikte bunu istediğimiz zaman yapabiliriz ve aslında 3.7 bunu bir bayrak olarak destekledi. Ancak fikir, enerjiyi sandboxing, beyaz ekran koruması, geri alma işlevimizi iyileştirme vb. için harcayacaktık, bu nedenle başarı oranımız ana sürümler için küçük sürümler kadar yüksekti. (Başarısızlık oranı, kopyalanması gereken dosya sayısıyla bir miktar doğrusal olarak ölçeklenir ve ayrıca dosyaların eklenmesi gerektiğinde sadece değiştirilmek yerine daha karmaşık hale gelir.) Bunu yaptıktan sonra, tüm siteleri güncellemeye başlayacağız. en son sürüme geçin ve yedeklemeyi durdurun. Belli ki hala buraya gelmedik.

Teklifin genel olarak "harika bir plan" olduğunu belirtti ancak kullanıcılara güncellemenin güvenli olduğunu ve WordPress'in yalnızca en son sürümü desteklemeyi amaçladığını bildirmenin yararlarını vurguladı.

Tartışmaya katılanların çoğu, güvenlik ekibinin WordPress'in eski sürümlerine yönelik düzeltmeleri desteklemeyi bırakmasından yana. Rakipler için cevapsız kalan soru, eski siteleri güncellemeye zorlamanın neden WordPress'in sorumluluğunda olduğudur.

Will Stocks, "Bence, başaramadıkları siteleri büyük/kırık sürümlere güncellemenin WordPress'in kararı olması gerektiğini düşünmüyorum, ancak bu dalları korumanın durdurulması gerektiğini düşünüyorum" dedi. “Siz (WordPress) altyapıya veya iş süreçlerine sahip değilsiniz veya bu siteleri yönetmek için verilen desteği anlamazsınız. Bu sitelerin bugün hala bu sürümde olmasının ve geçmişte yükseltme yapmamasının da bir nedeni var.”

Ana sürümlerde rıza dışı güncellemeleri zorlamadan güvenlik ekibinin sınırlı kaynaklarına saygı göstermek için hala bir sınır çizebilecek başka yaklaşımlar da var. WPCampus direktörü Rachel Cherry, teklif hakkında yorum yaptı ve WordPress'i bu siteleri güncellemeden önce onay vermeye şiddetle çağırdı:

Zorla güncellemelerin teknik sorunlara yol açıp açmayacağının ve asıl sorunu tamamen gözden kaçırmanın yabani otlarına giriyoruz.

İzin vermedikleri zaman insanların yazılımlarını zorla güncellemeyi tartışıyoruz.

Ve ne amaçla? Buradaki asıl problem nedir? Eski sürümleri güncelleme konusunda endişelenmek istemediğimiz için mi?

Bu sorunu çözmenin başka yolları da var.

Yayınlar için EOL desteği konusunda net bir politika yapabiliriz.

Çekirdeğe, kullanıcının otomatik güncelleme isteyip istemediğini seçmesine izin veren bir ayar ekleyebiliriz ve bu karar vericidir. O zaman rızamız var.

Güncellemelerle ilgili eğitim ve iletişim üzerinde çalışabiliriz.

İnsanlara sitelerinin güncelliğini yitirdiğini ve güvensiz olduğunu ve eğitim ve en iyi uygulamalara bağlantılar ile birlikte en kısa sürede güncellemeleri gerektiğini e-posta ile gönderebiliriz. Hâlâ yardıma ihtiyaçları varsa, onları bir profesyonele ulaşmaya teşvik edin.

İlerlemek için bu sorunu çözebiliriz, ancak hiçbir zaman bir izin mekanizmasını devreye sokmadığımız için geriye dönük rıza göstermedik.

Birisi sitelerini güncellemediyse, bunu bir nedenden dolayı yapmıştır. Ya da ilgisizlik. Her iki durumda da, bu şekilde girip insanların web sitelerini değiştirmeye hakkımız yok.

Tartışmaya katılanlar hâlâ önerilen politika değişikliğinin olası sonuçlarıyla boğuşuyorlar. Küçük güncellemelerin otomatik güncellemeler kadar güvenilir olduğu kanıtlanmıştır. Dunn, 3.7.29 otomatik güncellemesinin 3.7.28'e geri alınması gereken tek bir hata olduğunu bildirdi. Bu kadar eski sitelere büyük güncellemeler göndermek için otomatik güncelleme sistemini kullanmak, henüz kapsamlı bir şekilde test edilmemiştir.

"3.7 -> 5.x sürümlerini otomatik güncelleme yapsak da yapmasak da, bunun gelecekte (5.x -> x.x+) yapmaya başlamayı umduğumuz bir şey olduğunu açıkça belirtmeyi tamamen destekliyorum," Jeremy Felt önerisi üzerine yorum yaptı. “Bunu desteklemek için test altyapısı ve kod çalışması kesinlikle her iki şekilde de yapılmalıdır.” Felt ayrıca, otomatik güncellemeleri devre dışı bırakmak için resmi olarak desteklenen bir eklenti sağlama planının yanı sıra, önerilen sürümler için kademeli dağıtım zamanlamasını takdir ettiğini söyledi.

Teklif üzerinde tartışma hala açık, ancak şu ana kadar, site sahiplerini potansiyel olarak saldırıya uğramaktan kurtarmak niyetiyle olsa bile, WordPress'in açık bir onay olmadan ana sürüm güncellemelerini zorlama hakkına sahip olup olmadığı konusunda katılımcılar arasında temel bir anlaşmazlık var gibi görünüyor. .

“Kesin olan bir şey var ki, çoğumuz bu asil niyetlere düşkünken, şu ana kadar çoğunluğun endişesi gibi görünüyor, İnternetin hayırsever derebeyi olmanın WP'nin ilerlemesi için iyi bir imaj olduğundan pek emin değilim. ”, eklenti geliştiricisi Philip Ingram dedi.