mal rein das technische - ich versuch mal, außen vorzulassen, das du mich und meinen guten Willen hier schon fies ausgenutzt hast, in dem du schön um den Brei geredet hast...
ich stelle als Autor ein ZIP für ein Addon zur Verfügung, du interessierst dich dafür, möchtest es installieren. Damit gibst du mir den Schlüssel für dein System. Es spielt keine Rolle, welches System, ob Wordpress, Contao, WB - schnurz egal - der Autor vertraut, das der Nutzer das für sein System passende Addon down läd, der Nutzer vertraut, das der Autor nix böses möchte.
Als Autor muß ich wissen, wie das System funktioniert, idealerweise verwende ich dessen Routinen, denn damit kann ich am meisten erreichen.
Da nützt auch ein Hash nix. Wer sagt mir, das diese Files sauber sind? Das System funktioniert nur über Vertrauen. Als Anbieter kann ich Risiken verringern, aber, was nützt das, wenn solch Addon-Files überall downloadbar sind? Hier ein Forumsbeitrag, da eine private Webseite und selbst namhafte Webseiten bieten heute noch WB 2.8.1 als neueste WB-Version an.
Lassen wir das Böse mal weg und bleiben bei veralteter Technik. AMASP wird immer noch als offizielle Downloadquelle für WB und dessen Forks angesehen. Niemand schaut auf das Baujahr eines Addons, es wird geladen und installiert. Und man wundert sich, das es nicht mehr läuft, Fehler produziert und auch mal ein Frontend abstürzen läßt. Wie willst du das verhindern? Feindliche Übernahme?
Ich kann eine Menge verhindern, wenn ich nicht mehr abwärtskompatibel bin oder wenn ich ein neues Addon-Format benutze, brauche dann aber alle Addons auch in der neuen Form. Unmöglich, mal eben 1000 Addons umzuschreiben.
Mit solch neuem Format läßt sich wohl die Installation alter Addons verhindern und man läßt nur geprüfte Module zu, aber auch dann brauch ich immernoch das Vertrauen, das mir der Anbieter nix Böses will.