В начале октября популярный плагин Postman SMTP был удален из WordPress.org из-за проблем с безопасностью. Плагин не обновлялся в течение двух лет, а также содержал отраженную уязвимость кросс-сайт (XSS), которая была обнародована в июне и оставлена незафиксированной. Попытки исследователя безопасности связаться с автором плагина Джейсоном Хендриксом оказались безуспешными.
Плагин используется для улучшения доставки писем, которые WordPress генерирует, и он регистрирует причины неудачных писем, чтобы помочь устранить ошибки конфигурации. Он был установлен на более чем 100 000 сайтов, прежде чем он был удален из WordPress.org.
Иегуда Хассин, разработчик WordPress и давний пользователь плагина, решил расковать его ради своих пользователей и потому, что он думал, что это позор, чтобы увидеть все оригинальные авторские тяжелые работы впустую.
«Как поклонник удивительной работы Джейсон сделал, я был поражен, никто не думал о принятии его на», сказал Хассин. «Это большой плагин — Джейсон решил так много проблем, связанных с SMTP установки в WordPress. Он так много работал, и идея, что она может исчезнуть, потрясла меня. Плагин работал с почти нулевым ошибок в течение последних двух лет «.
Вилка Hassine начала на GitHub с исправлениями для проблемы безопасности, но он сказал, что он понял, не имея его на WordPress.org может быть проблемой для некоторых пользователей. Он представил его под новым именем, Post SMTP Mailer / Email Log, и включил патч для уязвимости безопасности вместе с исправлениями для нескольких ошибок с Gmail API, Mandrill, и SendGrid. Следующий пункт его дорожной карты заключается в том, чтобы исправить несколько проблем с совместимостью PHP 7.
Hassine также попросил принять оригинальный плагин, так как нет никакого способа связаться с 100000 пользователей, которые зависят от него. Он сказал, что WordPress.org команда плагина отклонил его просьбу в это время из-за количества пользователей и его относительной незнания в сообществе, а также дать первоначальному автору больше времени, чтобы ответить.
Пост SMTP Mailer / Email Log вилка была жива в течение недели и уже имеет более 1000 пользователей. Хассин сказал, что он проводит свое свободное время, знакомясь с протоколом SMTP и оригинальным кодом Хендрикса. Почтальон SMTP пользователей, которые хотят перейти на вилку можно сохранить те же настройки, просто деактивировать старый плагин и активации нового.
Hassine обязалась держать плагин бесплатно, так как многие из его пользователей несколько технических и в состоянии предложить друг другу поддержку. По его словам, если вилка станет популярной и более сложной в обслуживании, он рассмотрит коммерческую модель поддержки.
Пользователи оригинального плагина Postman SMTP не имели возможности узнать о причинах его исчезновения, за исключением сторонних сайтов, таких как блог Wordfence или посты в Facebook. Команда WordPress.org Meta в настоящее время работает над разработкой лучшего способа сообщить, почему некоторые плагины были закрыты или удалены из каталога. Это пункт высокоприоритетного билета для команды, и решение должно быть на месте, когда следующая версия плагина каталог идет жить.
Оригинал: wptavern.com