WordPress 4.0.1安全更新

Posted on by . Filed under ReleasesSecurity.

WordPress 4.0.1现已发布,这是一次对所有较早版本的重要安全更新,我们强烈建议您立即升级您的站点。

支持后台自动更新的站点将在未来几个小时内被自动升级到WordPress 4.0.1。如果您仍在使用WordPress 3.9.2、3.8.4或3.7.4,请升级到3.9.3、3.8.5或3.7.5来保证您站点的安全性。(我们不对旧版本提供支持,所以也请考虑升级到4.0.1来使用我们最新最强大的版本。)

WordPress 3.9.2与更早版本均受一严重的跨站脚本漏洞影响,可能使匿名用户危害站点安全。此漏洞由Jouko Pynnonen报告。这项问题并不影响4.0版,但4.0.1版也修正了如下8个安全问题:

  • 三个可被网站文章作者利用的跨站脚本问题,由Jon CaveRobert Chapin与WordPress安全团队的John Blackbourn发现。
  • 一个可能被用来诱使用户修改密码的跨站请求伪造。
  • 一项在检查密码时可能引发拒绝服务的问题,由Javier Nieto ArevaloAndres Rojas Guerrero发现。
  • 在WordPress发起HTTP请求时对服务器侧请求伪造攻击的额外防护,由Ben Bidner(vortfu)报告。
  • 一项极不可能发生的散列碰撞,可能导致2008年之后从未登录过的账户被盗,由David Anderson报告。
  • WordPress现在会在用户想起密码、登录并修改电子邮件地址后使早前发出的密码重设邮件中的链接失效,由Momen BasselTanoy BoseManageWP的Bojan Slavković独立报告。

4.0.1版也修正了4.0中的23个bug,我们也做出了两项强化修改,包括在从上传的照片中提取EXIF数据时进行更好的验证,由Chris Andrè Dale报告。

我们感谢这些问题被负责任地透漏给我们的安全小组。要获取更多信息,请参见发布说明或查阅修改列表

下载WordPress 4.0.1简体中文版或在仪表盘→更新中点击“现在更新”。

已经在测试WordPress 4.1了?包含这些安全更新的beta 2现已发布(zip)。更多有关4.1的信息,请参见beta 1发布说明

《WordPress 4.0.1安全更新》有21个想法

  1. 又更新了不错哦,其实我希望下一期的更新能够在SEO优化上改善,例如栏目页可以多增加几个关键词,但是保留一个主关键词,就和首页一样。支持解析二级域名在一个平台上功能更好

  2. 不知道中文版的WordPress能不能替换了谷歌字体或者直接删掉?感觉每次都要改太麻烦了

  3. 简体中文版把google的前端公共库CDN服务更为360的常用前端公共库CDN服务或者去掉吧,大陆链不上,造成网站打开慢。每次者都要自己更

  4. 为什么国内与wordpress合作者不让他们提google字体的问题
    下个版本简体版直接删了字体,这样也不会慢了

  5. WordPress 4.1固定链接设置,除默认设置没问题外,其它几个都有问题,设置都会导致网站页面出错。

发表评论