WordPress的插件團隊已發布了一個 聲明 關於插件來更改用戶的更新服務:
除非您的插件用於管理更新,否則不得更改WordPress更新設置的默認值。
您可能提供了自動更新功能,但必須遵循核心設置。 這意味著,如果有人將其站點設置為「從不更新我的任何插件或主題」,除非他們選擇加入並提出要求,否則您將不會為他們更改這些插件或主題。
該聲明是由插件超越此邊界提示的,直到最近,該邊界仍被簡單理解,但並未明確禁止。 米卡·愛潑斯坦(Mika Epstein)說,這種做法「破壞了用戶對您的信任,不會破壞他們的網站。」 當插件作者濫用核心功能來滿足自己的利益時,這在整個WordPress上也表現不佳。
「不幸的是,最近這種情況發生在一個使用良好的插件上,而且後果非常嚴重,」愛潑斯坦說。
她沒有確定問題插件,但是上個月發生的一個特定事件與該描述非常相似。 2020年12月21日, 多合一SEO插件無需通知用戶即可打開自動更新,除了變更日誌中簡短,含糊的注釋。
推出此更新時,超過200萬個WordPress網站上的All in One SEO處於活動狀態。 儘管為插件關閉了自動更新功能,但許多用戶仍然沮喪地發現自己的網站已未經許可進行了更新。 該插件的開發人員在本月初從插件中刪除了自動更新包裝器功能,以允許WordPress處理更新。
這次事件之後,受影響的人都被提問。 WordPress應該允許這種做法嗎? 如果插件開發人員要進行自動更新,是否應該要求他們在儀錶板上發布通知? 雖然許多用戶願意信任WordPress核心以安全的方式進行自動更新,但有些用戶不願將這種信任擴展到插件開發人員,後者的更新質量差異很大。 插件團隊必須提供有關此問題的指導和交流,以阻止積極的插件開發人員破壞對自動更新仍然脆弱的信任。
愛潑斯坦說:「目前,我們尚無計劃將其詳細說明。」 「目前,我們確實會定期標記超出其(自定義)界限的插件,這不是更改。 請尊重您的用戶。」
像這樣:
喜歡載入中……