Gijo Varghese,一个自称是 “网络性能爱好者 “的开发者,在周末震惊了全世界的WordPress用户,他在推特上发布了一张截图,说明当用户通过流行的性能测试工具测试他们的网站时,WP-Optimize是如何明确地阻止某些JavaScript文件的加载。
“当一个网站被加载时,只有当用户-代理/浏览器不是Lighthouse/GTmetrix/Headless Chrome/Pingdom时,才会加载JavaScript文件,”Varghese说。”没有JS=高分。但对于真正的用户,这些JS文件是被加载的!”
Varghese证实,他正在测试WP-Optimize的免费版本,该工具被用于超过一百万个WordPress网站。UpdraftPlus在2016年收购了WP-Optimize,并声称该工具 “拥有保持你的网站快速和彻底优化所需的一切”。还通过托管在WordPress.org上的免费插件推广商业版本。
“告诉我,UpdraftPlus,当你使用这些欺骗性和欺诈性的做法时,我应该如何继续信任你的公司与我客户的备份?”一位客户Adam Lowe在回应Varghese发现该插件不加载JS的性能工具时说。
“哇,我只能说真是太失望了,”WordPress机构所有者和开发者布莱恩-杰克逊说。
这种类型的欺骗行为与某人报告的一个骗局极为相似,他在Upwork上与一个性能自由职业者签约,后者人为地操纵了谷歌Pagespeed的结果。在Twitter上参与讨论的其他人将其与大众汽车的排放丑闻相提并论,该汽车制造商被发现只在实验室测试期间启动其排放控制,以便在违规后达到环保局的要求。与他们在被操纵的实验室测试中的表现相比,道路上的车辆在行驶中排放的氮氧化物多达40倍。
Varghese和其他几位参加谈话的人总结说,这就是为什么网站所有者应该关注真实世界用户的体验,而不是性能工具测试的分数。
即使在关注真实的用户体验时,网站所有者也经常依靠测试来诊断问题,看看网站的性能如何改善。他们并不指望一个插件会对性能工具隐藏JS文件。欺骗测试已经削弱了WP-Optimize的可信度。
“哇,如果是真的,这是既短视又不可原谅的,”UpdraftPlus客户Johnathon William说。”这让我怀疑我是否能信任他们的另一个产品UpdraftPlus,我用它来备份几个客户的网站。”
我联系了UpdraftPlus,首席开发人员David Anderson说,该公司不知道代码的问题,但与一些背景故事有关。UpdraftPlus曾与Fast Velocity Minify插件的作者进行过短暂的会谈,讨论联合起来的可能性,他将在WP-Optimize中维护最小化模块并获得更多的用户。最终他们没能达成协议,但在此期间,WP-Optimize的开发者在GPL下分叉并改编了Fast Velocity Minify。从事该改编工作的开发人员已经不在公司了。
“在2.5年前(2020年1月)提交到我们自己的源码库中,提交的内容被标记为’解决’从’Fast Velocity Minify’添加CSS和JS Minification GPL代码–第6部分’,”安德森说。”这是一系列初始合并代码的一部分,这些代码被重新构造,以使其更干净,并使用我们的编码风格偏好(但不改变任何功能)。因此,合并这些行的明显意图是把重构的代码带过来,而在那个阶段不做任何改动。
“根据提交历史(即’git blame’功能),此后没有对该代码进行过任何修改,也就是说,它是按原样导入的。(WP Optimize的历史在WordPress SVN中也是公开的)”。
在对代码进行粗略的检查后,安德森得出结论,他的团队可能需要重新检查,因为他们不知道两年前添加了什么。
“当我试图通过插件内的代码追踪该功能时,表面上的意图似乎是,如果网站访问者是一个’机器人’,那么对机器人毫无意义的代码就不会被执行,”他说。
“然而说到这里,1)机器人的名字看起来被严重混淆/编辑了,这很奇怪(为什么?如果这个功能今天被放在我面前审查,我肯定会质疑为什么会这样。我无法读懂32个月前的自己,但是,我记得那是一长串的大补丁,所以它没有被逐行仔细分析过。我们知道,我们已经确定FVM是一个好的插件,我们的主要重点是使它适应我们的结构和风格,这些是我个人作为最终审查者所关注的事情。”
总之,UpdraftPlus的开发团队在周末发布Twitter线程之前,并不知道这个代码。
“我当然很高兴它被带到我们的意图,”安德森说。”相关的代码在其原始来源的相关片段上的评论是,它的目的是防止机器人的不必要的请求,但在比这行当时得到的更仔细的检查,这是我们要看的,因为它确实看起来有问题/不正常,我们将通过把它分配给一个团队成员,他是我们的JavaScript优化专家。”
安德森还说,如果JavaScript优化专家找不到该代码的任何合法用途,”它肯定会被删除”,并明确无误地披露其背后的原因。
与此同时,UpdraftPlus已经在插件的支持论坛上发布了一个通知,告知用户该代码目前正在调查中。
“说清楚一点,让用户放心:有问题的代码并不危险,不是病毒,不是感染,对黑客有用,或任何类似的东西,”安德森说。”指控是,它存在的唯一目的实际上是为了在速度测试中作弊。这样的代码,如果是这样,就不属于WP Optimize,我们将在新版本中删除它。我们的产品的完整性,以及我们客户的信任,对我们来说是至关重要的(而故意在开源代码中放一些东西,损害这一点,坦率地说,是一件愚蠢的事情)。”
购买/下载遇到问题?可联系
闲鱼名称:三点水帅哥
客服邮箱:382813125@qq.com
安装、使用问题,请先查看:技术支持说明
本文由 wpwdbfg 创作,采用 知识共享署名4.0 国际许可协议进行许可
本站文章除注明转载/出处外,均为本站原创或翻译,转载前请务必署名
最后编辑时间为: Mar 27, 2026 at 09:55 pm