Nelle scorse ore gli sviluppatori del noto Blog engine/CMS Open Source hanno reso disponibile WordPress 4.2.3, una nuova release resasi necessaria a causa della presenza di una vulnerabilità di livello critico agli attacchi basati sull'XSS (Cross-site scripting); l'upgrade è stato installato automaticamente in tutte le piattaforme per le quali gli admin hanno abilitato gli aggiornamenti automatici in background, ma tale migrazione non sarebbe stata del tutto indolore.
A testimonianza di ciò vi sarebbero le segnalazioni di numerosi utenti che avrebbero lamentato malfunzionamenti e interruzioni di servizio a carico delle proprie installazioni, problematiche motivate da alcune modifiche a carico della Shortcode API e incluse nella versione più recente; in sostanza, a causa della gravità del bug rilevato, gli sviluppatori del progetto avrebbero deciso di agire tempestivamente, ciò però non avrebbe permesso di comunicare i cambiamenti subiti dall'interfaccia coinvolta in tempo utile ai creatori di estensioni.
Per limitare quanto più possibile le conseguenze negative derivanti dall'aggiornamento si sarebbe proceduto anche ad un'analisi delle soluzioni presenti nella directory dei plugin, ciò in modo da identificare quelli più esposti, ma questo accorgimento non avrebbe impedito il verificarsi di incompatibilità; nel complesso comunque, le features a livello di core della API sarebbero state salvaguardate, motivo per il quale soltanto alcuni utilizzi degli shortcode avrebbero potuto esporre un sito Web alle problematiche segnalate.
Quanto accaduto potrebbe in ogni caso rappresentare lo spunto per delle riflessioni che coinvolgano in varia misura core developers, sviluppatori di plugin e coders che basano i propri progetti su WordPress:
- attualmente l'implementazione dell'applicazione sembrerebbe essere ispirata ad un criterio eccessivamente improntato al centralismo decisionale, una tendenza evidenziata dalla recente volontà di integrare un Menu Customizer accolto con perplessità dalla community;
- l'accentramento delle iniziative si starebbe traducendo in un difetto di comunicazione tra plugin developers e responsabili del core;
- comprensibili le necessità legate alla sicurezza di WordPress, ma per alcuni versi apparirebbe meno giustificabile il rilascio di un minor update basato sulla modifica di un'API a pochi giorni dal rilascio di WordPress 4.3;
- sembrerebbe ancora radicata la tendenza a un utilizzo eccessivo di plugin di terze parti, probabile segno che a fronte di un'adozione sempre più diffusa di WordPress il numero di coloro che realizzano from scratch le estensioni desiderate è ancora molto limitato;
- medesimo discorso per gli shortcode, delle soluzioni il cui impiego dovrebbe essere invece quanto più raro possibile soprattutto per evitare impatti negativi a livello di performances.
Tutte problematiche almeno teoricamente superabili, ma per modificare l'attuale stato di cose potrebbe essere indispensabile una maggiore capacità di coinvolgimento della community da parte del core team.
Via WpTavern