インストールした覚えのない「Profilepless」なるプラグインが突如プラグイン一覧に登場して驚いた方、いらっしゃいますか?
先日、Wordpressのユーザー画像管理の人気プラグインである「WP User Avatar」がアップデートで(勝手に)全く別のプラグインに生まれ変わりました。これが「見知らぬプラグインがいつの間にか入っていた」原因です。
あ…ありのまま 今 起こった事を話すぜ!
『ユーザーのアバター画像作成用プラグインを入れていると思ったらいつの間にかオンラインコミュニティやメンバーシップサイトを作成するプラグインに変わっていた』
な… 何を言ってるのか わからねーと思うが
おれも何をされたのかわからなかった…
これにより他のプラグインとのバッティングや著者ページへのアクセス不良や、見知らぬ固定ページの生成、ログインできなくなるなど様々な不具合が多数報告されてます。
今回はWP User Avatarを既に導入してしまっている方向けに、変更内容の詳細と対処方法についてまとめました。
WP User Avatarが人気(だった)理由
シンプルで軽量
このプラグインは多くのサイトでWordpressのプロフィール画像設定にあたり推奨として紹介されている人気プラグインです(2021年現在で400,000近い有効インストール数を誇ります)
人気の理由は以下の通り。
- 標準のアバター画像設定(Gravatar)が使いづらい
- Gravatarと異なり複数ユーザでのプロフィール画像管理が容易
- 機能がシンプルで他プラグインと干渉しづらい
- 機能がシンプルで動作が軽い
- 設定が楽で他のユーザーにも説明しやすい
- 複数サイトで簡単に別のプロフィール画像を使い分けることができる
プラグインを選ぶ際は多機能なものかシンプルなものかという議論がありますが、近年はWordpressの更新との干渉が起こりづらい、不具合発生時の確認が簡単、サイトが重くなりづらい、といった複数の観点から、機能が絞られたシンプルなものが好まれる傾向にあります。
WP User Avatarはまさにこうした「シンプルさ&軽量さ」を求める多くのユーザーにとって最適なプラグインでした。
また、ユーザーごとにプロフィール画像を簡単に設定できるため、複数でライティングすることが多いサイトで非常に重宝しました。
しかし・・・
Profile Plessに変更されプラグインの内容が大幅変更
今回の更新で、アバター画像をカスタムするというただ一つの目的に特化したWP User Avatarから、ユーザー登録、プロファイル管理、ユーザー管理、ログインページ管理などが行える多機能なメンバーシップ管理プラグインに変更されました。
WP User Avatarの機能
- ユーザーごとのプロフィール画像の設定・変更
- 訪問者コメントのデフォルトアイコンを設定する
無料でパスワード設定等することなくユーザごとに複数画像を簡単に設定することが可能・・・と、必要十分の機能を備えたプラグインでした。
Profile Plessの機能
- ユーザー登録フォームの作成
- ログイン・パスワードリセットフォームの作成
- ユーザーアカウントページの閲覧
- ユーザーの自動ログイン、リダイレクト機能
- ナビゲーションメニューにログインページ(etc.)の追加
等々・・・
特に、公式ページに説明がある以下の機能の影響度が大きいです↓
WordPressのデフォルトのログインページ(wp-login.php)を、カスタムログイン、登録ページ、およびパスワードリセットページにリダイレクトします。
ProfilePressの説明ページ(URL)https://ja.wordpress.org/plugins/wp-user-avatar/
機能追加と聞くと単にうれしく思う方も多いかもしれませんが、今回はプラグイン名だけでなく、管理画面の仕様、機能の仕様、操作方法まで大幅に変わったため、もともと「シンプルさ」「アバター画像の変更」といった目的でプラグインを導入していた方にとって不満が噴出する形になりました。
他のプラグインとのバッティングによる不具合報告も相次いだ上、勝手にプラグインの内容を変更するという行為への不信感も相俟って、非難コメントが殺到しました。
単なるプロフィール画像だと思ってプラグインを更新した結果、ログインページが勝手に変わっていたら恐怖ですよね。
不具合が起きた場合の対処方法
原因が複数予想されますが、一番多く紹介されている不具合が以下の内容です↓
プロフィールページがおかしくなる
Profile Pressがインストールされていると、パーマリンクが「profile」のページがある場合、勝手にリダイレクトされてしまう報告があがっています。
(非常に使うケースが多いパーマリンクなので、著者情報ページを用意している多くのブログやサイトが該当してしまいます。)
この場合、以下のような対処をする必要があります↓
- プロフィールページのパーマリンクをmyprofileやaboutなどに変更する
- プラグインを無効化する
- プラグインをアンインストールする
固定ページが自動生成される
ページ生成ボタンを押してしまったが最後、下記のような固定ページが一括で多数生成されてしまいます。
- Log In
- Member Directory
- My Account
- My Profile
- Reset Password
- Sign Up
まとめて生成しすぎだろ・・・これは焦りますよね。
スポット対処ではなくアンインストールするべき
パーマリンクの変更は、リンク切れなど様々な問題を引き起こす可能性があります。また、ユーザーフレンドリーではない大幅改変をするような運営元のプラグインを入れておくのは、セキュリティ上も心配です。
プラグインの管理画面に移動し、取り急ぎプラグインを無効化⇒アンインストールし、代替方法を検討するべきです。
低評価で炎上したワードプレスフォーラム
炎上の詳細は以下の記事に詳しく載っていました↓
今回の名称変更・プラグイン更新のリリースからわずか2日間で、4.4あった評価が3.6まで下がったとのこと。
Wp User Avatarプラグインの評価ページ(WordPress.org)は以下の通り大炎上しています。(ほとんど英語)
一部クリティカルな評価を翻訳して紹介します。
Uninstalled – Garbage
After having wp user avatar installed and working exactly as it was intended for years, comes along a brilliant idea to trash it and turn it into something that people do not want. Job well done.
翻訳:アンインストール – ゴミ
wpユーザーアバターをインストールして、何年もしっかり機能させた後、それをゴミ箱に捨てて、人々が望まないものに変えるという素晴らしいアイデアが生まれました。よくやった。
引用元:https://wordpress.org/support/topic/uninstalled-garbage/
痛烈な皮肉ですね。多くのレビューで「ゴミ」と書かれているのが印象的です。
Should be banned
I don’t envy the review team that would have to decide when an update has changed a plugin enough to be a violation of the rules, but purchasing a popular plugin and using it both as a trojan horse to sneak another plugin onto people’s sites without their permission and also as a review scam to falsify high usage and good reviews is obviously not something that should be allowed on the repository.
翻訳:禁止されるべきだわ
(中略)人気のあるプラグインを購入し、それをトロイの木馬として使用し、許可なくこっそり人々のサイトに忍び込ませたり、そしてまた、高い使用率と良いレビューを偽造するためのレビュー詐欺として、リポジトリで許可されるべきものではないことは明らかです。
引用元:https://wordpress.org/support/topic/should-be-banned-2/
今回のやり口に関して、その他のレビューでも「トロイの木馬」と評されています。
WP User Avatarの元々の良いレビュー評価が大量の悪評価で上塗りされてしまっています。
Extremely dissapointing update.
The last major update basically install a completely different plugin.
Developers: please undo this release and launch your new plugin separately as it has to be.
翻訳:非常に残念なアップデート
最新のメジャーアップデートは完全に異なるプラグインをインストールすることになります。
開発者へ:このリリースを元に戻し、必要に応じて新しいプラグインを個別に起動してください。
引用元:https://wordpress.org/support/topic/extremely-dissapointing-update/
アップデートしてしまった方へのアドバイスですね。
Was a brilliant plugin replaced by garbage
How is this even allowed? No notification, no warning, I update what was a brilliantly useful plugin called WP User Avatar and it gets replaced by some junk plugin with a completely different purpose. Never seen anything like it, if you think I’d ever do business with such a shady company you’re very very wrong. Goodbye cowboys, I hope you’re banned from anything to do with WordPress.
翻訳:素晴らしいプラグインはゴミに置き換えられました
こんなことが許されるのか?通知も警告もありません。WPUserAvatarと呼ばれる非常に便利なプラグインを更新すると、まったく異なる目的のジャンクプラグインに置き換えられます。私がそのような怪しげな会社と取引をしたことがあると思うなら、あなた方は非常に間違っています。さようならカウボーイ、私はあなたがワードプレスから全てにおいてバンされることを願っています。
引用元:https://wordpress.org/support/topic/was-a-brilliant-plugin-replaced-by-garbage/
この方もゴミと評していますね・・・。
Awful update
The original plugin WP User Avatar was a lightweight tool to create local user avatars. Now that it’s been converted into a totally different plugin with lots of unwanted functions (covered by other plugins) it’s utterly useless.
翻訳:ひどいアップデート
オリジナルのプラグインWPUser Avatarは、ローカルユーザーのアバターを作成するための軽量ツールでした。
(他のプラグインでカバーされている)多くの不要な機能を備えたまったく異なるプラグインに変換されたので、まったく役に立たなくなりました。
引用元:https://wordpress.org/support/topic/awful-update-5/
今回の件を端的に、しかし非常にわかりやすく表現しています。
WordPressプラグインの問題点が浮き彫りになった
ワードプレスのプラグインの更新内容に関しては開発者に任されています。
今回のように「新しいプラグインをローンチするのに既存のプラグインを利用」する手法が横行すると、有名プラグイン管理会社の買収→プラグインの流用といったケースが発生する可能性があります。
有名プラグインの場合は数十万近いインストール数があるため、影響は甚大です。
サイト管理者は大幅な更新がかかる度に対応する必要が出てくる上、サイトの安定性にも関わる部分です。
プラグインに関しては信頼できる運営元か考えてインストールする必要性を、今回改めて感じました。
人気プラグインだからといって油断できない・・・ということですね。
コメントを残す