L’équipe chargée des extensions de WordPress a publié une déclaration concernant les extensions qui apportent des modifications aux services de mise à jour des utilisateurs.
Ceci est la traduction d’un article de Sarah Gooding sur WP Tavern
À moins que votre extension n’ait pour but de gérer les mises à jour, vous ne devez pas modifier les réglages par défaut des mises à jour de WordPress.
Vous pouvez proposer une fonction de mise à jour automatique, mais elle doit respecter les réglages de base. Cela signifie que si quelqu’un a réglé son site sur “Ne jamais mettre à jour l’une de mes extensions ou l’un de mes thèmes”, vous ne devez pas modifier ces réglages pour lui, à moins qu’il ne le demande.
Cette déclaration est motivée par le fait que des extensions dépassent cette limite, qui, jusqu’à récemment, était simplement comprise mais pas explicitement interdite. Mika Epstein a déclaré que cette pratique « détruit la confiance que les utilisateurs ont en vous pour ne pas casser leurs sites ». Elle donne également une mauvaise image de WordPress dans son ensemble quand les auteurs d’extensions abusent des fonctionnalités de base pour servir leurs propres intérêts.
« Malheureusement, cela est arrivé récemment à une extension bien utilisée, et les retombées ont été assez mauvaises », a déclaré Mika Epstein.
Elle n’a pas identifié l’extension en question, mais un incident particulier qui s’est produit le mois dernier ressemble beaucoup à cette description. Le 21 décembre 2020, l’extension All in One SEO a activé les mises à jour automatiques sans en informer ses utilisateurs, à part une courte note ambiguë dans le journal des changements.
All in One SEO était actif sur plus de 2 millions de sites WordPress quand il a lancé cette mise à jour. De nombreux utilisateurs ont été frustrés de découvrir que leurs sites avaient été mis à jour sans autorisation, alors que les mises à jour automatiques étaient désactivées pour l’extension. Les développeurs de l’extension ont supprimé la fonction de mise à jour automatique de l’extension au début du mois, pour laisser WordPress gérer les mises à jour.
Après cet incident, les personnes concernées se sont posées des questions. WordPress devrait-il autoriser cette pratique ? Les développeurs d’extensions devraient-ils être tenus de placer une notification dans le tableau de bord s’ils vont activer les mises à jour automatiques ? Si de nombreux utilisateurs sont prêts à faire confiance au noyau de WordPress pour effectuer des mises à jour automatiques en toute sécurité, certains ne sont pas prêts à étendre cette confiance aux développeurs d’extensions, dont la qualité des mises à jour varie considérablement. L’équipe chargée des extensions, qui a offert des conseils et une communication sur ce sujet, était absolument nécessaire pour dissuader les développeurs d’extensions agressives de détruire ce qui est encore une confiance fragile dans les mises à jour automatiques.
« Pour l’instant, nous n’avons pas de plan pour le préciser dans un guide », a déclaré M. Epstein. « Nous signalons régulièrement les extensions qui dépassent les limites qu’elles se sont imposées, et ce n’est pas un changement. S’il vous plaît, respectez vos utilisateurs ».