插件开发者反对 WordPress.org 全平台 24 小时更新延迟

 内容管家 2026年6月23日 9 0

WordPress 官方安全策略引发开发者反弹:24 小时延迟波及手动更新 WordPress.org 于 6 月 5 日推出的"保护夏尔"(Protect the Shire)安全计划,在插件和主题社区引发强烈争议。这…

WordPress 官方安全策略引发开发者反弹:24 小时延迟波及手动更新

WordPress.org 于 6 月 5 日推出的"保护夏尔"(Protect the Shire)安全计划,在插件和主题社区引发强烈争议。这项计划要求所有通过 WordPress 更新系统分发的版本必须经历最长 24 小时的审核窗口。然而,真正点燃开发者不满情绪的,是一个最初未被明确说明的细节:该延迟不仅作用于自动更新,同样作用于仪表盘一键更新

仪表盘手动更新同样被拦截

WordPress.org 所有者 Matt Mullenweg 在公告中将 24 小时等待期描述为针对"自动更新"的限制。然而,就在公告发出数小时内,开发者们便发现,即使用户从 WordPress 仪表盘手动点击"立即更新",同样会被阻止。

Elementor 开发者关系与发布经理 Rebecca Markowitz 最先在 WordPress Slack 的 #pluginreview 频道指出了这一问题:Elementor 旗下免费网站构建器的新版本在三小时前就已发布,但现有站点后台仍显示为不可用。

Audrey Capital 赞助的贡献者 Samuel "Otto" Wood 随后确认了延迟的覆盖范围:"所有通过更新系统分发的更新都会延迟 24 小时,无论是手动触发还是自动触发。"他补充道,从 WordPress.org 的角度看,两者本质上没有区别——平台只通知站点"有可用更新",并不区分站点是手动还是自动执行安装。

WP Engine ad.

Markowitz 建议官方修改公告措辞以明确范围,但这一建议未被采纳。

安全漏洞窗口引发最大担忧

争议在 6 月 17 日进一步升级。Elementor WordPress 负责人 Miriam Schwab 在同一频道发布了一份详细的问题清单。Elementor 在 WordPress.org 目录中共维护 14 款插件(含旗舰网站构建器),拥有超过 1000 万有效安装量,主题安装量也超过 100 万。

Schwab 的核心担忧在于延迟造成的安全漏洞窗口。开发者推送安全修复时,变更日志和代码会同步发布至 WordPress.org,任何人都可以立即查看刚刚修补的漏洞详情。然而,实际更新包到达站点还需要等待最多 24 小时。

"恶意攻击者可以在这 24 小时内分析补丁并发起利用," Schwab 写道,"这制造了一个明确的危险窗口,反而给机器人攻击者带来了优势。" 她建议,如果必须设置延迟,新安装也应纳入同等限制,确保在任何版本的补丁代码公开可用之前,所有站点都能同步收到更新。"否则我们相当于把钥匙直接交给了攻击者。" Schwab 还提到了一个翻译相关的 bug:当插件或主题新版本处于审核延迟期时,其翻译包会立即发布,导致站点陷入重试循环——不断尝试安装尚不存在的版本对应的翻译文件。

GoDaddy’s Adam Warner Challenges “NoDaddys” After Top Tier Benchmark Result, Company Reveals Engineering Push Behind the Numbers

站点维护者的困境

这一争议的影响并不局限于插件开发者。管理着 325 个 WordPress 站点的站点维护者 Jos Klever 指出,他能看到变更日志中的安全修复内容,却无法执行安装。同时,使用 WP Engine 托管或安装 FAIR 插件的站点已经正常收到更新,因为它们不依赖 WordPress.org 的更新机制——这意味着延迟政策实际上制造了不平等的竞争环境,而非统一的安全态势。

"更新内容对黑客使用的 AI 机器人可用,但对实际站点用户反而不可用," Klever 写道,"这是一个严重的劣势。" GeneratePress 创作者 Tom Usborne 原本支持仅针对自动更新的延迟政策,但当发现仪表盘更新同样受影响后,他的立场发生了转变:"如果我们是为了审核安全性而暂停插件更新,那整个更新都应该被暂停,直到审核通过并批准。仅开放 .zip 手动下载而拦截仪表盘一键更新,只会制造混乱和割裂感。"

发布节奏与开发者工作流被打乱

MC4WP 插件创作者 Danny van Kooten 在 X 上表示,24 小时延迟迫使他重新审视整个发布节奏。他通常在周一推送更新,以便在接下来 48 小时内监控问题。但加入延迟后,更新要等到周二才能触达用户,监控窗口被迫推至周中。

Developer Traces 13-Year Backdoor Campaign Across 44 WordPress.org Plugins to a Single Operator

"不是不可能,但确实不好受," van Kooten 写道,"有什么自动化工具真正需要 24 小时来运行?上一个工作队列系统,延迟几分钟就够了。" 插件作者 Marc Lacroix 提出了另一个问题:当某个版本携带 bug 时,修复版本同样会被拦截 24 小时。而 contributors 建议的"向 Plugins 团队大量发送紧急放行请求"并非可持续的解决方案。"我不确定让插件团队被'请尽快放行我的更新'邮件淹没会有什么生产性。" Plugins 团队联合代表 Francisco Torres 承认了这些反馈,并表示团队正在整理所有意见和附带影响,已在与相关方沟通探讨可能的调整方案。"目前尚未做出任何决定,但我相信会有变化。"他说道。

Mullenweg 最初将 24 小时窗口描述为临时措施,并暗示随着 AI 驱动的审核工具改进,等待时间有望缩短至分钟级。这一目标的实现速度,可能将直接取决于本次反馈能否推动官方调整落地节奏。

延伸阅读

声明:1、本站大部分资源均为网络采集所得,仅供用来学习研究,请于下载后的24h内自行删除,正式商用请购买正版。2、所有汉化类文件和个别标注了“原创”的产品均为本站原创发布,任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。3、如若本站内容侵犯了原著者的合法权益,请携带相关版权文件联系我们进行下架或删除。4、虚拟下载类资源具有可复制性,一经下载后本站有权拒绝退款或更换其他商品!

内容管家

基于 AI 自动化工作流的发文助手~ 由 Actions Bridge 插件驱动

文章 评论 浏览 点赞

作者主页
暂无内容

留下第一个评论