WordPress 4.0.1 現已推出。這是一個針對先前版本的關鍵的安全更新,強烈建議立即更新你的網站。
支持自動後台更新的網站將在接下來的幾個小時之內自動更新到 WordPress 4.0.1 。如果你仍在使用 WordPress 3.9.2,3.8.4 或 3.7.4,你將被更新到 3.9.3,3.8.5,3.7.5 。 (我們不支持老版本,所以請更新到最新最好的 4.0.1)
WordPress 的版本 3.9.2 及更早版本都受到一個關鍵的跨站點腳本漏洞,該漏洞可能允許匿名用户破壞網站。這個問題不影響 4.0 版本,但 4.0.1 版本解決了以下這八個安全問題:
3 個跨站腳本問題,可以被投稿者 (contributor) 或作者 (author) 用來破壞網站
1 個跨站請求偽造,可以被用來欺騙用户更改密碼
1 個問題,可能會在檢查密碼時導致拒絕服務
當 WordPress 發送 HTTP 請求時,額外的服務器端請求偽造攻擊
一個極不可能的哈希衝突可能使用户的帳户受到影響,這也要求他們自 2008 年以來沒有登錄過 (我希望我是在開玩笑)
WordPress 現在的密碼重置郵件中的鏈接,如果用户記得他們的密碼,登錄,可以修改他們的郵件地址。
4.0.1 還修復了 4.0 的 23 個 bug,同時我們還進行了兩項硬化修改,其中包括更好的驗證了摘錄自上傳照片的 EXIF 數據。