Mimo że sam WordPress działa nawet z archaiczną (i od dawna niewspieraną) wersją 5.2 interpretera PHP, część autorów wtyczek wymaga nowszych wersji PHP, najczęściej co najmniej 5.6. Do tej pory oficjalne repozytorium wtyczek nie oferowało żadnych mechanizmów pozwalających na określenie wymaganej przez wtyczkę wersji PHP – teraz to się zmieniło.
Jestem wielkim fanem REST API w WordPressie. Jak już wielokrotnie pisałem, otwiera to przed tym CMSem zupełnie nowe możliwości i pozwoli wykorzystywać go w projektach, do których teoretycznie wcale się on nie nadaje.
Do przewidzenia było, że REST API zostanie wykorzystany również przez twórców motywów – i rzeczywiście, bardzo szybko powstało kilka takich tworów, które na szczęście nigdy nie stały się niczym więcej niż ciekawym eksperymentem. Teraz jednak sytuacja się zmieniła, ponieważ pierwszy motyw oparty całkowicie na REST API trafił do oficjalnego repozytorium WordPressa. Tworzy to niebezpieczny dla użytkowników tego CMSa precedens: do zaufanego repozytorium trafia motyw, który nie spełnia podstawowych wymagań narzuconych (słusznie zresztą) autorom przez zespół weryfikujący motywy. Wymagania te miały między innymi zapewniać kompatybilność ze wszystkimi poprawnie napisanymi wtyczkami – czyli coś, co w przypadku tego motywu jest po prostu niemożliwe.
W oficjalnym repozytorium motywów dla WordPressa znajduje się zakładka Popular, w której (jak nietrudno się domyślić) wyświetlana jest lista najpopularniejszych motywów. Kilka dni temu serwis WP Tavern poruszył temat kontrowersyjnego sposobu, w jaki autorzy darmowych motywów wykorzystują popularność motywów komercyjnych do „oszukiwania” algorytmu tworzenia tej listy. Sam mechanizm jest znany od dość dawna, ale do tej pory osobiście odbierałem go bardziej jako niedogodność dla twórców motywów komercyjnych, niż jako sposób na wypromowanie darmowego motywu umieszczonego w oficjalnym repozytorium.
Wczoraj po cichu uruchomiono testową wersję nowego oficjalnego repozytorium wtyczek dla WordPressa. Wygląda ono zdecydowanie nowocześniej – aktualny wygląd już od dawna wymagał odświeżenia.
Oficjalne repozytorium
WordPressa jest uważane za najbezpieczniejsze źródło darmowych wtyczek. Wpadki zdarzają się jednak nawet najlepszym, czego dowodem może być sytuacja sprzed dwóch dni, kiedy to w jednym z rozszerzeń wykryto złośliwy kod. Warto dodać, że kod ten siedział sobie spokojnie w repozytorium przez ponad dwa tygodnie.
Wróciłem właśnie z krótkich wakacji, więc przez ostatni tydzień nie śledziłem na bieżąco wszystkich związanych z WordPressem wydarzeń. Jednak podczas przeglądania kanałów RSS wpadł mi w oko tekst Stevena Gliebe, którym chciałbym się z wami podzielić. Wskazuje on na dość poważny i prawdopodobnie niemożliwy do rozwiązania problem w oficjalnym repozytorium wtyczek dla WordPressa: autorzy rozszerzeń mogą wystawiać oceny własnym wtyczkom i z tej możliwości intensywnie korzystają. Nie mam pojęcia jak administratorzy repozytorium mogli zapomnieć o tak oczywistym ograniczeniu, ale uważam, że powinni jak najszybciej naprawić ten błąd. Co jednak niczego w ogólnej sytuacji nie zmieni.
Pięć dni po uruchomieniu nowej wersji oficjalnego repozytorium motywów przyszła pora na odświeżenie repozytorium wtyczek. Zmiana upodabnia wygląd strony do wyglądu interfejsu instalatora wtyczek w panelu administracyjnym WordPressa, co generalnie można zaliczyć na plus.
W oficjalnym repozytorium wtyczek dla WordPressa jedyną informacją pozwalającą na określenie popularności danego rozszerzenia jest liczba jego pobrań. Nie są to oczywiście dane miarodajne (dalej wyjaśnię dlaczego), ale wszyscy (włącznie ze mną) z nich korzystają, bo po prostu nie ma niczego lepszego. A raczej nie było, bo od niedawna strony wtyczek zawierają również liczbę instalacji. Tyle że nie w takiej formie, w jakiej byśmy ich oczekiwali.
Prace nad odświeżeniem wyglądu oficjalnego repozytorium motywów dla WordPressa trwają już od jakiegoś czasu. Wygląda na to, że powoli dobiegają one końca, ponieważ ekipa zaangażowana w ten projekt zdecydowała się na publiczne udostępnienie jego wersji testowej. Najwyższy czas – aktualna wersja repozytorium wygląda już mocno nieświeżo.
Kilka dni temu Internet obiegła informacja, że do dość popularnej (ponad milion pobrań) wtyczki Social Media Widget dostał się złośliwy kod, który wyświetlał na stronach użytkowników link reklamowy. Na reakcję moderatorów repozytorium trzeba było czekać cztery dni – niby nie długo, ale nie zmienia to faktu, że spora grupa właścicieli witryn zdążyła już zainstalować aktualizację wtyczki i tym samym dołączyć swoje serwisy do bezpłatnej sieci reklamowej.
To niestety nie pierwszy tego typu incydent. Oficjalne repozytorium WordPressa, jedyne (teoretycznie) w pełni zaufane źródło rozszerzeń, po raz kolejny okazało się nie do końca bezpieczne. Co gorsza, istnieje kilka innych problemów, z którymi borykają się ostatnio użytkownicy repozytorium.