WordPress 準備開始實施將舊網站自動更新到 4.7 的建議

昨天，來自世界各地的 WordPress 貢獻者參加了一場熱烈的會議，繼續討論有關在受控推出的情況下將舊網站自動更新到 4.7 版的提議。 這個想法是網站會逐漸從一個主要版本更新到下一個版本（不是一次全部更新）。 討論由 WordPress 3.7 發布負責人 Andrew Nacin 在 Ian Dunn 和安全團隊負責人 Jake Spurlock 的幫助下主持。

根據與會者在會議期間的反應，有少數反對者不願意在未經網站所有者明確同意的情況下更新舊網站，當電子郵件和管理員通知無法到達所有受影響的人時，很難獲得。

大多數貢獻者都傾向於找到推進該提案的最佳實施方案，這對於可能不知道自己不在最新版本的 WordPress 和已放棄其網站的普通用戶來說，本質上是一個大膽的決定。 積極選擇保留舊版本的網站所有者很可能已經選擇退出自動更新，更新系統將尊重這些決定。

鄧恩說，他討論的目標是“聽取想法，並希望更接近某種決定。” 一開始，它更多地關注營銷和實施細節，而不是 WordPress 是否應該將網站自動更新到主要版本的問題。

“我認為圍繞這一點需要大力推動營銷，”Spurlock 說。 “我們希望領先於任何有關 WordPress 破壞網站的新聞，並且能夠將此更新視為數百萬正在更新的網站的主要好處。” 在 WordPress 執行董事 Josepha Haden 的鼓勵下，那些急於討論推出過程的人撤回了自己參與更核心的自動更新問題。 Spurlock 總結了安全團隊為舊站點提供的三個選項：

1. 放棄舊網站的安全更新
2. 繼續安全更新，代價高昂
3. 手動更新站點，使舊站點沒有更新。

“值得指出的是，這些網站所有者已經收到了長達六年的管理員通知，”Nacin 說。 “最古老的網站可能收到超過 30 封電子郵件。 我們可能傳達新功能（比如 5.3 或 5.4）以增加對主要版本自動更新的支持的方式可能與我們處理運行 3.7 的舊站點的方式大不相同，我們希望遷移到 3.8 或更高版本。”

貢獻者權衡離開舊站點而不進行更新的後果

核心貢獻者 Zebulan Stanphill 是更強烈反對在未經同意的情況下自動更新到主要版本的反對者之一。

“3.7 中的自動更新功能並未宣傳為包括重大更新，因此在我看來，突然將其更改為包含該功能似乎具有欺騙性，”Stanphill 說。 “感覺就像是對網站的控制權比所有者最初賦予 WordPress 的更多。 我對自動重大更新成為 WordPress 新版本的默認設置感到滿意，但追溯將其應用於舊版本對我來說似乎是錯誤的。”

加里·彭德加斯特 (Gary Pendergast) 是 core 的全職贊助貢獻者，他反駁說，問題可能是數百萬網站所有者不會看到通知，並且會停留在最終會變得不安全的舊版本上。 Stanphill 辯稱，如果未經許可，WordPress 不負責為他們更新網站。

“我們有責任不為互聯網相當大一部分的殭屍網絡奠定基礎，”彭德加斯特說。

與 2013 年在 3.7 中安裝自動更新系統時相比，WordPress 在網絡上的足跡要大得多。 截至 2019 年 8 月，該平台的市場份額已增長到前 1000 萬個網站中的 34.5%。運行 3.7 的網站已被非正式估計為約 200 萬個，但尚未確認具體數字。

“如果我們不經意間給了某人一個做真正邪惡的平台，我們就足夠大，可能會產生後果，”核心貢獻者瑪麗鮑姆說。

缺乏明確同意和破壞的可能性是反對該計劃的人最關心的兩個問題。 那些贊成的人相信它可以在不破壞數百萬個網站的情況下完成。 前安全團隊負責人 Aaron Campbell 強調了分層更新推出的優勢：

說到從 3.7 用戶開始作為測試基礎（這是 Ian 提出的計劃的一部分），我們可以為用戶提供的一件很棒的事情就是他們很難自己做，就是從一個版本到另一個版本的緩慢更新。 3.7 站點儀表板中的按鈕會將站點更新為 5.2，這可以理解為可怕。 我們將更新 3.7->3.8，然後是 3.8->3.9，等等，直到 4.6->4.7。 它將提供從 3.7 到 4.7 的更順暢的路徑，並在需要時為我們提供大量改進過程的空間。

我認為捲起來有一些好處。 其中之一是數據庫更改，它將像過去 6 年一樣分批推出，而不是一次性更新。 似乎它也會導致更少的內存和時間限制錯誤。

正如他在之前的 P2 討論中所說，Nacin 重申核心團隊的計劃一直是為主要版本帶來自動更新：

我想分享一點歷史和背景：當然，只有最新版本的 WordPress 是官方支持的。 3.7（2013 年 10 月）中的自動後台更新徹底改變了計算方式——我們第一次能夠將安全版本發佈到舊分支。 但是我們沒有宣布或記錄這些舊版本，提供它們以供定期下載，或將它們公開到儀表板 → 更新屏幕。 沒有意圖——現在也沒有——改變我們經常聲明的政策，即只有最新版本的 WordPress 得到官方支持。 但是，我們意識到，如果我們正在構建快速將安全修復程序推送到舊的不受支持的站點的能力，那麼我們將不會使用該功能。

我們希望在主要版本的自動更新方面取得更快的進展，從而提高這些更新的安全性和彈性。 這將使我們能夠將這些舊網站一直更新到 3.7，更新到 WordPress 的更新版本。 這一直是計劃。 我們只是沒想到要花六年時間才能到達那裡。

最終，長期目標是將主要更新的默認設置更改為“退出”，一旦它們被證明是穩定的。 將舊版本自動更新到 4.7 的提議將是朝著這個方向逐步前進的下一步。 Nacin 認為，較舊的網站“由於安裝了 WordPress 3.7+ 而已經選擇加入”。

在會議的某個時間點，圍繞將舊站點自動更新到 4.7 的倫理問題的討論分解為涉及汽車維修、疫苗接種、腐爛屍體以及任何貢獻者可以從現實世界中提取以使他們的意見更相關的類比到手頭的話題。

“對於已經被有效廢棄的網站來說，很難談論'自治'，”Mark Jaquith 說。 “就像，如果你死在街上，社會不會因為你沒有同意埋葬而讓你在那裡腐爛。”

核心撰稿人約翰·詹姆斯·雅各比 (John James Jacoby) 表示，他對選擇退出與選擇加入的默示同意並不完全滿意，但最終同意這是“需要發生的事情”。

“但是用之前的話說，我想我覺得 WordPress 不應該從網絡上清理它自己的屍體，除非它在儀表板中包含一個大的元框，上面寫著‘嘿，我們必須為你做這個，然後這就是為什麼，'”雅各比說。

其他人更強烈反對 WordPress 更改用戶服務器上的文件，因為他們最初表示 3.7 只會執行自動安全更新，除非他們決定選擇進行重大更新。

“我非常反對對任何軟件進行無人值守的重大更新，”Gabor Javorszky 說。 “未經我明確要求，WordPress Core 無權更改我服務器上的代碼。 我同意它為次要版本更新自己，因為這是我註冊的，這就是當前自動更新程序默認的工作方式。 我可以將其更改為允許重大更新，也可以將其更改為根本不允許任何更新，但 WP 覆蓋該選擇是錯誤的。”

Michael Panaga 認為，用戶更願意了解他們的舊網站已被黑客入侵，而不是因為未經授權的自動更新而發現他們的網站已損壞。 該提案的反對者不認為 WordPress 有責任防止人們的網站受到損害，即使數百萬個網站被黑客入侵。 他們認為這是用戶的問題或託管公司應該處理的問題。

“理性的人可以並且會對此持不同意見，但我們的理念是，如果他們的網站被黑客入侵，我們認為這不僅僅是用戶的責任，”Nacin 說。 “我們也感受到了這種責任，我們將盡我們所能確保他們的網站保持更新，並且他們正在運行最新最好的 WordPress 版本。”

官方尚未宣布任何決定，但有權執行該計劃的人已經做出了堅定的決定，並且似乎通過昨天的會議達成了共識。

“歸根結底，只有少數人能夠將更改推送到自動更新服務器，以選擇退出而不是選擇加入，聽起來他們已經下定決心，所以沒有意義繼續 P2 [討論]，不妨進入實施階段並儘量減少破壞，”WordPress 開發人員 Earle Davies 說。

Nacin 感謝貢獻者為討論發聲，並表示將在未來幾天發布一些後續帖子，並可能發布路線圖以製作/核心，記錄早在 2007 年的先前決定。

“我真的很高興你們都來討論這個話題，”Nacin 說。 “即使 10 年後，我仍然對 WordPress 社區以及它對用戶的關心程度印象深刻。 網絡應得的。”