Вчера разработчики WordPress со всего мира присоединились к оживленной встрече, чтобы продолжить обсуждение предложения об автоматическом обновлении старых сайтов до версии 4.7 в рамках контролируемого развертывания. Идея состоит в том, что сайты будут постепенно обновляться от одной основной версии к другой (а не все сразу). Обсуждение велось под руководством руководителя выпуска WordPress 3.7 Эндрю Насина с помощью Яна Данна и руководителя группы безопасности Джейка Сперлока.
Судя по ответам участников во время встречи, была горстка несогласных, которым неудобно обновлять старые сайты без явного согласия владельца сайта, которое трудно получить, когда электронные письма и уведомления администратора не доходят до всех, кого это касается.
Большинство участников склоняются к поиску наилучшей реализации для продвижения вперед с предложением, которое по сути является смелым решением для обычных пользователей, которые могут не знать, что они не используют последнюю версию WordPress, и тех, кто покинул свои сайты. Владельцы сайтов, которые активно выбирают более старые версии, скорее всего, уже отказались от автоматических обновлений, и эти решения будут учтены системой обновлений.
Данн сказал, что его целью обсуждения было «выслушать идеи и, надеюсь, приблизиться к какому-либо решению». Вначале он был больше сосредоточен на маркетинге и деталях реализации, а не на том, должен ли WordPress автоматически обновлять сайты до основных версий.
«Я думаю, что здесь необходим серьезный маркетинговый толчок», – сказал Сперлок. «Мы хотим быть впереди любых новостей о сайтах, которые не работают на WordPress, и иметь возможность рассматривать это обновление как главное преимущество для миллионов обновляемых сайтов». После поощрения исполнительного директора WordPress Джозефы Хаден те, кто хотел обсудить процесс развертывания, отступили, чтобы заняться более центральным вопросом – самими автоматическими обновлениями. Сперлок резюмировал три варианта, которые команда безопасности предлагает для старых сайтов:
1. Отказаться от обновлений безопасности для старых сайтов
2. Продолжить обновления безопасности за большую плату
3. Обновлять сайты вручную, оставляя старые сайты без обновлений.
«Стоит отметить, что владельцы этих сайтов уже получили до шести лет уведомлений администратора», – сказал Насин. «Самые старые сайты, вероятно, получили около 30 писем. То, как мы можем сообщать о новой функции (скажем, 5.3 или 5.4) для добавления поддержки для основных автоматических обновлений выпуска, может радикально отличаться от того, как мы можем обрабатывать старый сайт с версией 3.7, который мы хотели бы перенести на 3.8 и выше ».
Авторы взвешивают последствия ухода со старых сайтов без обновлений
Главный участник Зебулан Стэнфилл был одним из самых яростных противников автоматического обновления до основных версий без согласия.
«Функция автоматического обновления в 3.7 не рекламировалась как включающая основные обновления, поэтому, на мой взгляд, было бы обманчиво внезапно изменить ее, чтобы включить это», – сказал Стэнфилл. «Это похоже на получение большего контроля над веб-сайтом, чем владелец изначально предоставил WordPress. Я согласен с тем, что автоматические основные обновления становятся по умолчанию в новых версиях WordPress, но задним числом применять это к старым версиям мне кажется неправильным ».
Гэри Пендергаст, постоянный спонсор ядра, возражает, что проблема заключается в том, что потенциально миллионы владельцев сайтов не увидят уведомление и застрянут на старых версиях, которые в конечном итоге станут небезопасными. Стэнфилл утверждал, что WordPress не несет ответственности за обновление сайтов людей за них, если они не дали разрешения.
«Мы несем ответственность за то, чтобы не заложить основу для ботнета значительной части Интернета», – сказал Пендергаст.
WordPress занимает гораздо большее место в Интернете, чем в 2013 году, когда в версии 3.7 была внедрена система автообновлений. Доля рынка платформы выросла до 34,5% из 10 миллионов веб-сайтов по состоянию на август 2019 года. Сайты с версией 3.7 были неофициально оценены примерно в 2 миллиона, но точный подсчет не подтвержден.
«Если мы непреднамеренно дадим кому-то платформу для совершения настоящего зла, мы будем достаточно большими, что может иметь последствия», – сказала главный участник Мэри Баум.
Отсутствие явного согласия и возможность поломки были двумя главными проблемами для тех, кто выступал против этого плана. Сторонники считают, что это можно сделать, не нарушая работу миллионов веб-сайтов. Бывший руководитель группы безопасности Аарон Кэмпбелл подчеркнул преимущества многоуровневого развертывания обновлений:
Говоря о том, чтобы начать с версии 3.7 пользователей в качестве тестовой базы (что является частью плана, предложенного Яном), одна из замечательных вещей, которые мы можем предложить пользователям, с которыми им трудно справиться самостоятельно, – это медленное обновление от версии к версии. Кнопка на панели инструментов сайта 3.7 обновит сайт до версии 5.2, что по понятным причинам пугает. Мы будем обновлять 3.7-> 3.8, затем 3.8-> 3.9 и т. Д. До 4.6-> 4.7. Он предложит более плавный путь с 3,7 до 4,7 И даст нам множество возможностей улучшить процесс на этом пути, если это необходимо.
Я думаю, что сворачивание дает некоторые преимущества. Одно из них – изменения БД, которые будут развертываться по частям так же, как они происходили в течение последних 6 лет, а не пакетировать все в одном обновлении. Похоже, это приведет к меньшему количеству ошибок памяти и ограничения времени.
Как он заявлял в предыдущих обсуждениях P2, Нацин повторил, что план основной команды всегда заключался в том, чтобы приносить автоматические обновления для основных версий:
Хочу поделиться историей и контекстом: конечно, официально поддерживается только последняя версия WordPress. Автоматические фоновые обновления в версии 3.7 (октябрь 2013 г.) полностью изменили расчет – впервые мы смогли отправлять выпуски безопасности в более старые ветки. Но мы не анонсировали и не документировали эти старые версии, не предлагали их для регулярной загрузки и не открывали на экране «Панель инструментов» → «Обновления». Не было намерения – и все еще нет – изменить нашу часто заявляемую политику, согласно которой официально поддерживается только последняя версия WordPress. Однако мы поняли, что если мы создадим возможность быстро размещать исправления безопасности на старых неподдерживаемых сайтах, мы не сможем использовать эту функцию.
Мы ожидали более быстрого прогресса в автоматических обновлениях основных выпусков, повышая безопасность и отказоустойчивость этих обновлений. Это позволило бы нам обновить эти старые сайты, вплоть до 3.7, до более свежих версий WordPress. Таков был план. Мы просто не ожидали, что нам понадобится шесть лет, чтобы достичь этого.
В конечном итоге долгосрочная цель состоит в том, чтобы изменить значение по умолчанию для крупных обновлений на «отказ», как только они подтвердят стабильность. Предложение об автоматическом обновлении старых версий до 4.7 станет следующим шагом к постепенному движению в этом направлении. Нацин утверждает, что старые сайты «уже включены в список, поскольку на них установлена версия WordPress 3.7+».
В определенный момент встречи дискуссия, касающаяся этики автоматического обновления старых сайтов до версии 4.7, распалась на аналогии, включающие обслуживание автомобилей, вакцинацию, гниющие трупы и все, что участники могли извлечь из реального мира, чтобы сделать свое мнение более понятным. к обсуждаемой теме.
«Трудно говорить об« автономии »сайтов, которые фактически были заброшены, – сказал Марк Джакит. «Мол, если ты упадешь замертво на улице, общество не позволит тебе гнить там просто потому, что ты не согласился на похороны».
Основной участник Джон Джеймс Джейкоби сказал, что его не совсем устраивает подразумеваемое согласие отказа от подписки, но в конечном итоге согласился с тем, что это «то, что должно произойти».
«Но, перефразируя Марка ранее, я думаю, мне кажется, что WordPress не должен очищать свои собственные туши из сети, если он не включает мета-поле big’ol на панели инструментов, которое говорит:« Эй, мы должны были сделать это для вас и вот почему », – сказал Джейкоби.
Другие более решительно настроены против изменения файлов WordPress на серверах пользователей, после того, как изначально сообщили, что 3.7 будет выполнять только автоматические обновления безопасности, если они не решат выбрать крупные обновления.
«Я категорически против того, чтобы запускать автоматическое крупное обновление любого программного обеспечения», – сказал Габор Яворски. «WordPress Core не имеет права изменять код на моем сервере без моего явного запроса. Я согласен с тем, что он обновляется для дополнительных версий, потому что это то, на что я подписался, и так текущее автоматическое обновление работает по умолчанию. Я могу изменить его, чтобы разрешить основные обновления, и я могу изменить его, чтобы не разрешать никаких обновлений вообще, но WP переопределяет этот выбор ».
Майкл Панага утверждал, что пользователи с большей охотой поймут, что их старые веб-сайты были взломаны, чем узнают, что их сайты взломаны из-за неавторизованного автоматического обновления. Противники этого предложения не считают, что WordPress несет ответственность за защиту сайтов людей от взлома, даже если миллионы сайтов будут взломаны. Они видят в этом проблему пользователя или что-то, что должны решить хостинговые компании.
«Разумные люди могут и не согласятся с этим, но наша философия заключается в том, что мы не думаем, что ответственность за взлом их сайта лежит исключительно на пользователе», – сказал Насин. «Мы тоже чувствуем эту ответственность, и мы сделаем абсолютно все, что в наших силах, чтобы убедиться, что их сайт постоянно обновляется, и на них установлена последняя и лучшая версия WordPress».
Официального решения не было объявлено, но те, кто имеет право реализовать план, твердо решены и, похоже, достигли консенсуса на вчерашнем заседании.
«В конце концов, есть всего несколько человек, которые имеют возможность отправить изменение на сервер автообновлений, чтобы отказаться от подписки, вместо того, чтобы отказаться от подписки, и похоже, что их мнение уже принято, поэтому нет смысла в этом. продолжая P2 [обсуждения], можно также перейти к фазе реализации и попытаться минимизировать разрушения », – сказал разработчик WordPress Эрл Дэвис.
Нацин поблагодарил участников за то, что они высказали свое мнение в ходе обсуждения, и сказал, что в ближайшие дни будут опубликованы некоторые последующие сообщения и, возможно, дорожная карта по созданию / ядру, документирующая предыдущие решения, принятые в 2007 году.
«Я действительно рад, что вы все пришли поговорить на эту тему», – сказал Нацин. «Даже по прошествии 10 лет я по-прежнему глубоко впечатлен сообществом WordPress и тем, насколько оно заботится о своих пользователях. Интернет этого заслуживает ».
