ActivityPub – WordPress plugin | WordPress.org
https://wordpress.org/plugins/activitypub/#developers
9.0.0 – 2026-06-10
Security
- Enforce the signing-key host check on incoming federated activities regardless of how the key identifier is formatted.
- Fix the real-time activity stream so it only returns the requesting user’s own activities.
- Harden the Site Health connectivity check so it cannot be used to reach unsafe network addresses.
- Only share comment replies in the Fediverse when the post they belong to is itself federated, so replies on private or non-federated posts stay private.
- Prevent a remote server from discovering which of your followers belong to a third-party server it does not control.
- Prevent logged-in users from viewing another user’s private outbox activities.
- Prevent remote servers from modifying or deleting federated profiles, posts, and interactions they do not own.
- Rate-limit the remote-follow lookup to prevent it from being abused to trigger outbound requests.
- Stop the OAuth token introspection endpoint from revealing another user’s token details to logged-in users.
- Stop the quote-authorization stamp from exposing a post’s other metadata.
Added
- Add a Distribution Mode setting to control how quickly posts are delivered to followers.
- Add an opt-in setting to consent to inclusion in Starter Kits (also called Starter Packs or Featured Collections). Off by default. Find it under Settings, ActivityPub, Activities.
- C2S clients can now request canonical SWICG ActivityPub API scope names such as
activitypub:read:allandactivitypub:write:all, and the OAuth discovery metadata advertises them.- C2S token responses now include
activitypub_actor_idso clients following the SWICG ActivityPub API Basic Profile can discover the authenticated actor.- Generate a blurred color preview (blurhash) for images so other fediverse apps can show a placeholder while your photos load.
- Quote notification emails now include a link to the post that quoted you, so you can review and respond more quickly.
- Warn in the editor before making a post that’s already shared on the Fediverse a draft, private, or password-protected, since followers’ copies will be removed.
Changed
- Add the
blurhashterm to the outbound JSON-LD@contextso attachments that include ablurhashproperty are strictly correct JSON-LD, matching Mastodon’s own context shape.- Federated posts moved to draft, pending, private, trash, or password-protected now send a Delete to followers (previously sent a placeholder “editing” Update or were silent).
- OAuth rate-limit responses now include a
Retry-Afterheader so clients know how long to wait before retrying.- Updated a build dependency to a clean release now that a fixed version is available.
Removed
- Removed functions, methods, and the Follower class that were deprecated in versions 7.0 through 7.4.
Fixed
- Fix a fatal error when receiving a new follower while the Stream plugin is active.
- Fix a follow request being marked as accepted when the confirmation came from a different account than the one being followed.
- Fix the Fediverse settings appearing twice and visibility changes not saving in the block editor when the Classic Editor plugin is also active.
- Fix the introduction video failing to load on the Getting Started help screen.
- Follower synchronization with Mastodon no longer fails, signed requests with query strings now verify correctly.
- Harden the Blurhash encoder: skip decompression-bomb images before decoding, flatten transparency onto white so transparent logos no longer produce near-black placeholders, and defer the cron encode until attachment metadata is saved.
- Images and videos placed in a Media & Text block are now included when a post is shared to the Fediverse.
- Requests from other platforms to feature your posts are now handled correctly instead of being ignored.
- RSS and Atom feeds now show a simple
@usernamemention in place of the reply block’s full embed card, which only renders properly when the plugin’s frontend CSS is loaded.- Stop a deprecation notice from appearing in the error log when the NodeInfo plugin is also active.
Google翻訳
9.0.0 – 2026-06-10
Security
- 署名キーの識別子の形式に関わらず、受信するフェデレーションアクティビティに対して署名キーホストチェックを強制します。
- リアルタイムアクティビティストリームを修正し、リクエスト元のユーザー自身のアクティビティのみを返すようにします。
- サイトヘルス接続チェックを強化し、安全でないネットワークアドレスへのアクセスに悪用されないようにします。
- フェデレーション対象の投稿にのみコメント返信を共有し、プライベート投稿やフェデレーション対象外の投稿への返信はプライベートなままにします。
- リモートサーバーが、管理していないサードパーティサーバーに属するフォロワーを特定できないようにします。
- ログインユーザーが他のユーザーのプライベート送信ボックスアクティビティを閲覧できないようにします。
- リモートサーバーが、所有していないフェデレーションプロファイル、投稿、インタラクションを変更または削除できないようにします。
- リモートフォロー検索にレート制限を設け、アウトバウンドリクエストをトリガーするために悪用されるのを防ぎます。
- OAuthトークンイントロスペクションエンドポイントが、ログインユーザーに他のユーザーのトークン詳細を公開しないようにします。
- 引用承認スタンプによって投稿の他のメタデータが漏洩しないようにする。
Added
- 投稿のフォロワーへの配信速度を制御する配信モード設定を追加しました。
- スターターキット(スターターパックまたはおすすめコレクションとも呼ばれます)への掲載に同意するためのオプトイン設定を追加しました。デフォルトではオフになっています。設定は「設定」→「ActivityPub」→「アクティビティ」にあります。
- C2Sクライアントは、activitypub:read:allやactivitypub:write:allなどのSWICG ActivityPub APIスコープ名をリクエストできるようになり、OAuth検出メタデータにもこれらのスコープ名が表示されます。
- C2Sトークン応答にactivitypub_actor_idが含まれるようになり、SWICG ActivityPub API基本プロファイルに従うクライアントは認証されたアクターを検出できるようになりました。
- 画像にぼかしカラープレビュー(blurhash)を生成することで、他のFediverseアプリが写真の読み込み中にプレースホルダーを表示できるようになりました。
- 引用通知メールに、引用元の投稿へのリンクが含まれるようになり、より迅速に確認して返信できるようになりました。
- Fediverseで既に共有されている投稿を下書き、非公開、またはパスワード保護にする前に、エディターで警告を表示してください。フォロワーのコピーは削除されます。
Changed
- 送信JSON-LDの@contextにblurhash用語を追加しました。これにより、blurhashプロパティを含む添付ファイルは、Mastodon独自のコンテキスト構造に厳密に一致するJSON-LDになります。
- フェデレーション投稿が下書き、保留中、非公開、ゴミ箱、またはパスワード保護に移動された場合、フォロワーに削除通知が送信されるようになりました(以前はプレースホルダーの「編集中」更新を送信するか、何も送信されませんでした)。
- OAuthレート制限応答にRetry-Afterヘッダーが追加され、クライアントは再試行までの待機時間を把握できるようになりました。
- 修正版が利用可能になったため、ビルド依存関係をクリーンリリースに更新しました。
Removed
- バージョン7.0から7.4で非推奨となった関数、メソッド、およびFollowerクラスを削除しました。
Fixed
- Streamプラグインが有効になっている状態で新しいフォロワーを受信した際に発生する致命的なエラーを修正しました。
- フォローリクエストが、フォロー対象のアカウントとは異なるアカウントから送信された場合に、承認済みとしてマークされる問題を修正しました。
- Classic Editorプラグインが有効になっている場合、Fediverseの設定が二重に表示され、ブロックエディタで表示設定の変更が保存されない問題を修正しました。
- 「はじめに」ヘルプ画面で紹介動画が読み込まれない問題を修正しました。
- Mastodonとのフォロワー同期が失敗しなくなり、クエリ文字列を含む署名付きリクエストが正しく検証されるようになりました。
- Blurhashエンコーダーを強化しました。デコード前に解凍爆弾画像をスキップし、透明度を白にフラット化することで、透明なロゴがほぼ黒のプレースホルダーを生成しなくなりました。また、添付ファイルのメタデータが保存されるまでcronエンコードを延期しました。
- メディア&テキストブロックに配置された画像と動画は、投稿がFediverseに共有される際に含まれるようになりました。
- 他のプラットフォームからの投稿のフィーチャーリクエストが無視されることなく、正しく処理されるようになりました。
- RSSフィードとAtomフィードでは、返信ブロックの完全な埋め込みカードの代わりに、シンプルな@ユーザー名のメンションが表示されるようになりました。これは、プラグインのフロントエンドCSSが読み込まれた場合にのみ正しく表示されます。
- NodeInfoプラグインも有効な場合に、エラーログに非推奨通知が表示されないようにしました。
コメント