WordPress 4.0.1安全更新

WordPress 4.0.1现已发布,这是一次对所有较早版本的重要安全更新,我们强烈建议您立即升级您的站点。

支持后台自动更新的站点将在未来几个小时内被自动升级到WordPress 4.0.1。如果您仍在使用WordPress 3.9.2、3.8.4或3.7.4,请升级到3.9.3、3.8.5或3.7.5来保证您站点的安全性。(我们不对旧版本提供支持,所以也请考虑升级到4.0.1来使用我们最新最强大的版本。)

WordPress 3.9.2与更早版本均受一严重的跨站脚本漏洞影响,可能使匿名用户危害站点安全。此漏洞由Jouko Pynnonen报告。这项问题并不影响4.0版,但4.0.1版也修正了如下8个安全问题:

  • 三个可被网站文章作者利用的跨站脚本问题,由Jon CaveRobert Chapin与WordPress安全团队的John Blackbourn发现。
  • 一个可能被用来诱使用户修改密码的跨站请求伪造。
  • 一项在检查密码时可能引发拒绝服务的问题,由Javier Nieto ArevaloAndres Rojas Guerrero发现。
  • 在WordPress发起HTTP请求时对服务器侧请求伪造攻击的额外防护,由Ben Bidner(vortfu)报告。
  • 一项极不可能发生的散列碰撞,可能导致2008年之后从未登录过的账户被盗,由David Anderson报告。
  • WordPress现在会在用户想起密码、登录并修改电子邮件地址后使早前发出的密码重设邮件中的链接失效,由Momen BasselTanoy BoseManageWP的Bojan Slavković独立报告。

4.0.1版也修正了4.0中的23个bug,我们也做出了两项强化修改,包括在从上传的照片中提取EXIF数据时进行更好的验证,由Chris Andrè Dale报告。

我们感谢这些问题被负责任地透漏给我们的安全小组。要获取更多信息,请参见发布说明或查阅修改列表

下载WordPress 4.0.1简体中文版或在仪表盘→更新中点击“现在更新”。

已经在测试WordPress 4.1了?包含这些安全更新的beta 2现已发布(zip)。更多有关4.1的信息,请参见beta 1发布说明