Группы WordPress Сторонние плагины

16 июня 2018 в 16:03

Автор: Владимир Otshelnik-Fm

Войдите на сайт, и вы сможете вступить в группу.
Вы сможете подписаться на выход новых материалов группы.
Вы сможете подписаться на новые комментарии к выбранной записи группы.

- именно такое выражение лица было у меня, когда один из пользователей спросил - "ну что там: uLogin - можно использовать на своем сайте?". Я посмотрел и увидел что воз и ныне там. А полгода пролетели и все как бы забыли...

Начало истории было тут

Кратко: третьи лица, партнёры сервиса uLogin, получают доступы к вашим формам ввода информации на сайте. Они видят что туда вписывает пользователь и используют для себя. Поведение, что uLogin на мой сайт, без моего согласия, загружает чужие скрипты - считаю неприемлемым и опасным. Ни я, ни специалисты по безопасности из uLogin (если такие есть вообще) - не могут контролировать что за скрипт подсунет нам их партнер. А это, вдруг, может быть сбор паролей - и в том числе админа. Как потом админский пароль можно использовать - думаю говорить не нужно.

Я полез вновь в сервис реформал, нашел ту тему, где уже публично обращался с комментарием убрать подобное.
Вот оффлайн версия этой страницы.

В общем видно: что пользователям не отвечают, а я команде uLogin-а дважды писал письма в декабре и в январе... Пользователи жалуются и выкладывают видео - как собирают данные из их форм. Как и обещал им в письме - раскрыл на хабре эту неприятную историю. Опрос показывает мнение IT-сообщества.

Кому лень читать на хабре (хотя каменты на хабре это всегда познавательно) вот видеоверсия от Дмитрия:

Также я написал в техподдержку официального репозитория плагинов. ulogin плагин был убран из репозитория WordPress.

Через 1 день после публикации на хабре я написал письмо команде uLogin:

- пригласил объяснить ситуацию. Ответа не было. По этой почте ранее я общался с ними по многим вопросам - теперь они молчат.

IT-сообщество хабра попыталось тоже позвать разработчиков этого сервиса, а я нашел первого разработчика этого сервиса (тот кто дал жизнь этому сервису) и пригласил его на хабре - прокомментировать ситуацию. Вот что он ответил:

- как видим, он не у руля компании сейчас, но не поддерживает такие методы заработка.

Выводы:
Если вам дорога безопасность на вашем сайте - не используйте этот сервис.
Мой отзыв о uLogin: это опасно для вашего сайта или приложения!
Всегда думайте: если вы используете сторонние сервисы, они могут поступать так же.

Хотя мне не понятен такой аспект: сотни плагинов строят империю вокруг своих бесплатных плагинов. Многие разработчики выпускают PRO-версию - премиум версию, которую продают и живут этим. Они продают пакеты услуг, аддоны и подписки на техподдержку, кастомизацию. Заработать белыми методами можно. Но вот некоторые плагины выбирают темную сторону силы: Вспомним Display Wigets - новые владельцы вредонос туда внедрили. Si captcha anti-spam - тоже новые владельцы поступили неправильно.

И если вы захотите написать свой плагин, подумайте о его монетизации. И пусть пример этих нечестных методов заработка будет у вас в голове. Сделать можно всегда правильно. Не стоит думать что вордпрессеры - это модераторы и домохозяйки и ваш черный ход никто не заметит.

Аналог ulogin (альтернативу) плагину я могу пока посоветовать только этот: WordPress Social Login. Пока я не задавался этим вопросом. Буду посвободнее - обязательно проведу исследование этого вопроса.

Вопросы к читателям:
1. Что вы думаете о случившейся ситуации?
2. Использовали этот плагин и отказались ли от него?
3. Какие методы заработка на своем плагине вы бы выбрали?