プラグイン「ActivityPub」が8.1.0に更新された。

ActivityPub – WordPress plugin | WordPress.org
https://wordpress.org/plugins/activitypub/#developers

8.1.0 – 2026-04-21

Security

  • Add rate limiting to app registration to prevent abuse.
  • Fix blog actor outbox exposing private activities to unauthenticated visitors.
  • Restrict localhost URL allowance to local development environments only.
  • Verify that the signing key belongs to the same server as the activity actor.

Added

  • Add a “Posts and Replies” tab bar for author archives that filters between posts and replies, similar to Mastodon’s profile view.
  • Add a liked collection to actor profiles, showing all posts the actor has liked.
  • Add a seasonal starter pattern that suggests sharing Fediverse stats when creating a new post in December and January.
  • Add a stats block that displays annual Fediverse statistics as a card on the site and as a shareable image on the Fediverse, with automatic color and font adoption from the site’s theme.
  • Added activitypub_pre_get_by_id filter to allow plugins to register custom virtual actors resolved by ID.
  • Add EXIF metadata support for image attachments using Vernissage namespace.
  • Add new Fediverse Following Page and Profile Page block patterns.
  • Add OAuth server metadata and registration endpoint discovery to actor profiles.
  • Add real-time streaming for inbox and outbox updates via Server-Sent Events (SSE).
  • Add support for Block, Add (pin post), and Remove (unpin post) activities via Client-to-Server API.
  • Add support for check-in activities posted via compatible apps.
  • Add support for importing Starter Packs in both the Pixelfed and Mastodon formats.
  • Add tags.pub integration to supplement tag timelines with posts from across the Fediverse.
  • Support for ActivityPub Client-to-Server (C2S) protocol, allowing apps like federated clients to create, edit, and delete posts on your behalf.

Changed

  • Block patterns for follow, following, and profile pages are now only suggested when editing pages.
  • Fix notification pagination when using Enable Mastodon Apps: use date-constrained queries instead of truncating the shared notification pool, and expose \$limit, \$before_date, and \$after_date as additional filter arguments so third-party handlers can fetch the correct window.
  • Improve the pre-publish format suggestion panel with clearer messages and a confirmation after applying a format.
  • Podcast episodes now respect the configured object type setting instead of always being sent as “Note”.
  • Show reaction action buttons even when a post has no reactions yet.

Fixed

  • ActivityPub endpoints that surface comment, reply, like, share, and remote-reply metadata now honor the parent post’s visibility setting.
  • Added validation for SSE access tokens passed via query parameter.
  • Fix account migration (Move) not working when moving back to an external account.
  • Fix a fatal error during activity delivery when the outbox item has been deleted.
  • Fix a fatal error when receiving activities with a non-string language property.
  • Fix a fatal array_keys(null) in Comment::get_comment_type_slugs() that could take down any request where a third-party plugin transitioned a custom comment type before add_comment_type() had been called.
  • Fix a missing script dependency notice on the admin page in WordPress 6.9.1 and later.
  • Fix BuddyPress @mention filter corrupting Fediverse Followers and Following blocks.
  • Fix cleanup jobs silently doing nothing on sites where purge retention options were not set.
  • Fix comments on remote posts being incorrectly held in moderation.
  • Fix double-encoded HTML entities in post titles on the Fediverse Stats dashboard.
  • Fixed an issue where quote authorization stamps could reference unrelated posts.
  • Fixed double-encoding of special characters in comment author names on updates.
  • Fixed emoji shortcode replacement to handle special characters in emoji names correctly.
  • Fix fatal error when other plugins hook into the user agent filter expecting two arguments.
  • Fix Fediverse Preview showing the standard web view instead of the ActivityPub preview for draft posts.
  • Fix OAuth authentication failing for local development clients using localhost subdomains.
  • Fix performance regression from reply-exclusion filter by skipping it for queries targeting non-ActivityPub post types.
  • Fix Reader feed failing to load with newer WordPress versions.
  • Fix remote actor avatars getting stuck on broken URLs when the original image becomes unavailable.
  • Fix Site Health check showing an empty error message when the WebFinger endpoint is not reachable.
  • Fix the Fediverse profile “Joined” date showing the oldest post date instead of when the site started federating.
  • Fix the Fediverse profile showing an inflated post count by excluding incoming comments from the total.
  • Fix Update handler using stale local actor data instead of the activity payload
  • Improved HTTP Signature validation for requests with a missing Date header.
  • Only allow S256 as PKCE code challenge method for OAuth authorization.
  • Prevent third-party plugin UI elements and scripts from appearing in federated content.
  • Require signed peer requests for the followers synchronization endpoint per FEP-8fcf.
  • Show a styled error page instead of raw technical output when an OAuth application cannot be reached during authorization.
  • Strip private recipient fields from all outgoing activities to prevent leaking private audiences.
  • Sync ActivityPub blog actor settings via Jetpack.
  • Use ap_actor post ID for remote account IDs instead of remapping URI strings.
  • Use safe HTTP request for signature retry to prevent requests to private IP ranges.
  • Validate emoji updated timestamps before storing them.

Google翻訳

8.1.0 – 2026-04-21

Security

  • アプリ登録にレート制限を追加し、不正利用を防止します。
  • ブログアクターの送信ボックスが、認証されていない訪問者にプライベートアクティビティを公開してしまう問題を修正します。
  • localhost URLへのアクセスをローカル開発環境のみに制限します。
  • 署名キーがアクティビティアクターと同じサーバーに属していることを確認します。

Added

  • 投稿と返信をフィルタリングできる「投稿と返信」タブバーを投稿者アーカイブに追加しました。これはMastodonのプロフィールビューと同様の機能です。
  • アクターのプロフィールに「いいね!」した投稿を表示するコレクションを追加しました。これはアクターが「いいね!」したすべての投稿を表示します。
  • 12月と1月に新しい投稿を作成する際に、Fediverseの統計情報を共有することを提案する季節ごとのスターターパターンを追加しました。
  • Fediverseの年間統計情報をサイト上でカードとして、またFediverse上で共有可能な画像として表示する統計ブロックを追加しました。サイトのテーマから色とフォントが自動的に適用されます。
  • プラグインがIDで解決されたカスタム仮想アクターを登録できるように、activitypub_pre_get_by_idフィルターを追加しました。
  • Vernissage名前空間を使用して、画像添付ファイルのEXIFメタデータをサポートしました。
  • Fediverseのフォローページとプロフィールページの新しいブロックパターンを追加しました。
  • アクターのプロフィールにOAuthサーバーのメタデータと登録エンドポイントの検出機能を追加しました。
  • Server-Sent Events(SSE)を介して、受信トレイと送信トレイの更新をリアルタイムでストリーミング配信する機能を追加しました。
  • クライアント・サーバーAPIを介したブロック、追加(投稿のピン留め)、削除(投稿のピン留め解除)アクティビティのサポートを追加しました。
  • 互換性のあるアプリ経由で投稿されたチェックインアクティビティのサポートを追加しました。
  • PixelfedとMastodonの両方の形式でスターターパックをインポートするサポートを追加しました。
  • タグタイムラインにFediverse全体の投稿を追加するために、tags.pubとの統合を追加しました。
  • ActivityPubクライアント・サーバー(C2S)プロトコルをサポートし、フェデレーションクライアントなどのアプリがユーザーに代わって投稿を作成、編集、削除できるようにします。

Changed

  • フォロー、フォロー中、プロフィールページのブロックパターンは、ページ編集時のみ提案されるようになりました。
  • Mastodonアプリ有効化時の通知ページネーションを修正しました。共有通知プールを切り捨てるのではなく、日付制約付きクエリを使用し、\$limit、\$before_date、\$after_dateを追加のフィルタ引数として公開することで、サードパーティハンドラが適切な期間を取得できるようにしました。
  • 公開前のフォーマット提案パネルを改善し、より分かりやすいメッセージとフォーマット適用後の確認メッセージを表示するようにしました。
  • ポッドキャストエピソードは、常に「ノート」として送信されるのではなく、設定されたオブジェクトタイプの設定を尊重するようになりました。
  • 投稿にまだリアクションがない場合でも、リアクションアクションボタンを表示するようにしました。

Fixed

  • コメント、返信、いいね、共有、リモート返信のメタデータを表示する ActivityPub エンドポイントが、親投稿の公開設定を尊重するようになりました。
  • クエリパラメータで渡される SSE アクセストークンの検証を追加しました。
  • 外部アカウントへの移行時にアカウント移行(移動)が機能しない問題を修正しました。
  • 送信ボックスアイテムが削除されている場合にアクティビティ配信中に発生する致命的なエラーを修正しました。
  • 文字列以外の言語プロパティを持つアクティビティを受信する際に発生する致命的なエラーを修正しました。
  • Comment::get_comment_type_slugs() で発生する致命的な array_keys(null) を修正しました。このエラーは、add_comment_type() が呼び出される前にサードパーティプラグインがカスタムコメントタイプを移行した場合に、リクエストをクラッシュさせる可能性がありました。
  • WordPress 6.9.1 以降の管理ページでスクリプト依存関係の通知が欠落していた問題を修正しました。
  • BuddyPress の @mention フィルターが Fediverse のフォロワーとフォロー中のブロックを破損させていた問題を修正しました。
  • パージ保持オプションが設定されていないサイトでクリーンアップジョブが何も実行されない問題を修正しました。
  • リモート投稿へのコメントが誤ってモデレーション保留状態になる問題を修正しました。
  • Fediverse統計ダッシュボードの投稿タイトルにおけるHTMLエンティティの二重エンコードを修正しました。
  • 引用承認スタンプが関連性のない投稿を参照してしまう問題を修正しました。
  • 更新時のコメント投稿者名における特殊文字の二重エンコードを修正しました。
  • 絵文字ショートコードの置換において、絵文字名に含まれる特殊文字を正しく処理するように修正しました。
  • 他のプラグインがユーザーエージェントフィルタに2つの引数を期待してフックする際に発生する致命的なエラーを修正しました。
  • Fediverseプレビューで、下書き投稿に対してActivityPubプレビューではなく標準のWebビューが表示される問題を修正しました。
  • localhostサブドメインを使用するローカル開発クライアントでOAuth認証が失敗する問題を修正しました。
  • ActivityPub以外の投稿タイプを対象とするクエリでは、返信除外フィルタをスキップすることで、パフォーマンスの低下を修正しました。
  • 新しいWordPressバージョンでリーダーフィードが読み込まれない問題を修正しました。
  • 元の画像が利用できなくなった場合に、リモートアクターのアバターが破損したURLに固定されてしまう問題を修正しました。
  • WebFingerエンドポイントに接続できない場合に、サイトヘルスチェックで空のエラーメッセージが表示される問題を修正しました。
  • Fediverseプロファイルの「参加日」が、サイトのフェデレーション開始日ではなく、最も古い投稿日を表示するように修正しました。
  • Fediverseプロファイルで、受信コメントを合計から除外することで投稿数が水増しされる問題を修正しました。
  • 更新ハンドラが、アクティビティペイロードではなく、古いローカルアクターデータを使用するように修正しました。
  • Dateヘッダーが欠落しているリクエストに対するHTTP署名検証を改善しました。
  • OAuth認証のPKCEコードチャレンジ方法として、S256のみを許可しました。
  • サードパーティ製プラグインのUI要素とスクリプトがフェデレーションコンテンツに表示されないようにしました。
  • FEP-8fcfに従い、フォロワー同期エンドポイントへのピアリクエストに署名を必須としました。
  • 認証中にOAuthアプリケーションに接続できない場合、生の技術出力ではなく、スタイル付きのエラーページを表示するようにしました。
  • プライベートオーディエンスの漏洩を防ぐため、すべての送信アクティビティからプライベート受信者フィールドを削除しました。
  • Jetpack経由でActivityPubブログアクター設定を同期するようにしました。
  • リモートアカウントIDには、URI文字列のマッピングではなく、ap_actorのPOST IDを使用してください。
  • プライベートIPアドレス範囲へのリクエストを防ぐため、署名再試行には安全なHTTPリクエストを使用してください。
  • 絵文字の更新タイムスタンプは、保存する前に検証してください。
未分類
ActivityPubFediverseWordPressプラグイン仕様
シェアする
管理人のマストドンアカウントへのリンクなど
いしい@試行錯誤

コメント

タイトルとURLをコピーしました