プラグインの自動更新設定は無効だが自動更新された
-
MW WP Formというプラグインの脆弱性パッチ5.0.3が発表されました。プラグインの自動更新は画像のとおり無効の状態ですが、昨日自動更新が実行され、以下のメールが届きました。
以下のプラグインを更新しました:- MW WP Form (バージョン 5.0.1 から5.0.3へ) https://wordpress.org/plugins/<wbr style=”-webkit-tap-highlight-color: transparent;”></wbr>mw-wp-form/
他に更新可能で自動更新設定が無効なプラグインがいくつかありますが、そちらは更新されていません。
上記のように、自動更新設定が無効なのにバージョンが更新される原因について知りたいです。
-
「パッチ」なのでバージョン内容との違いは、ありません。脆弱性が公知されると、プラグイン、テーマだけでなく、システマティックに更新プログラムが起動します。WordPressプログラムがバージョンアップで獲得した機能の効果が出たということです。
-
@digitmaetel ありがとうございます!管理画面のプラグインの自動更新有無の設定には関係なく、マイナーバージョンについては自動更新されるということでしょうか?
※ここでは、5.0.3の3の部分を「マイナーバージョン」として記載しています
他に更新可能で自動更新設定が無効なプラグインがいくつかありますが、そちらは更新されていません。
上記との違いもわからないのです
-
脆弱性の通知が発動したときは、「自動更新設定」の有無より優先されます。「自動更新設定」機能を一時的に無効化して、自動更新処理されます。その処理後に「自動更新設定」機能を再開させます。自動更新される前が「5.0.2」だったのなら、変更したことを検知するために、マイナーバージョンアップという形式にしたのでしょう。「パッチ済み」と追記されるケースもあります。
-
-
WordPressのテーマやプラグインは、Twenty-Twentyシリーズといったパートナー開発者の場合以外も多くあり、サブスクや、利用状況の様子を開発者のサーバーと交信をしています。今は、WordPress公式ディレクトリが認可していない、野良テーマも多くのサイトでインストールされているので、バックドアの入口が増えて、脆弱性に脅かされいます。
わたしは公式ディレクトリで評価の良かったテーマ、プラグイン開発メーカーを愛用していましたが、その開発者のサーバーがハッキングを受けて、バックドアを開けられた経験もあります。よく知られていることなので、レンタルサーバーが独自に、そうした脆弱性報告のあるプラグインを、レンタルサーバー側の〝勝手な〟判断で無効化することもありました。
アップデートのときに、設定をリセットするプラグインもあるので、更新後は設定を再確認するようにしましょう。
- トピック「プラグインの自動更新設定は無効だが自動更新された」には新しい返信をつけることはできません。
WordPress.com 日本語フォーラム 