Un dilema ético para los desarrolladores de complementos de WordPress

Recientemente noté que un popular complemento de WordPress activaba las actualizaciones automáticas sin notificar explícitamente a los usuarios. ¿Cómo me enteré? He recibido correos electrónicos de todos los sitios en los que se ha instalado el complemento informándome que se ha completado una actualización.

Pero está mejorando. Durante unas vacaciones, un colega me pidió que mirara un sitio web que no se cargaba correctamente. Encendí la depuración y descubrí que, lo adivinaste, este complemento en particular era el culpable. La actualización automática falló y faltaban algunos archivos clave. Afortunadamente, cargar manualmente una copia nueva del código solucionó el problema.

El incidente me hizo pensar en la ética detrás de este paso. No solo con un autor de complemento específico, sino con todos los desarrolladores de complementos y temas de WordPress en su conjunto. Asique extendido a otros miembros del grupo de Facebook de WordPress avanzado para recibir comentarios. ¿Se debería haber notificado a los usuarios que se habilitaron las actualizaciones automáticas?

Hubo una gran discusión sobre los pros y los contras. Y Search Engine Journal analizó el problema todo en uno. artículos además. Resulta que muchos profesionales de la web no estaban interesados ​​en la idea de habilitar esta función sin previo aviso.

Así que echemos un vistazo más de cerca a este dilema ético al que se enfrentan los desarrolladores de WordPress y toda la comunidad de desarrolladores. Eres una parte más importante del trabajo de lo que piensas.

El rompecabezas de la seguridad

Se puede argumentar que los autores de los complementos estaban motivados al menos parcialmente por la seguridad de WordPress. Si un complemento tiene una falla de seguridad, significa que los sitios web estarán expuestos hasta que ese exploit sea parcheado. En el pasado, los propietarios de sitios web (o sus diseñadores web) eran responsables de aplicar las actualizaciones.

Por supuesto, no todo el mundo aplica actualizaciones con regularidad. Por esta razón, WordPress 5.5 introdujo una función de actualización automática. Los propietarios de sitios web pueden optar por actualizaciones para sus temas y complementos. Las versiones menores de WordPress Core se actualizaron automáticamente durante años, y WordPress 5.6 permitió que las versiones principales hicieran lo mismo.

Todo su sitio ahora está listo para ser puesto en piloto automático. Esta funcionalidad puede ser una excelente manera de limitar su exposición a exploits. Sin embargo, la utilidad de esta función no es realmente la cuestión. Es la implementación.

Si los autores de complementos o temas pueden habilitar esta función sin avisar a los usuarios, entonces se trata de un accidente que está esperando a suceder. El escenario que experimenté es solo un pequeño ejemplo. Imagínese si alguien usara esto para enviar código malicioso a los millones de sitios web que lo usan voluntariamente. Incluso si no es probable, todavía es posible.

Entonces, ¿vale la pena correr el riesgo de tener habilitadas las actualizaciones automáticas de forma predeterminada? ¿O supera los riesgos de seguridad de No ¿con usted?

Candados en una valla.

Informar a los usuarios de los cambios

Hay muchas razones para activar las actualizaciones automáticas y permitir que los usuarios las descubran por sí mismos (o tal vez nunca). Un estribillo común es que la mayoría de las personas no tienen cuidado, por lo que es mejor protegerlos. O tal vez un complemento tiene una dependencia que requiere actualizaciones bloqueadas.

Quizás eso tenga sentido en algunos casos. Pero todavía diría que es ético informar a los usuarios sobre este tipo de cambios. O al menos hacer un esfuerzo honesto para hacerlo.

La interfaz de notificación de WordPress está llena de noticias sobre las ventas del Black Friday y nuevas funciones. ¿Por qué no comunicar algo importante? Incluso si se pierde en el lío, al menos un autor del complemento puede decir que lo intentó.

También sería útil ir un paso más allá y anunciar claramente dicho cambio en una publicación de blog oficial, en las redes sociales o en un foro de soporte. Cada canal de comunicación que conecta a los desarrolladores con los usuarios es un juego.

Símbolos de tráfico.

¿La mejor opción? Deja que los usuarios decidan

Creo que una de las lecciones más importantes de esta situación es que activar una función potencialmente defectuosa sin previo aviso es perjudicial para las relaciones con los clientes. Y a pesar de las buenas intenciones del desarrollador, algunas personas tendrán problemas reales, bastante ruidosos.

Es una reminiscencia de la época en que Apple agregó un álbum de U2 a cada cuenta de iTunes. Lo que se suponía que era un acto de benevolencia fue golpeado, bueno, Ira en algunos casos.

Para los autores de temas y complementos de WordPress, la mejor manera puede ser alentar actualizaciones automáticas. Utilice los mismos canales para promover la función en lugar de obligar a los usuarios a desactivarla. Eso crea confianza en lugar de desconfianza.

¿Habrá tanta gente usando la función? Probablemente no. Pero la psicología en juego aquí te hace ver mejor a los ojos de las personas que usan tu producto. Es más probable que se queden con usted y realicen compras futuras.

Muy pocas cosas son seguras en la vida. Sin embargo, normalmente puede confiar en que los usuarios le dirán lo que piensan de sus decisiones. Por eso es importante escuchar y aprender.