こんにちは。水色(みずいろ)です。
このブログをWordPressで始めた時に、プロフィールの画像を表示するための「WP User Avatar」というプラグインを入れました。
【プロフィール画像】
その「WP User Avatar」が、バージョンアップして勝手に「Profilepress」という名前のプラグインに変わっていたんですね。
この「Profilepress」、単に名前が変わったというよりも全く別物になって問題を引き起こしてくれました。
5月と7月に2回も迷惑をこうむり、さらに2回目はかなりの危険があったため、今ではこのプラグインは削除してあります。
特に先週はプライベートが忙しいのに(同居の姑がけがをしまして)、さらにこのプラグインに振り回されてくたくたでした。やっと落ち着いたので、注意喚起もかねて記録しておきます。
その1 プロフィールページが勝手にリダイレクトされる件
固定ページで「プロフィールページ」を作っていたのですが、2021年5月、突然トップページにリダイレクトされてしまうようになりました。
調べた結果、マイテラス yota様のところで解決法を見つけました。「Profilepress」が勝手に「プロファイルスラッグ」をいじっていたためのエラーでした。
WordPress 固定ページ「profile」だけ管理画面にリダイレクトされて表示されないエラーの対処法
「Profilepress」の「設定」>「フロントエンドプロファイル」>「プロファイルスラッグ」のところの、「profile」という文字列を、別の文字列に変更したら直りました。
その2 勝手にユーザー登録される件
2021/7/5 管理画面のユーザーに、新しいユーザーが勝手に登録されていました。
この時の新しいユーザーは管理者ではなく購読者でしたが、ユーザー登録不可にしているのにいつの間にか自分のサイトに見知らぬユーザーがいるという恐怖!
状況がわからない中調べてみると、どうやらまた「Profilepress」の仕業。
エックスサーバー からのお知らせ
このたび、「WordPress」のプラグイン「ProfilePress(旧名:WP User Avatar)」(3.0~3.1.3)にて
緊急性の高いセキュリティ上の問題(脆弱性)が確認され、
プラグイン提供元より脆弱性対策の施された修正版(ProfilePress 3.1.4)がリリースされました。
私はエックスサーバー ではないんですけど、エックスサーバー は注意喚起のみでなく、速攻「Profilepress」を無効にしたとのことです。それほど危険なプラグイン認定されてしまいましたね。
修正版でも直らないという噂もTwitter上で飛び交っていたため、今度こそは「Profilepress」プラグインを削除することにしました。
削除後は、勝手にユーザー登録されることは無くなりました。
その後
ブログに表示させるプロフィール画像が
になってしまいますが、デザイン上気にならなければそのままでも。
この件以降、プロフィール表示画像は「gravatar」か「Simple User Avatar」をお勧めする人が多いです。
今のところ、私は削除したままで新しいものは入れていません。
サイドバーには単に自分で画像を貼っただけです。
評判の良かったプラグインが勝手に仕様変更して、急にスパムっぽくなるなんて怖いですね。
ではまた~