WordPress插件检查程序的提案

很长一段时间以来,WordPress都有主题检查插件,这是一个静态分析给定WordPress主题的工具,以确定它是否符合特定的主题开发要求和最佳实践。

本文建议为WordPress插件定义并实现一个类似的工具,用于分析给定的WordPress雷竞技插件插件插件是一种包含一组功能的软件,可以添加到WordPress网站中。他们可以扩展功能或添加新的功能到你的WordPress网站。WordPress插雷竞技件是用PHP编程语言编写的,可以与WordPress无缝集成。这些插件可以在WordPress.org插件目录//www.kotonoha369.com/plugins/中免费提供,也可以是第三方提供的基于成本的插件雷竞技并且用错误或警告标记任何违反插件开发需求和最佳实践的行为。它应该涵盖插件开发的各个方面,从像正确使用国际化函数这样的基本需求到可访问性可访问性无障碍(通常缩写为a11y)是指为残疾人设计的产品、设备、服务或环境。可访问设计的概念确保了“直接访问”(即无辅助)和“间接访问”,即与个人的辅助技术(例如,计算机屏幕阅读器)兼容。(https://en.wikipedia.org/wiki/Accessibility)、性能和安全最佳实践。

这篇文章是基于一个早些时候提议文档已经被审查和讨论过了性能工作小组在过去的几个星期(见原始的Slack消息分享建议).

目标和用例

插件检查器的目标将在很大程度上等同于现有的主题检查器,为插件实现类似的目的。雷竞技具体来说,主要目标是:

  • 在开发过程中为插件开发人员提供关于需求和最佳实践的反馈。
  • 提供www.kotonoha369.comWordPress.org用户创建和共享WordPress代码的社区站点。你可以在这里下载WordPress核心、插件和主题的源代码,以及社区对话和组织的中心位置。雷竞技//www.kotonoha369.com/插件评审团队使用额外的自动化工具,在手动评审之前识别插件中的某些问题或弱点。
  • 为技术站点所有者提供基于这些需求和最佳实践的插件评估工具。雷竞技

插件检查器应该实现为一个插件本身,允许它在类似于主题检查器的环境中使用。但是,最好稍微扩展一下插件检查器的范围,以便它能更好地适应不同的环境,以满足以下用例:

  • 它应该支持从WP管理员检查插件用户界面用户界面UI是用户界面(User Interface)的缩写——用户与之交互的页面布局。多想“他们是怎么做到的”,少想他们在做什么。和从命令行(usingWP-CLIWP-CLIWP-CLI是WordPress的命令行界面,用于以编程的方式执行管理和开发任务。项目页面为http://wp-cli.org/https://make.www.kotonoha369.com/cli/),以便在本地开发或持续集成时方便地运行,例如aGitHubGitHubGitHub是一个提供git仓库在线实现的网站,其他开发人员可以轻松地共享、复制和修改这些仓库。公共存储库可以免费托管,私有存储库需要付费订阅。GitHub引入了“拉请求”的概念,在这里,贡献者在分支中所做的代码更改可以在被合并到存储库所有者之前被审查和讨论。https://github.com/行动。
  • 它应该包括超出静态代码分析静态代码分析"...the analysis of computer software that is performed without actually executing programs, in contrast with dynamic analysis, which is analysis performed on programs while they are executing." -维基百科,例如运行时检查,其中实际执行了来自插件的代码,以便涵盖额外的最佳实践。
  • 它应该允许自定义为插件运行哪些检查,包括允许选择可选的或实验性的最佳实践检查,或排除某些检查以进行更多的基线审计。

项目分解

其想法是,这个插件检查器插件将在GitHub存储库中开发,并最终作为插件发布在www.kotonoha369.com插件存储库中,或作为Composer包发布在Packagist上,或两者都发布。另一种分发方式可能是将其作为可配置的GitHub操作发布。从那里,开发人员和网站所有者都可以访问它,并可以按照他们喜欢的方式使用它。

一旦插件建立起来,就应该探索将这个新工具集成到www.kotonoha369.com插件提交基础结构中的机会,以便将大部分手工插件审查过程的部分自动化,并可能发现额外的问题。定制要运行的检查是非常关键的,特别是对于这个目的,因为很有可能插件库会运行一组不同于默认配置的检查,这强调了对所有插件的更基本的需求。雷竞技

虽然插件检查器的最初目的是让插件开发人员和站点所有者使用插件检查器,但在工具开发的所有阶段都需要考虑上述所有用例。

建议的方法

如上所述,插件检查器应该实现为一个插件本身,主要是为了便于安装,并在网站所有者或开发人员的WP Admin UI中使用。另外,它应该提供一个WP-CLI命令,这样插件检查也可以从命令行执行。

该工具的静态代码分析检查应该依赖于PHP_CodeSniffer的内部化版本,提供更大的灵活性并简化维护,因为这是一个成熟的工具。已经有现有的WordPress工具用于自动插件分析,其中一些还使用PHP_CodeSniffer,这意味着新工具可以使用一些已经建立的检查。此外,使用PHP_CodeSniffer将允许即使不是WordPress的环境也至少可以运行静态分析检查。

虽然可以通过静态代码分析检查许多插件需求,但这种方法有其局限性,特别是在涉及某些可访问性和性能最佳实践时。这就是除了静态代码分析之外,还有动态运行时检查非常关键的地方。动态运行时检查是不同的,因为它们实际上运行该插件可以检测其他问题,如未缓存或数据库查询慢。它们还可以更可靠地识别与过多脚本和样式表排队相关的问题。

与主题相比,插件的一个主要复杂性在于插件基本上拥有几乎无限的特性集——它雷竞技们可以做任何事情。这使得我们无法预测它们的预期行为。它还使定义一组要检查的可靠规则和指导方针变得复杂。然而,至少有一些方法可以检测插件的功能,例如当使用某些WordPress api时,比如注册帖子类型或块。这种检测机制也可以从运行时检查中获益;例如,一个插件可能不会以任何方式影响网站的主页,但它可能会导致一些问题,只是在特定的帖子类型。动态检查允许识别这类问题。

除了静态分析和服务器端运行时检查之外,包含客户端检查也会有好处。同样,只有通过这种检查才能可靠地检测到某些可访问性和性能最佳实践。不过,客户端检查的一个复杂性是,它们只能在浏览器环境中工作,因此从命令行运行它们将是一个挑战,除非在配置了无头浏览器的环境中。这使得在某些环境中运行这样的检查是不可行的。出于这个原因,插件检查器的建议方法将从关注静态分析检查和服务器端运行时检查开始,但是以一种将来可能添加客户端检查的方式构建基础设施。

有关不同类型检查的其他上下文,请参见早些时候提议文档

下一个步骤

在这一点上,性能团队希望从更广泛的社区中收集关于这个提议的反馈,特别是来自插件开发人员、插件评审团队和Meta是一个术语,指的是一个团体的内部运作。对我们来说,这是一个在内部WordPress网站工作的团队,比如WordCamp Central和Make WordPress。团队。请在评论中分享你的想法、问题或担忧。

一旦在前进的道路上达成共识,下一步将是为插件检查器插件设计基础设施,并开始在新的WordPress GitHub存储库中实现它。性能团队会很高兴能够领导这个项目,但是至关重要的是,来自其他团队的其他贡献者可以帮助它的开发,特别是在定义和实现不同的检查时。

这当然是一个雄心勃勃的项目,而且这也不是第一次出现插件检查器。需要澄清的是,它可能至少需要几个月的时间才能得到第一个版本。然而,我们乐观地认为,有了坚实的基础和从一开始的合作,我们可以创建一个满足可靠的自动插件检查要求的工具。

道具@shetheliving@mehulkaklotar@manuilov,@ipstenu用于审查和校对。

性能检查插件建议

谷歌驱动器将插件标记为“病毒”雷竞技

dr谷歌已经阻止了任何人通过电子邮件发送含有特定JS文件的zip文件(压缩/组合文件),现在已经完全将其作为“病毒”来阻止。

本周,使用谷歌Drive的用户遇到了一个新的麻烦。

如果你文件的所有者,你可能看到过这样的警告:

警告:对不起,此文件已感染病毒。只有所有者才允许下载受感染的文件。

或者在尝试下载的时候:

检测到病毒,因此无法下载此文件。

在这两种情况下,谷歌都很奇怪,遗憾的是这不是我们可以解决的问题。

这意味着你想要转变走了从使用谷歌驱动器分发你的拉链,为插件插件插件是一种包含一组功能的软件,可以添加到WordPress网站中。他们可以扩展功能或添加新的功能到你的WordPress网站。WordPress插雷竞技件是用PHP编程语言编写的,可以与WordPress无缝集成。这些插件可以在WordPress.org插件目录//www.kotonoha369.com/plugins/中免费提供,也可以是第三方提供的基于成本的插件雷竞技评论还可以定期分享一个拉链,有javascriptJavaScriptJavaScript或JS是一种面向对象的计算机编程语言,通常用于在web浏览器中创建交互效果。WordPress大量使用JS来获得更好的用户体验。当PHP在服务器上执行时,JS在用户的浏览器中执行。https://www.javascript.com/.他们过去只对Gmail这样做,所以他们将其扩展到Drive是可以理解的。遗憾的是,他们在实现上有点短视,虽然他们可能会去修复这个问题,但他们可能决定不关心它,继续阻塞。

还有其他服务如Dropbox或Wetransfer,但也请记住,你可以一直使用像Gitlab或GithubGitHubGitHub是一个提供git仓库在线实现的网站,其他开发人员可以轻松地共享、复制和修改这些仓库。公共存储库可以免费托管,私有存储库需要付费订阅。GitHub引入了“拉请求”的概念,在这里,贡献者在分支中所做的代码更改可以在被合并到存储库所有者之前被审查和讨论。https://github.com/(两者都会为你生成zip,所以你不应该上传zip本身到回购)。

我们很抱歉把事情搞成这样。

埃塔:猜猜看其他的使用谷歌管理附件?HelpScout。我有一张门票可以申请取消它,因为嗨。但现在,我们正迎来辉煌的一天。

下载google drive病毒

无效评论是怎么回事?

tl;博士:不要为自己做评论插件插件插件是一种包含一组功能的软件,可以添加到WordPress网站中。他们可以扩展功能或添加新的功能到你的WordPress网站。WordPress插雷竞技件是用PHP编程语言编写的,可以与WordPress无缝集成。这些插件可以在WordPress.org插件目录//www.kotonoha369.com/plugins/中免费提供,也可以是第三方提供的基于成本的插件雷竞技使用他人账户的。我们将删除它们并首先警告你,如果它一直发生,你的插件将被关闭。

有很多评论因为超出“正常”的方式无效而被删除。sockpuppetSockpuppet虚假的网络身份,通常由个人或团体为了推广自己的观点或观点而创建。通常用于推广或降低插件集体投票。雷竞技

我们知道这是混乱和可怕的,因为任何时候我们说“做坏事,你的插件将被关闭!”这是一个可怕的前景。我们确实知道。我们真的不想这么做,这就是为什么我们警告人们,而不是关闭所有犯错的人。我们的目标是,并且一直是,让用户可以下载功能强大、安全的插件,解决用户面临的问题。雷竞技

与此同时,我们知道开发者希望人们使用他们的插件,而实现这一目标的方法之一就是让插件受欢迎。雷竞技是的,成为“受欢迎”的方法之一就是获得很多好评。我们就是这样走到这一步的。有时人们会为自己的插件留下评论。雷竞技事实上,很多时候都是这样。

我们并不是在谈论一个开发者使用他们的开发者帐号在他们自己的插件上留下评论。虽然从长远来看这很奇怪且毫无意义,但我们目前并未禁止这种做法,除非你被标记为虚假评论。相反,我们推荐你检查你自己的插件,因为它帮不了你雷竞技。人们通常认为你喜欢你自己的插件,所以你的用户不会从评论中学到任何东西,因为你自己离开了它,你也不会学到任何东西,这是一个净损失。

我们所说的评论是指某人(或一群人)创建多个账户,用来对插件进行评论。雷竞技这是一个全球性的问题。虚假评论是巨大的问题不只是在WordPress.orgWordPress.org用户创建和共享WordPress代码的社区站点。你可以在这里下载WordPress核心、插件和主题的源代码,以及社区对话和组织的中心位置。雷竞技//www.kotonoha369.com/.尤其是亚马逊充斥着虚假评论,他们越来越难被发现了.在它们变得“糟糕”之前发现它们是一场持续的战斗。“我们并不完美,这就是为什么我们第一次看到有人留下虚假评论时,我们警告他们。之后发生的事就很能说明问题了。

要记住的一件大事是,评论有两个目的:

  1. 你的用户可以看到其他人对你的插件的感觉(以及你如何处理差评)雷竞技
  2. 你可以看到人们对你和你的作品的真实感受

这两件事,当它们是积极的,可以帮助你的插件变得更受欢迎。当然,如果他们是消极的,就会伤害到你。这就是为什么人们如此努力地工作来获得和赢得积极的评价。

什么是虚假/无效的评论?

假评论是指由某人做的评论你的实际用户。

听起来很简单,对吧?如果你为别人写了一篇关于你自己产品的评论,却隐瞒了自己的真实身份,那就是假的。发生这种情况最常见的原因是,实习生或营销人员想出了一个好主意,在WordPress.org的评论系统上分享客户的故事。这个问题?他们发布客户,在做假评论。

另一种制造虚假评论的常见方法是使用木偶。

sockpuppet是什么?

“马甲”是一种用于欺骗目的的网络身份。这个词指的是用一只袜子做一个简单的手偶,最初指的是某人为了隐藏自己的身份、吹捧自己而假装的虚假身份。

例如,如果你建立了第二个账号,发布了一个关于你的插件的问题,然后回复作为您的普通账户吗?你做了一个袜子木偶。

Sockpuppet帐户通常用于给插件留下积极的评论。雷竞技

什么是无效的评论?

无效的评论是在胁迫或其他促销鼓励下做出的,或者是代表真实的人做出的。

例如,如果用户留下评论,你就为产品提供折扣,那么你实际上是在贿赂他们的评论,这就意味着这是无效的评论。当人们因为评论得到补偿时,他们通常会留下比你直接提出的更好的评价。与此相关的是,如果你告诉某人你不会退还他们的钱除非他们留下了积极的评价,你勒索了他们,这也是无效的。

再举个例子,如果有人通过电子邮件或在你的网站上给你留下了很好的评论,而你帮助他们在WordPress.org上创建了一个用户帐户(或为他们创建),只是为了留下这条评论,你就使他们的评论无效了。我们无法确定你没有修改评论,而你的参与可能只是因为你在场就改变了评论的内容。

另一种无效的评论是由与你有私人或职业关系的人所做的。换句话说,如果你让你的父母、同事或共享办公地点的人留下评论,你无意中要求他们做出无效的评论。这有点棘手,因为有时他们是您的用户。这里的问题是,那些了解你的人更愿意留下好评,但他们也会当面(虚拟或其他方式)告诉你他们的感受。实际上你并不需要他们的评价,通过你现有的关系,他们可以更诚实地与你交谈。

与此相反的是,有时候你的好友会合法地使用你的插件,并看到“Please review!”,然后给你留言。这些都是完全可以的,很少引起危险信号。

你怎么知道那篇评论不是真的?

这或多或少就像人们知道一篇学期论文是否被抄袭一样。

在大多数评论中都有明显的线索,泄露了真正的作者。我们还会考虑用户的年龄(也就是说,他们多久前创建了自己的账户),他们的其他行为,他们从哪里登录,他们的数字足迹,他们的电子邮件,等等。然后我们将其与其他所有针对该插件的评论进行比较而且为其他插件和主题在同雷竞技一时间。

或者,正如我们告诉人们的那样,我们有一套复杂的启发式方法,还有研究人员,他们是追踪用户的专家。

你为什么不能提供细节?

两个原因总结起来就是隐私和安全。

首先,我们透露得越多如何我们这样做,就会有更多的人知道如何绕过它们。就像垃圾邮件。垃圾邮件发送者越了解他们是如何被抓住的,他们就越努力绕过这些限制。

第二,这一点更重要,有些信息是私人.告诉人们到底是谁做了坏事,我们是怎么知道的,分享ip地址和电子邮件,都是侵犯隐私的行为。这将与GDPR相关法律相冲突,顺便说一下,美国的一些州(如加利福尼亚州)也存在这种情况。

我报告了一个评论/帐户是假的,为什么有人告诉我它不是?

因为它不是。

大多数被报告为“虚假”的评论来自于开发者报告一个全新用户,该用户在论坛上发布的唯一帖子是对其产品的负面评论。

这并不意味着这个账户是假的。这甚至不意味着审查无效。意思是某人很生气,想要结账并留下评论。我知道这是一件非常痛苦的事情,但是仅仅因为有人不喜欢你的作品并不意味着他们或他们的评论是无效的。

我们使用我们的工具来检查帐户,并删除任何我们可以证明是假的东西,但很多时候,这真的只是愤怒的用户。

我听说你在追踪VPN的使用情况,是真的吗?

不,我们不跟踪VPN的使用情况,但我们会考虑使用情况。

没有什么使用VPN的错误。我正在写这篇文章。问题是人们使用vpn来绕过禁令或隐藏他们的账户。这就是为什么标记一个VPN的使用(以及它是哪个特定的VPN)是我们过程的一部分,但它不是最终的事情。

请记住,有些vpn被恶意行为者大量利用。有些专门用于生成虚假评论。如果你的公司正在使用VPN,确保它是一个合法的VPN(而不是那种免费的,夜间飞行的)。

如果我的插件被标记为虚假评论会发生什么?

首先,你会收到警告。一般来说,这是每个人发现自己被标记的方式。我们将在您的插件以及帐户上做一个说明。

在那封警告邮件中,你会被告知你被标记的原因,我们看到了评论,它们已经被删除,所有可疑账户都已被暂停。我们的电子邮件上有阅读收据,所以我们知道是否/何时有人阅读了它。这意味着情况持续,没有人阅读邮件,我们将关闭您的插件,以迫使您关注。雷竞技如果它继续发生之后,你将找到你的插件雷竞技而且账户关闭。

邮件中还解释说,我们只想让虚假评论停止。错误发生了,请不要再犯。

为什么我的一些评论消失了,而我不是警告?

这意味着要么你在收到邮件前就注意到了,要么(更常见的情况是)我们发现了某人其他的想要陷害你。我们通常不告诉你,以免吓到你。删除无效评论是每个评论平台的常态,如果我们每次删除垃圾评论或虚假评论时都告诉你,你很快就会感到厌烦。

一些有效的评论被删除,我如何得到他们回来?

在大多数情况下,你不会。

我们知道评论出现对你来说是有效的,但我们能看到你看不到的东西。举个例子来说,你的真正用户不会使用来自俄罗斯的VPN和一次性电子邮件地址去留下与另一个来自加拿大的评论相同的评论,并同时使用不同的VPN。还有一些用户认为制作假账号来推广你是一个好主意。我们不知道他们为什么这么想,但我们会删除这些内容,用户将被禁止,所以他们的所有评论都是无效的。

还有一个普遍的趋势是,公司会进行评估人。他们会得到一个很好的证言,然后用它来做一个评价。听起来很聪明,但它仍然是垃圾邮件。

如果我因为虚假评论而被警告,我该怎么办知道不是我干的?

虽然这听起来很可怕,你是不是确定?双重检查。你和其他人一起工作吗?你和别人共用一个办公地点吗?你和你的公司都使用同一个VPN吗?你是否在一个面对面的活动中让一群人留下评论?你的配偶是否告诉你你的插件有多酷并留下评论?所有这些都可以设置警告标志,因为他们模仿可疑的行为。

如果这些听起来很熟悉,坦白吧。只要告诉我们“嘿,对不起,我让我的同事/配偶/家人留言了。我不知道那会是什么样子。”

如果你还确定不是你干的,就告诉我们。“我不和别人合作,我知道这不是我干的。”我们将再次检查。有可能有人试图攻击你,虽然我们尽一切努力尽可能确定不是这样,但我们并不比你更完美。

我们非常清楚电子邮件是多么痛苦和可怕,我们已经在语言上努力,以确保它不那么可怕。

我因为虚假评论被警告过我的错。现在怎么办呢?

道歉,不要再犯了。真的,就是这样。错误总会发生,犯一个也没关系。只是不要重复。我们绝对、完全地原谅诚实的错误。

我们提醒你一定要确定每一个人和你一起开发插件的人都知道这一点。你要为你的员工/同事等代表你采取的行动负责。如果他们发垃圾邮件,你就得为他们的行为负责。通常我们会看到重复的违规行为。

我收到邮件说我的一个客服代表因为虚假评论被封号了。我能帮他们解决这个问题吗?

在大多数情况下,是的。但是,只要他代表你的公司,你将被要求正式为他在WordPress.org上的所有行为负责。这意味着他们做的每一件事都是你的责任,如果他们违反了任何准则,你就会为此承担责任。

在某些情况下,这个人会被永久禁止,这通常意味着它与之前的指南问题有关。如果是这样的话,我们会解释,在任何情况下,你都不能帮助这个人重新获得权限。我们认识到,有时员工或员工会耍流氓,我们正试图使您与他们的行为绝缘。

我如何才能确保自己不会因为虚假评论而被意外标记?

很高兴你发问!除了显而易见的(不要雇人来提高你的评论评分),你还应该注意以下几点:

  • 不要让你的同事(无论是同一家公司还是共用一个办公空间)给你留言
  • 不要让别人在你面前留下评论
  • 不要让你的家人/朋友给你留言
  • 不要为人们的评论提供“奖励”(这是贿赂)
  • 不要让人们留下评论
  • 需要对任何事物的评论(例如,“如果你留下评论,你就会获得免费X !”)
  • 只使用信誉良好的VPN服务(如果是免费的,就不要使用)
  • 确保使用WP.org论坛的每个与你一起工作的人都有自己的想法自己的账户

我如何获得更多有效的评论?

你可以(也应该)询问你的用户!在你的插件设置页面上放一个通知。制作一个可撤销的警告,要求人们审查。在Twitter或你的网站上发布。但真的吗?这取决于以一种友好的、非垃圾的方式询问用户。这些人会留下你需要的评论。

为什么我不应该让我认识的人留下评论?

我理解为什么人们会对这个感到困惑。问别人的评价是可以的,但问你认识的人就不行吗?是啊,听起来很奇怪。但问题的关键是首先要考虑评论是为了什么。

评论是某人对你的插件的经验。无论好坏,都是他们在使用插件并分享他们的故事。

如果你要求人们留下评论来了解他们喜欢和不喜欢你的插件,那么问你认识的人就没有意义了,因为你可以直接问他们。反过来,他们可以当面告诉你他们的感受。此外,他们通常更倾向于留下好评,尽管我承认我们看到有人给他们的配偶留下1星的评价。

有趣的是,该评论是无效的,因为这是对开发人员的人身攻击。

问题吗?担忧吗?

有一个喊。

的指导方针提醒评论

喜乐sanitize_url ()

每天至少要有人解释一次,唯一的esc_你可以用来消毒的函数是esc_url_raw ().这源于(当时)一个合乎逻辑的变化。这个函数sanitize_url ()是一个别名esc_url_raw ()两者都是多余的。

除了……

多年来,WordPress已经发展和改进了函数名说“使用sanitize_消毒和的功能esc_这让新用户的生活变得更加容易。他们不需要记住任何奇怪的函数,除了wp_kses *的人。

对于WordPress 5.9,我做了一张恢复的票sanitize_url ()我很高兴能说它回来了!这是联合国弃用!

有什么区别呢?

除了名字,什么都没有。

我可以继续使用esc_url_raw()吗?

是的,现在。最终,我们想让人们戒掉它,但这是一个过程。别担心。如果你在用它,我们就不会叮你。

为什么这很重要?

因为现在你(和其他人)可以看到$variable = sanitize_url($_POST['variable_url']);知道"啊,是的,这是消毒过的"

你发这个是因为你做了改变吗?

不。I’m posting this because I promised some of the people I made that ticket for that I would It’s delayed because I’ve been swamped.

这对大多数人来说改变不大,但对新开发人员有很大帮助,并使他们的困惑最小化。这吗?这是一件奇妙的事情!

我的代码嗅探器告诉我这是错误的,我该怎么办?

Tell the people who run the sniffer, but keep in mind they’re probably adding in a bunch of changes, so it may take a while Be cognizant of the work they do and respectful of the time they give you. Helps everyone.

核心安全

特色/Beta插件现在限制更雷竞技改

如果你的插件插件插件是一种包含一组功能的软件,可以添加到WordPress网站中。他们可以扩展功能或添加新的功能到你的WordPress网站。WordPress插雷竞技件是用PHP编程语言编写的,可以与WordPress无缝集成。这些插件可以在WordPress.org插件目录//www.kotonoha369.com/plugins/中免费提供,也可以是第三方提供的基于成本的插件雷竞技是有特色的或ββ一种预先发布的软件,分发给大量用户在真实条件下进行试用。Beta版本已经通过了内部alpha测试,在外观、感觉和功能上与最终产品相当接近;然而,设计更改常常是过程的一部分。插件,这意味着被WordPress项目正式认可,你将不能再添加或删除提交者,也不能改变所有权。

这一改变是由于这些插件的高调性质,以及如果插件被提供给恶意的人可能会被滥用。雷竞技我们希望它能防止像特色插件变成高价升级插件这样的问题。

这与插件的大小无关。如果一个2用户的插件被做成特色插件,那么它就会有这个限制。也就是说,它也不会引起任何改变提出了特性插件或自我声雷竞技明的beta。

如果你是其中一个插件的所有者/提交者,你可以根据需要增加支持代表,但你需要给插件团队发邮件(雷竞技' plugins@www.kotonoha369.comWordPress.org用户创建和共享WordPress代码的社区站点。你可以在这里下载WordPress核心、插件和主题的源代码,以及社区对话和组织的中心位置。雷竞技//www.kotonoha369.com/’)添加/删除新的提交者,并在需要时更改所有权。

特性安全

日志入口:删除Zamir插件

在国际标准时间2022年3月23日17:30左右,我收到了一份插件插件插件是一种包含一组功能的软件,可以添加到WordPress网站中。他们可以扩展功能或添加新的功能到你的WordPress网站。WordPress插雷竞技件是用PHP编程语言编写的,可以与WordPress无缝集成。这些插件可以在WordPress.org插件目录//www.kotonoha369.com/plugins/中免费提供,也可以是第三方提供的基于成本的插件雷竞技在WordPress生态系统中,贡献者标记为可能违反插件目录指南。最初的对话可以在Slack上找到。根据我作为执行主任的审查,大约一个小时后插件被从目录中删除。这篇文章将提供关于发生了什么以及预期的下一步的信息。

tl;博士:Zamir插件利用了插件指南中的一个漏洞来保护WordPress社区的成员。目前没有任何指导方针禁止“支持”政治倾向或政治事业,而这个插件的描述声称它正在这么做。由于Z作为仇恨和暴力的新符号出现,在最初的检查中被认为是灰色地带,在进一步审查中被删除。


这个插件违反WordPress指南了吗?

是的!许多社区成员分享了Z符号如何成为支持俄罗斯在乌克兰持续战争的象征。作为提醒,WordPress指南呼吁所有社区成员——包括插件作者这样的扩展者——“友善、乐于助人、尊重他人”。一个与正在进行的战争和人道主义危机有关的象征并不是这些事情。

采取了什么行动?

在WordPress贡献者和社区成员的帮助下,该插件已经从插件目录中删除。虽然移除插件的决定通常是在一个更慢、更合作的调查过程雷竞技中做出的,但快速果断的行动是适当的,以防止对社区的进一步伤害。

谢谢你@santanainniss把早上的时间线整理出来@ipstenu为了解决这个问题。额外的感谢@cbringmann@海伦@angelasjin而且@eidolonnight他们的评论。感谢我们社区的贡献者表达他们的担忧