Команда плагинов WordPress опубликовала заявление о плагинах, вносящих изменения в сервисы обновления пользователей:
Если ваш плагин не предназначен для управления обновлениями, вы не должны изменять значения по умолчанию для настроек обновления WordPress.
Вы можете предложить функцию автоматического обновления, но при этом должны соблюдаться основные настройки. Это означает, что если кто-то установил для своего сайта режим «Никогда не обновлять какие-либо мои плагины или темы», вы не можете изменять их за них, если они не согласятся и не запросят это.
Это утверждение было вызвано плагинами, выходящими за эту границу, что до недавнего времени просто понималось, но не запрещалось явно. Мика Эпштейн сказал, что такая практика «разрушает веру пользователей в вас, чтобы они не взламывали свои сайты». Это также плохо отражается на WordPress в целом, когда авторы плагинов злоупотребляют основными функциями в своих интересах.
«К сожалению, это недавно случилось с хорошо используемым плагином, и последствия были довольно серьезными», – сказал Эпштейн.
Она не идентифицировала рассматриваемый плагин, но один конкретный инцидент, произошедший в прошлом месяце, очень похож на это описание. 21 декабря 2020 года плагин All in One SEO включил автоматические обновления без уведомления своих пользователей , за исключением короткой двусмысленной заметки в журнале изменений.
На момент выпуска этого обновления All in One SEO был активен на более чем 2 миллионах сайтов WordPress. Многие пользователи были разочарованы, обнаружив, что их сайты обновлялись без разрешения, несмотря на то, что для плагина было отключено автоматическое обновление. Ранее в этом месяце разработчики плагина удалили из него функцию оболочки автоматических обновлений, чтобы позволить WordPress обрабатывать обновления.
После этого инцидента у пострадавших остались вопросы. Должен ли WordPress допускать такую практику? Должны ли разработчики плагинов размещать уведомление на панели управления, если они собираются включить автоматические обновления? Хотя многие пользователи готовы доверять ядру WordPress для безопасного автоматического обновления, некоторые не хотят доверять разработчикам плагинов, качество обновлений которых сильно различается. Команда плагинов, предлагающая рекомендации и общение по этому вопросу, была абсолютно необходима, чтобы удержать агрессивных разработчиков плагинов от разрушения того, что до сих пор остается хрупким доверием к автоматическим обновлениям.
«В настоящее время мы не планируем разъяснять это в руководстве», – сказал Эпштейн. «В настоящее время мы регулярно помечаем плагины, которые выходят за их установленные (самоопределенные) границы, и это не изменение. Пожалуйста, уважайте своих пользователей ».
