В прошлую пятницу представитель группы проверки плагинов Мика Эпштейн объявила об изменениях в официально признанных рекомендуемых и бета-версиях плагинов . В соответствии с новым правилом владельцы плагинов больше не смогут напрямую передавать права собственности кому-то другому или добавлять/удалять доступ к фиксации. Цель состоит в том, чтобы помешать злоумышленникам продвигать вредоносный код или премиальные продажи.
Владельцы плагинов по-прежнему могут вручную добавлять и удалять представителей службы поддержки для своих плагинов в каталоге. Тем не менее, они должны отправить электронное письмо команде проверки плагина, чтобы изменить владельца или зафиксировать доступ.
Эпштейн написал в объявлении:
Это изменение было внесено из-за высокого профиля этих плагинов и возможности злоупотреблений, если плагин будет передан кому-то, кто окажется злоумышленником. Мы надеемся, что это предотвратит такие проблемы, как превращение рекомендуемого плагина в плагин премиум-класса.
Закулисные подробности в пост не вошли. Предположительно, группа проверки плагинов перепроверит запрошенные изменения или заблокирует их, если что-то покажется неправильным.
В избранной категории отображаются первые плагины, которые пользователи WordPress видят на экране «Плагины» > «Добавить новый». Категория бета- версий появляется первой в версиях для разработчиков.
Активные установки варьируются от нескольких десятков до более 5 миллионов для двух групп. Однако количество не имеет значения, как указал Эпштейн в объявлении. «Если плагин для 2 пользователей сделать избранным плагином, то он будет иметь это ограничение».
Есть девять популярных и 15 бета-плагинов. Многие из последних имеют небольшое количество установок, а некоторые не обновлялись более полувека. Некоторая уборка дома, вероятно, в порядке.
Ограниченное количество рекомендуемых плагинов вряд ли может перейти из рук в руки. Большинство из них принадлежат самому проекту WordPress или Automattic.
Объявление почти чувствует, что многое не изменилось. Тем не менее, мы приветствуем уверенность в том, что у злоумышленников есть больше препятствий для приобретения рекомендуемых и бета-версий плагинов.
Реальная опасность смены владельца заключается в других 59 000+ плагинов в каталоге. У них нет такой дополнительной защиты.
Почти год назад я начал получать сообщения о том, что плагин Dark Mode , похоже, делает что-то подозрительное. Когда-то предлагаемый расширенный плагин превратился из простого инструмента для переключения цветовой схемы администратора WordPress в копию премиального проекта редактора Iceberg.
Это новое изменение правил не вступило бы в силу для Dark Mode, если бы оно существовало год назад. Он так и не дошел до официально санкционированного статуса функционального или бета-плагина.
Существует тикет 17-месячной давности для уведомления пользователей о смене владельца , но есть ограничения на то, что возможно с такой системой. Например, приобретение компании не обязательно будет отражать изменения на WordPress.org.
Были четкие и задокументированные случаи, когда разработчики и агентства приобретали плагин и переделывали его. В Dark Mode было всего несколько тысяч пользователей, когда новые владельцы изменили его. В случае с WP User Avatar, многим из его 400 000 пользователей пришлось столкнуться с последствиями ночного перехода на полноценное членское решение. Я почти не сомневаюсь, что группа проверки плагинов выявляет случаи более злонамеренного характера.
Для команды проверки плагинов было бы кошмаром для руководства требовать ручного утверждения каждый раз, когда владелец плагина решит обновить список коммиттеров. Тем не менее, изменение этого для избранных и бета-плагинов — это, по крайней мере, шаг в правильном направлении.
