WordPress Plugin Warnung "WP User Avatar"

netzgestaltung

Captain
Registriert
Jan. 2020
Beiträge
3.542
Hi Leute,

vor 2 Tagen hat der Autor von "WP User Avatar", einem Plugin das Gravatar deaktivieren ließ aber auch Shortcodes zur Avataranzeige sowie ein ein Widget mit Updatefunktion für den Avatar enthalten hat, dieses selbst gekapert (hijacked) und mit Version 3.0 in ein gänzliches anderes Plugin gewandelt:

User Registration, User Profiles, Login & Membership – ProfilePress (Formerly WP User Avatar)
https://wordpress.org/plugins/wp-user-avatar/

Wie der Titel schon verrät wurden dadurch einige Veränderungen auf WP Seiten ausgelöst. Scheinbar war das auch alles nicht ordentlich getestet, da ich auf mehreren instanzen im Frontend Fehlermeldungen zu Fehlgeschlagenen Datenbanktabelleneinrichtung, im backend meldungen das Loginseiten eingerichtet werden sollen, Fehlerseiten "hat eine Technisches Problem" bei klick auf "No Thanks" oder auch "Dismiss".

Das Update kommt mit der Meldung:
Eine neue Version von WP User Avatar ist verfügbar. Details der Version 3.1 ansehen oder jetzt aktualisieren.

Beschwerden und Reaktionen von anderen Usern wurden von wordpress.org moderatoren gesperrt/gelöscht, weil es "Bloginhalte" wären. Ich kann und will das nicht beurteilen.

Die Sternebewertung ist jedenfalls von 5 auf 3,4 gesunken, hier lässt sich der Move auch schön nachvollziehen.
Der Pluginautor versucht das vermutlich durchzutauchen.

Eine Meldung bei plugins@wordpress.org brachte Folgende Reaktion:

What plugin authors decide to do with their plugins is not really our concern. It may be unpopular, but unless it's doing something actively malicious, it's allowed.

The plugin changes may be unpopular, but that's how things work. People can stop using the plugin or switch to another plugin. All these plugins are free, after all. We're not paid for them. Nobody pays anybody anything, we only host a free repository here.

Also, remember that these plugins are all open source. The code is entirely free. If somebody wants to take the older version of the code and submit it as a fork for users to switch to, then that's entirely plausible too...

Sometimes, you have to let people figure things out on their own. Simply telling a plugin author that a full overhaul with a bunch of new stuff is a bad idea isn't really going to get you anywhere. They have to screw it up themselves and have the people tell them so, in order for them to figure out where they went wrong.


Ein anderes Plugin "Simple History" das mir Benutzeraktivitäten anzeigt hat auf manchen Seiten nur mehr Fehler protokolliert.

Wer sich also irgendwo "WP User Avatar" installiert hat, sollte sich dringend den Zustand seiner Seite ansehen.

Alternativen
Derzeit bin ich selbst noch am Recherchieren, vorerst habe ich "WP User Profile Avatar" genommen, welches nach einem Fork einer älteren Version von "WP User Avatar" aussieht: https://wordpress.org/plugins/wp-user-profile-avatar/

Je nachdem welche Funktion benötigt wird gibt es aber verschiedene Alternativen. Ich werde sie hier zu meiner eigenen Dokumentation listen.

lg
tom
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Murray B.
Stecken halt die wenigsten User drin.

So lange alle Free Features weiterhin gehen, ist das wohl kein Grund zur Sorge. Was willst du uns sagen? Die Migration von 2x zu 3x ging nicht fehlerlos?
 
Das ist unterschiedlich je nach art der Installation. Wenn bereits irgendeine Mitgliederfunktion aktiv ist kann einiges brechen. Abgesehn davon sind alle Buttons zum verneinen nicht ausreichend getestet gewesen und führen zu Fehlermeldungen. Bei einigen instanzen gab es Fehler im Frontend und auch das Avatar-Upload Widget hat nicht mehr funktioniert.

Dadurch das das Plugin vor dem Update auch keinen Hinweis gab, war das alles, auch der Change zu einem ganz anderem Plugin keinesfalls absehbar. Kaum einer hat einfach migriert sondern die meisten mußten das Teil entfernen. 400000 Instanzen wo das installiert war sind ja auch nicht nichts...

Wer mit drölfzig neuen Funktionen über Nacht kein Problem hat, für den ist eh alles fein.
 
Hier gibt es auch weitere Entwicklungen, ehemals gelöschte Posts werden nun bei den Reviews stehen gelassen:
https://wordpress.org/support/topic/unethical-plugin-developers-black-hat-marketers/
https://wordpress.org/support/topic...-avatar-by-profilepress-is-not-a-good-idea-2/

Und es gibt eine allgemeine Diskussion:
https://wordpress.org/support/topic...ly-changed-what-are-the-ethics-wordpress-tos/

Letztlich geht es um das Vertrauen in automatische Updates als solches und um technische Maßnahmen wie Staging oder Versionsarten, zb: nicht automatisch updaten, wenn eine "es ändert sich alles" Version kommt. bzw bedeutet das dann einen Verstoß gegen Richtlinien wärend jetzt "alles ok" ist.
 
Wollte mich zu diesem Thema ebenfalls äußern:
Ich habe die gleiche Erfahrung gemacht - ich hatte das Plugin installiert und bin jetzt zu "WP User Avatars" (mit s!) gewechselt.
Mein Kommentar inklusive Verweis auf das andere Plugin wurde von einem Moderator gelöscht mit der Begründung, dass eine Bewertung ja ok ist - aber man solle keine andere Empfehlung abgeben. Begründung - Zitat:

I have removed your review.

If you want to leave a review then do so. But keep it about that plugin and do not use the review to make recommendations for something else. That's trolling and not appropriate.

Ich finde ja nicht, dass das trolling ist. Meiner Meinung nach ist das was der Autor sich da geleistet hat - nämlich ein Plugin plötzlich zweckentfremden - gegen jeden Grundsatz wofür die Community "Wordpress" steht.

Im Übrigen hat der Autor hier seine eigene Meinung kundgetan:
https://wptavern.com/profilepress-r...ia-the-wordpress-review-system#comment-378065

Ich finde seine Erklärung etwas scheinheilig. Das hätte man anders machen können.

Grüße
ShootY
 
  • Gefällt mir
Reaktionen: netzgestaltung
Danke für den Link, ich warte noch ab welche Alternative ich schlussendlich nehmen werde. In den meisten Fällen will ich eh nur Gravatar deaktivieren, das geht vermutlich einfacher. In einem besonderen Fall hab ich tatsächlich das Avatar Upload-Widget in Verwendung. Mal auf den Fork warten...

in einem weiteren Artikel haben sie auch Forks und Alternativen gelistet:
https://wptavern.com/forks-and-alternatives-custom-user-avatar-plugins-for-wordpress
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: PS-ShootY
Zurück
Oben