分类： 安全与维护（次要版本）

WordPress 3.1.4 及其中文版本现已发布，它是一个针对以往所有版本的维护和安全更新。

这个版本主要修补了一个权限漏洞：编辑者权限的用户可能获得站点的更高权限。感谢 SEC Consult 的 K. Gudinavicius 向我们提供这一信息。3.1.4 版本还处理了其它一些安全问题。这些问题是由我们的安全小组成员、WordPress 开发者 Alexander Concha 和 Jon Cave 发现的。您可浏览更新日志（英文）以了解详情。

请在此下载 3.1.4 版本，或尽快在站点后台“控制板” → “更新”进行升级。

2021-04-21注：文章内容对于最新版本已经过时，警可作为参考。

WordPress 3.1.3 版本现已可用。它是一个针对之前所有版本的安全更新，包括如下修正：

• 数个安全增强，由 Alexander Concha 提出；
• 分类法查询的安全增强，由 John Lamansky 提出；
• 避免非作者用户的用户名的泄露。感谢 Verónica Valeros；
• 媒体库功能的安全更新，由微软公司的 Richard Lundeen 和 Jesse Ou，以及 Microsoft Vulnerability Research 提出；
• 改进在设置不当的主机上的文件上传安全性能；
• 清理之前不成功的 WordPress 数据导入过程中产生的垃圾文件；
• 在主流浏览器中引入管理页面和登录页面“点击劫持”的保护功能。

请浏览更改历史以了解详情。

您可下载 WordPress 3.1.3 版本，或通过站点后台的控制板 → 更新进行自动更新。

关于 WordPress 3.2

我们将在 WordPress 3.2 正式中文版本中，将所有英文文档链接替换成中文文档链接，方便用户的使用。同时，也将复查所有的翻译条目，尽力提升翻译质量。因此，为了不分散精力，我们决定不再发布 3.2 版本的各种测试版。请您理解，也请期待 3.2 中文版本的发布。

对您的支持深表感谢！

WordPress 3.1.2 现已发布，修补了先前版本中的安全漏洞。

之前版本中，投稿者级别的用户可以通过某种不正当方法发布文章。

问题是由我们的安全团队成员、WordPress 开发者 Andrew Nacin 和 Benjamin Balter 共同发现的。

我们建议您尽快更新，尤其是对于那些将默认用户角色设为了投稿者的站点。除此之外，本次更新还解决了一些没有来得及在 3.1.1 版本中修复的问题（英文）。

下载 3.1.2 版本，或通过站点后台“控制板” → “更新”来升级。

更新的文件列表，请参见文档。本次变动的文件较少，因此在网络连接不好的情况下，您可以手动更新。

WordPress 3.1.1 中文版本现已发布。此版本是修订版本，修复了 3.1 中包含安全问题在内的近 30 个问题。几个重要更新内容：

• 加强媒体文件上传的安全性
• 性能改进
• 增加对 IIS6 的支持
• 修正分类和 PATHINFO（/index.php/）的固定链接问题
• 修正了在某些极端情况下，数据库查询和分类法相关内容可能导致插件不兼容的问题

3.1.1 版本包含了我们的安全团队成员、WordPress 核心开发者 Jon Cave 和 Peter Westwood 发现的 3 个安全问题。修复的内容分别是：修正媒体文件上传器包含的“跨站请求伪造”（CSRF）问题、修正在处理评论内容中极复杂链接时可能导致 PHP 崩溃的问题，以及修补“跨网站指令码”（XSS）漏洞。

我们建议您尽快升级至 3.1.1 版本。下载 3.1.1 版本，或通过您站点管理区域的控制板 → 更新菜单升级。

更多信息，包括更新的文件列表，您可访问中文文档页面查看。

核心程序方面，这是一个安全更新，重点针对站点中有不确定用户的情况；在 WordPress China 方面，我们特别为您准备了“中国视频网站视频自动嵌入功能”，您只需在文章中另起一段，复制优酷网、56.com 或土豆网视频播放页面的网址，即可轻松插入视频。（详情请安装/升级后，访问“控制板 → 设置 → 中文本地化”，点击上方的“帮助”查看。）

详细情况如下：

修复了两个中等危险的安全问题。在以往版本中，贡献者和作者可以自我提权。

修复了一个信息泄露问题。以往版本中，作者级别的用户可以通过某种方法看到他们不应看到的内容。

做出了两个增强安全性的更改。一个是为那些没有正确使用安全 API 的插件提供的，另一个是对我们之前发布的补丁进行更深层的修正。

在核心程序方面，感谢 Nils Jueneman 和 Saddy。他们将两个安全问题报告给了 security@wordpress.org。其余问题是我们的安全小组修复的；在中文版本方面，感谢 Jimmy Xu，一个 15 岁的高三学生，为我们提供了部分正则表达式的支持。

下载 3.0.5，或在站点后台“控制版 → 更新”进行升级。

关于“中文视频网站视频自动嵌入功能”的几点说明：

1. 这是个测试功能。
2. 请仅使用示例的 URL 格式来添加视频，未来可能会添加对更多 URL 格式的支持。

谢谢。

WordPress 3.0.4 版本已发布，现已可通过站点控制板更新，或在此下载。3.0.4 版本是个重要的安全更新，我们建议您尽快升级。这次更新修复了以往版本使用的叫做 KSES 的 HTML 转义库（HTML sanitation library）的重大问题。

我们深知，在节日突然发布软件更新很不好玩，不过，这个更新确实非常值得您的注意。您要这么想，为了博客访客的计算机的安全，请升级吧！

如果您希望了解更多，您可以查看我们做出了什么改动（英文）。虽然我们已听取了多方面的意见，但鉴于这涉及到的安全性问题十分重要，我们希望能够听到更多的意见。此跨网站指令码（XSS）漏洞是 Mauro Gentile 和 Jon Cave (duck_) 发现的，在此向他们表示感谢！

WordPress 3.0.3 官方中文版本发布。

这个版本和 3.0.2 相比，主要是一个安全更新 —— 我们修复了在“远程发布”功能的一个权限问题：作者、贡献者可以通过“远程发布”接口，随意编辑、发布，或删除文章。

不过，事实上，这个 bug 只会影响到启用了“远程发布”功能的站点。

“远程发布”功能是默认禁用的。若您希望使用“远程发布”客户端（比如 WordPress 移动设备应用程序），您需在“设置 → 撰写”页面将其启用。

下载 3.0.3，或在站点后台“控制版 → 更新”进行升级。

对 3.0.3 版本的后续本地化修补

2010 年 12 月 10 日更新：修正了 readme.html 中的版本号（只修改了 1 个字符），因此已经安装过的用户完全不必重新更新。

WordPress 3.0.2 中文版本已发布。

此版本修复了一个安全漏洞：在以往版本，拥有作者权限的用户可以通过某种方式获得站点的更高权限。同时，修正了数个 bug、增强了安全性能。多谢 Vladimir Kolesnikov 的贡献！

手动下载 3.0.2 版本，或在您博客后台的控制板 > 更新菜单进行自动升级。

对 3.0.2 版本的后续本地化修补

2010 年 12 月 3 日 bug 修复：请反映博客主题 TwentyTen 翻译不正常的用户，在后台的控制版 > 更新菜单进行“自动重新安装”。我们发现，在初次打包发布时，两个主题翻译文件实际并不是最新版本。特此致歉！

2010 年 12 月 7 日 bug 修复：若您尝试关闭后台样式优化选项，但关闭后又自动开启，请在后台的控制版 > 更新菜单进行“自动重新安装”。此问题已在 SVN revision 15064 修复，并已更新相应安装包。不需要关闭后台样式优化功能的用户无需更新。感谢用户 skystar 的反馈。

首先对数月的翻译停滞对各位表示诚挚的歉意。由于 Paveo 工作繁忙，今天起，WordPress China 由我接管，多谢他对我的信任，也希望大家多多支持我们！

在 WordPress 3.0 发布 42 天后，我们发布了 3.0.1 版本。

本版本修补了 50 余个问题。我们对所有为 WordPress 作出贡献的朋友们致谢。

手动下载 3.0.1 版本，或在您博客后台的控制板 > 升级菜单进行自动升级。

先祝大家新春愉快。

此次更新，修复关于回收站的一个多用户权限问题，如果您的 blog 有不确定用户，请更新到 2.9.2。