WordPress 4.2.3 , критическая версия безопасности, вчера была автоматически разослана пользователям, чтобы исправить уязвимость XSS. Вскоре после этого форумы поддержки WordPress.org были завалены сообщениями о сайтах, сломанных обновлением.
Примерно через восемь часов Роберт Чапин (@ miqrogroove ) опубликовал сообщение в блоге Make.WordPress.org/Core с подробным описанием изменений в API шорткодов , которые были включены в выпуск. По словам Чапина, эти изменения были необходимы как часть исправления безопасности:
Из-за характера исправления — как это часто бывает с исправлениями безопасности — мы не смогли заранее предупредить авторов плагинов, однако мы приложили усилия для сканирования каталога плагинов на наличие плагинов, которые могли быть затронуты.
С этим изменением были приложены все усилия, чтобы сохранить все основные функции Shortcode API. Тем не менее, есть некоторые новые ограничения, которые влияют на некоторые редкие случаи использования шорткодов.
У команды безопасности не было разумного способа учета каждого пограничного случая, но негативное влияние этих изменений было гораздо более масштабным, чем они ожидали. Этот конкретный вариант использования, вероятно, не был охвачен их тестированием. К сожалению, разработчики плагинов узнали о критических изменениях только после того, как релиз безопасности уже оставил за собой множество неработающих веб-сайтов.
«Я полностью понимаю, что это проблема, но не является ли это странным способом обновления — почти все наши клиенты звонят / пишут нам по электронной почте в данный момент, поскольку их сайты кажутся неработоспособными», — прокомментировал API Shortcode один разработчик. сообщение. «Обычно было бы лучше объявить о таких значительных изменениях разработчикам плагинов и тем. Это означает, что мне нужно полностью перепланировать свою повестку дня, которая уже заполнена во время курортного сезона».
Комментарии к сообщению WordPress.org полны разработчиков, пытающихся найти способ исправить клиентские веб-сайты. Многие были разочарованы тем, что полная секретность команды безопасности, необходимая в подобных ситуациях, не сопровождалась немедленной публичной публикацией о важных изменениях в API Shortcode. Тем временем почтовые ящики агентств и разработчиков плагинов наполняются срочными сообщениями от возмущенных клиентов.
Разработчики хотят лучшего взаимодействия с теми, кто управляет выпусками безопасности. Амир Хельцер , автор Types and Views , двух плагинов, на которые релиз сильно повлиял, резюмирует мысли многих других комментаторов поста Make/WordPress.org/Core:
Сегодня мы обновляем плагин Views, чтобы разрешить все шорткоды, прежде чем переходить к WordPress для обработки контента.
Это простое изменение, которое занимает у нас один день.
Было бы здорово получить предупреждение о предстоящем изменении в WordPress, чтобы мы могли внести это изменение вовремя.
Из-за этого мы получили огромное количество запросов в службу поддержки, но проблема не в этом. Мы можем справиться с волной вопросы поддержки. На этот раз это была не «наша вина», но иногда это так.
Что нас беспокоит, как упоминалось выше, так это то, что наши клиенты (люди, зарабатывающие на жизнь созданием сайтов на WordPress) теряют веру в систему. Они чувствуют, что система видит в них маленьких муравьев, а не людей. Людям не нравится, когда их проблемы игнорируются.
Многие из них управляют сотнями сайтов. Они не могут позволить себе остановить все и исправить контент на стольких сайтах. Особенно, если они в настоящее время уезжают на семейный отдых.
То, о чем здесь спрашивали другие, и я тоже хотел бы спросить, это настроить механизм, который позволит разработчикам ядра WordPress в частном порядке сообщать о предстоящих проблемах разработчикам плагинов.
Мы ваши партнеры.
Без WordPress (безопасного, стабильного и надежного) нас бы не было.
Без отличных тем и плагинов WordPress не смог бы обеспечить 24% Интернета.
Основные участники WordPress уже много времени уделяют волонтерской работе. Я не прошу никого добровольно уделять больше времени. Нужна помощь? Спроси нас. Существует огромное сообщество разработчиков, которые полагаются на WordPress. Мы будем рады принять участие и установить все необходимое.
Доверие пользователей к автоматическим фоновым обновлениям WordPress пошатнулось с выпуском 4.2.3. Пробуждение к неработающим веб-сайтам заставляет пользователей сомневаться в автоматических обновлениях после того, как они были уверены, что выпуски обслуживания и безопасности не будут включать критические изменения.
Когда пользователи обожжены автоматическими обновлениями, в конце концов не имеет значения, кто виноват — основная команда, тема или плагин. Они просто ожидают, что обновления будут работать и ничего не сломать. Даже в тех случаях, когда виновато плохо написанное расширение, средний пользователь не может определить, соответствуют ли его активные плагины лучшим практикам WordPress.
Последствия самого последнего выпуска безопасности — одна из причин, по которой многие разработчики и пользователи все еще опасаются автоматических обновлений. Амир Хельцер представляет многих других разработчиков подключаемых модулей, которые стремятся найти более эффективные способы совместной работы с основной командой, чтобы предоставить пользователям лучший опыт обновления. Это особенно важно для таких выпусков, как этот, где API шорткодов напрямую влияет на пользовательский контент. Комментарий Хезлера подтверждает тот факт, что агентства по разработке, разработчики плагинов и основные разработчики являются партнерами одной команды. Пришло время найти лучшие способы совместной работы, чтобы обеспечить наилучшие возможности обновления для пользователей WordPress.
