WordPress, Eski Siteleri 4.7'ye Otomatik Güncelleme Önerisini Uygulamaya Başlamaya Hazır

Dünyanın dört bir yanından WordPress katkıda bulunanlar, eski siteleri kontrollü bir şekilde 4.7 sürümüne otomatik güncelleme teklifiyle ilgili tartışmaya devam etmek için dün canlı bir toplantıya katıldılar. Buradaki fikir, sitelerin bir ana sürümden diğerine kademeli olarak güncellenmesidir (hepsi aynı anda değil). Tartışma, Ian Dunn ve güvenlik ekibi lideri Jake Spurlock'un yardımıyla WordPress 3.7 sürüm lideri Andrew Nacin tarafından yönetildi.

Toplantı sırasında katılımcıların yanıtlarına göre, site sahibinin açık izni olmadan eski siteleri güncelleme konusunda rahat olmayan bir avuç muhalif vardı; bu, e-postalar ve yönetici bildirimleri etkilenen herkese ulaşmadığında elde edilmesi zor.

Katkıda bulunanların çoğu, teklifle ilerlemek için en iyi uygulamayı bulmaya eğilimlidir; bu, esasen, WordPress'in en son sürümünde olmadıklarını bilmeyen normal kullanıcılar ve sitelerini terk edenler için cesur bir karar verir. Aktif olarak eski sürümlere geri dönmeyi seçen site sahipleri, büyük olasılıkla otomatik güncellemeleri zaten devre dışı bırakmıştır ve güncelleme sistemi bu kararlara saygı duyacaktır.

Dunn, tartışmanın amacının "fikirleri dinlemek ve umarım bir tür karara yaklaşmak" olduğunu söyledi. Başlangıçta, WordPress'in siteleri ana sürümlere otomatik olarak güncellemesi gerekip gerekmediğinden ziyade, pazarlama ve uygulama ayrıntılarına daha fazla odaklanarak başladı.

Spurlock, "Bence bu konuda büyük bir pazarlama hamlesine ihtiyaç var" dedi. "WordPress'teki son dakika siteleriyle ilgili tüm haberlerin önünde olmak ve bu güncellemeyi güncellenmekte olan milyonlarca site için büyük bir avantaj olarak çerçevelemek istiyoruz." WordPress İcra Direktörü Josepha Haden'in teşvikinden sonra, kullanıma sunma sürecini tartışmaya istekli olanlar, otomatik güncellemelerin kendilerinin daha temel meselesiyle ilgilenmek için geri çekildiler. Spurlock, güvenlik ekibinin eski siteler için sahip olduğu üç seçeneği özetledi:

1. Eski siteler için güvenlik güncellemelerini terk edin
2. Güvenlik güncellemelerini yüksek maliyetle devam ettirin
3. Eski siteleri güncellemesiz bırakarak siteleri manuel olarak güncelleyin.

Nacin, "Bu site sahiplerinin zaten altı yıla kadar yönetici bildirimi aldıklarını belirtmekte fayda var" dedi. "En eski siteler muhtemelen 30 e-postanın kuzeyini aldı. Ana sürüm otomatik güncellemeleri için destek eklemek için yeni bir özelliği (örneğin 5.3 veya 5.4'te) iletme yöntemimiz, 3.7 çalıştıran ve 3.8 ve daha yüksek bir sürüme taşımak istediğimiz eski bir siteyi nasıl ele alacağımızdan önemli ölçüde farklı olabilir.”

Katkıda Bulunanlar, Eski Sitelerden Güncellemeler Olmadan Ayrılmanın Sonuçlarını Tartıyor

Ana katkıda bulunan Zebulan Stanphill, ana sürümlere onay olmadan otomatik güncelleme yapılmasının en sesli muhaliflerinden biriydi.

Stanphill, "3.7'deki otomatik güncelleme özelliğinin büyük güncellemeler içerdiği duyurulmadı, bu yüzden bence aniden bunu içerecek şekilde değiştirmek yanıltıcı görünüyor" dedi. “Bir web sitesi üzerinde, sahibinin başlangıçta WordPress'e verdiğinden daha fazla kontrol sahibi olmak gibi geliyor. Otomatik büyük güncellemelerin WordPress'in yeni sürümlerinde varsayılan hale gelmesinde sorun yok, ancak bunu geriye dönük olarak eski sürümlere uygulamak bana yanlış geliyor.”

Core'a tam zamanlı sponsor olarak katkıda bulunan Gary Pendergast, sorunun potansiyel olarak milyonlarca site sahibinin bildirimi görmeyeceği ve sonunda güvensiz hale gelecek eski sürümlerde takılıp kalacağına karşı çıktı. Stanphill, izin vermedikleri takdirde insanların sitelerini onlar için güncellemenin WordPress'in sorumluluğu olmadığını savundu.

Pendergast, "İnternetin büyük bir bölümünün botnet'inin temelini atmamak bizim sorumluluğumuzdur" dedi.

WordPress, web üzerinde, otomatik güncelleme sisteminin 3.7'de devreye alındığı 2013'te olduğundan çok daha büyük bir ayak izine sahiptir. Platformun pazar payı, Ağustos 2019 itibariyle ilk 10 milyon web sitesinin %34,5'ine ulaştı. 3.7 çalıştıran sitelerin gayri resmi olarak 2 milyon civarında olduğu tahmin ediliyor, ancak kesin bir sayı doğrulanmadı.

Çekirdek katkıda bulunan Mary Baum, “Birine farkında olmadan gerçek kötülük yapması için bir platform verirsek, sonuçları olabilecek kadar büyüğüz” dedi.

Açık rıza eksikliği ve kırılma olasılığı, plana karşı çıkanların en önemli iki endişesiydi. Destekleyenler, milyonlarca web sitesini bozmadan yapılabileceğine inanıyor. Eski güvenlik ekibi lideri Aaron Campbell, kademeli bir güncelleme sunumunun avantajlarını vurguladı:

Test tabanı olarak 3.7 kullanıcı ile başlamaktan bahsetmişken (Ian'ın önerdiği planın bir parçası), kullanıcılara kendilerinin yapmakta zorlandıkları sunabileceğimiz harika şeylerden biri, sürümden sürüme yavaş bir güncellemedir. Bir 3.7 sitesinin kontrol panelindeki düğme, siteyi anlaşılır bir şekilde korkutucu olan 5.2'ye güncelleyecektir. 3.7->3.8'i, ardından 3.8->3.9'u vb. 4.6->4.7'ye kadar güncelleyeceğiz. 3,7'den 4,7'ye daha yumuşak bir yol sunacak VE gerekirse bu süreçte süreç üzerinde iyileştirmemiz için bize bolca yer verecek.

Toparlanmanın bazı faydaları olduğunu düşünüyorum. Bunlardan biri, tek bir güncellemede toplu olarak değil, son 6 yılda olduğu gibi parçalar halinde sunulacak olan DB değişiklikleridir. Daha az bellek ve zaman sınırı hatalarına da neden olacak gibi görünüyor.

Önceki P2 tartışmalarında belirttiği gibi, Nacin çekirdek ekibin planının her zaman ana sürümler için otomatik güncellemeler getirmek olduğunu yineledi:

Biraz tarihçeyi ve bağlamı paylaşmak istiyorum: Yalnızca WordPress'in en son sürümü elbette resmi olarak destekleniyor. 3.7'deki (Ekim 2013) otomatik arka plan güncellemeleri hesabı tamamen değiştirdi - ilk kez güvenlik sürümlerini eski şubelere gönderebildik. Ancak bu eski sürümleri duyurmadık veya belgelemedik, bunları düzenli olarak indirmeye sunmadık veya Gösterge Tablosu → Güncellemeler ekranına maruz bırakmadık. Yalnızca WordPress'in en son sürümünün resmi olarak desteklendiğine dair sık ​​sık belirttiğimiz politikamızı değiştirme niyeti yoktu ve hala da değil. Ancak, güvenlik düzeltmelerini desteklenmeyen eski sitelere hızlı bir şekilde gönderme yeteneğini geliştiriyorsak, bu özelliği kullanmamak aklımızı yitirirdi.

Ana sürümler için otomatik güncellemelerde daha hızlı ilerleme kaydetmeyi ve bu güncellemelerin güvenliğini ve esnekliğini artırmayı bekliyorduk. Bu, daha sonra bu eski siteleri 3.7'ye kadar WordPress'in daha yeni sürümlerine güncellememizi sağlardı. Plan hep buydu. Oraya varmamızın altı yıl alacağını beklemiyorduk.

Sonunda, uzun vadeli hedef, büyük güncellemeler için varsayılanı, kararlılıkları kanıtlandıktan sonra "devre dışı bırakma" olarak değiştirmektir. Eski sürümlerin otomatik olarak 4.7'ye güncellenmesi önerisi, bu yönde kademeli olarak ilerlemeye yönelik bir sonraki adım olacaktır. Nacin, daha eski sitelerin “WordPress 3.7+ kurulumunda olmaları nedeniyle zaten etkinleştirildiğini” iddia ediyor.

Toplantının belirli bir noktasında, eski siteleri otomatik olarak 4.7'ye güncelleme etiği etrafındaki tartışma, araba bakımı, aşılar, çürüyen cesetler ve katkıda bulunanların görüşlerini daha ilişkilendirilebilir kılmak için gerçek dünyadan alabilecekleri her şeyi içeren analojilere dönüştü. eldeki konuya.

Mark Jaquith, “Etkili bir şekilde terk edilmiş siteler için 'özerklik' hakkında konuşmak zor” dedi. "Mesela, sokağa düşersen, toplum orada çürümene izin vermez, çünkü sen gömülmeyi kabul etmedin."

Ana katkıda bulunan John James Jacoby, katılmama veya katılmama zımni onayı konusunda tamamen rahat olmadığını, ancak nihayetinde bunun “olması gereken bir şey” olduğu konusunda hemfikir olduğunu söyledi.

"Ancak Mark'ı daha önce ifade etmek gerekirse, sanırım Panoda 'Hey, bunu sizin için yapmak zorundaydık ve işte nedeni,'" dedi Jacoby.

Diğerleri, 3.7'nin büyük güncellemeleri seçmeye karar vermedikçe yalnızca otomatik güvenlik güncellemeleri gerçekleştireceğini ilk olarak bildirdikten sonra, WordPress'in kullanıcıların sunucularındaki dosyaları değiştirmesine daha şiddetle karşı çıkıyor.

Gabor Javorszky, “Herhangi bir yazılıma katılımsız büyük bir güncelleme yapılmasına kesinlikle karşıyım” dedi. “WordPress Core, açık bir şekilde sormadan sunucumdaki kodu değiştirme yetkisine sahip değil. Küçük sürümler için kendini güncellemesinde sorun yok, çünkü bunun için kaydoldum ve mevcut otomatik güncelleyici varsayılan olarak bu şekilde çalışıyor. Büyük güncellemelere izin verecek şekilde değiştirebilirim ve hiçbir güncellemeye izin vermeyecek şekilde değiştirebilirim, ancak WP'nin bu seçimi geçersiz kılması yanlış.”

Michael Panaga, kullanıcıların, sitelerinin yetkisiz bir otomatik güncelleme nedeniyle bozulduğunu öğrenmek yerine, eski web sitelerinin saldırıya uğradığını anlamaya daha istekli olacaklarını iddia etti. Teklifin karşıtları, milyonlarca site saldırıya uğrasa bile, insanların sitelerinin güvenliğinin ihlal edilmesini önlemenin WordPress'in sorumluluğu olduğuna inanmıyor. Bunu kullanıcının sorunu veya barındırma şirketlerinin çözmesi gereken bir şey olarak görüyorlar.

Nacin, "Makul insanlar bu konuda aynı fikirde olmayabilir ve olacaktır, ancak felsefemiz, sitelerinin saldırıya uğramasının yalnızca kullanıcının sorumluluğunda olduğunu düşünmüyoruz" dedi. "Biz de bu sorumluluğu hissediyoruz ve sitelerinin güncel kalmasını ve WordPress'in en yeni ve en iyi sürümünü çalıştırdıklarından emin olmak için kesinlikle elimizden gelen her şeyi yapacağız."

Resmi bir karar açıklanmadı, ancak planı uygulama yetkisine sahip olanlar kesin olarak kararlaştırıldı ve dünkü toplantıda fikir birliğine varılmış görünüyor.

"Günün sonunda, kaydolmak yerine bu devre dışı bırakma işlemini yapmak için değişikliği otomatik güncelleme sunucusuna gönderme yeteneğine sahip yalnızca birkaç kişi var ve görünüşe göre kararlarını vermiş gibi görünüyorlar, bu yüzden hiçbir anlamı yok. WordPress geliştiricisi Earle Davies, devam eden P2 [tartışmaları], uygulama aşamasına geçebilir ve yıkımı en aza indirmeye çalışabilir ”dedi.

Nacin, katkıda bulunanlara tartışmaya seslerini kattıkları için teşekkür etti ve takip eden bazı gönderiler olacağını ve muhtemelen 2007'ye kadar önceki kararları belgeleyen bir yol haritasının önümüzdeki günlerde yayınlanacağını söyledi.

Nacin, "Bu konu hakkında konuşmak için gelmenize gerçekten çok sevindim," dedi. "10 yıl sonra bile, WordPress topluluğundan ve kullanıcılarını ne kadar önemsediğinden derinden etkilendim. Web bunu hak ediyor.”