WordPress.org 将对插件和主题发布引入最长24小时的自动更新缓冲期,并借助AI技术加强安全审查,目标是提升平台超过7.8万个插件和主题的整体安全水平。
去年12月,AI编程能力迎来了突破性进展;而随着今年4月 Mythos 的发布,整个安全领域的竞争与对抗也随之进入新的阶段。就在几天前,Chrome浏览器一次更新中便修复了429个安全问题。新技术带来的机遇与挑战,让WordPress开始思考如何进一步提升WordPress生态的整体安全性。
因此,WordPress正式启动了一项名为 Protect The Shire(守护夏尔) 的计划——名称灵感来自J.R.R.托尔金笔下的《指环王》世界。
其中许多工作已经在后台进行,并且未来仍将持续进行。理想情况下,这项计划最成功的地方恰恰在于用户几乎感受不到它的存在,因为很多潜在风险将在问题发生之前被拦截。
不过,在AI能力快速提升的当下,WordPress也需要为代码审查预留更多时间和空间。
WordPress核心程序的每一次更新,都需要经过多轮审核和严格测试。
自从18年前WordPress 2.7“Coltrane”版本首次引入一键升级功能以来,WordPress不断完善更新机制,力求让升级过程既快速又可靠。
目前来看,WordPress核心更新体系运行良好。在WordPress 7.0发布后的短短两周内,已经有超过50%的WordPress网站完成升级。这背后离不开数千家主机服务商、开发者以及社区团队的共同努力。
过去这些年,WordPress一直在推动更新流程自动化,希望用户能够第一时间获得最新功能和安全修复。
但进入2026年后,WordPress可能会面临一个新的平衡问题:
- 一方面,需要尽可能快地更新,以修复安全漏洞;
- 另一方面,也需要谨慎对待更新本身,因为更新渠道同样可能成为攻击目标。
近年来,npm、PyPI、GitHub以及RubyGems等生态系统都曾遭遇供应链攻击。
WordPress社区同样经历过类似事件,例如此前引发关注的 Essential Plugins 事件——一些原本可信的插件在被出售给新的开发者后,出现了恶意行为风险。
因此,一个新的问题摆在面前:
如何既确保安全更新能够快速送达,又确保更新本身足够安全?
WordPress插件生态面临的新挑战
WordPress最具魅力的地方之一,就是其庞大的插件和主题生态。
目前,WordPress.org目录中拥有超过7.8万个插件和主题。
在首次提交时,WordPress会通过严格的人工审核机制进行检查。但当插件正式发布后,后续更新实际上主要由开发者自行负责。
现阶段,只要开发者点击发布按钮,新版本就会立即进入自动更新体系并推送给用户。
正是这种高效机制,让WordPress生态始终保持活力。
仅仅在昨天一天,插件仓库就新增了超过3000次代码提交。
但随着AI时代的到来,WordPress也需要重新审视这一流程。
自动更新新增24小时缓冲期
即日起,WordPress.org将针对插件和主题的新版本发布,引入最长24小时的自动更新等待期。在此期间,更新不会立即推送至用户站点,而是进入审核阶段。
这不仅为人工审查团队提供额外时间,也将让WordPress新加入的AI审查系统——代号 Gandalf(甘道夫) ——参与代码分析与风险检测。
未来随着流程逐步成熟,这个等待时间可能会从24小时缩短至几分钟。
但在当前AI能力快速演进的阶段,WordPress更愿意采取谨慎策略。
WordPress插件审核团队已经十分出色,但人总需要休息。
而自动化审查系统不会下线,也无需睡眠。
过去需要大量人工投入才能完成的深度代码审查,如今已经变成算力和时间的问题。
未来几个月,AI带来的安全挑战和防御能力都将持续提升,整个行业也将进入新的适应阶段。
为什么WordPress.org要这么做?
对于WordPress用户来说,获取插件和主题的方式有很多。
但对于选择WordPress.org官方生态的用户,WordPress希望这里始终是一个值得信赖的平台。
这意味着:
- 坚持开源许可规范;
- 维护严格的审核标准;
- 同时给予独立开发者足够的发展空间;
- 支持社区项目与商业产品共同成长。
GitHub上的Star数量或许很吸引眼球,但如果把WordPress插件目录中的安装量加总起来,这个数字已经超过4亿次。
其中有69款插件的安装量超过100万,而且很多产品都来自个人开发者。
接下来,WordPress希望借鉴GitHub生态中的优秀经验,并将其带给每一位WordPress开发者。
安全与自由并不冲突
长期以来,WordPress插件生态常常因为漏洞问题受到质疑。
但这并不意味着WordPress应该降低目标。
WordPress核心程序已经证明,WordPress完全有能力构建一个兼具开放性与安全性的生态系统。
从当年的b2/cafelog分支项目发展到今天,WordPress已经多次完成看似不可能完成的挑战。
WordPress始终相信:
自由与安全并不是非此即彼的选择。
开源世界证明了,真正的安全来自透明,而不是封闭。
来自协作,而不是对抗。
正因为全球开发者共同努力,WordPress才能创造出今天这样的生态系统。
成功必然会吸引攻击者的关注,但每一次挑战都会让整个社区变得更加强大。
本文摘自WordPress.org。
分类:新闻资讯
标签:wordpress