WordPress 3.1.4

WordPress 3.1.4 及其中文版本现已发布,它是一个针对以往所有版本的维护和安全更新。

这个版本主要修补了一个权限漏洞:编辑者权限的用户可能获得站点的更高权限。感谢 SEC Consult 的 K. Gudinavicius 向我们提供这一信息。3.1.4 版本还处理了其它一些安全问题。这些问题是由我们的安全小组成员、WordPress 开发者 Alexander Concha 和 Jon Cave 发现的。您可浏览更新日志(英文)以了解详情。

在此下载 3.1.4 版本,或尽快在站点后台“控制板” → “更新”进行升级。

WordPress 3.1.3

2021-04-21注:文章内容对于最新版本已经过时,警可作为参考。

WordPress 3.1.3 版本现已可用。它是一个针对之前所有版本的安全更新,包括如下修正:

  • 数个安全增强,由 Alexander Concha 提出;
  • 分类法查询的安全增强,由 John Lamansky 提出;
  • 避免非作者用户的用户名的泄露。感谢 Verónica Valeros
  • 媒体库功能的安全更新,由微软公司的 Richard Lundeen 和 Jesse Ou,以及 Microsoft Vulnerability Research 提出;
  • 改进在设置不当的主机上的文件上传安全性能;
  • 清理之前不成功的 WordPress 数据导入过程中产生的垃圾文件;
  • 在主流浏览器中引入管理页面和登录页面“点击劫持”的保护功能。

请浏览更改历史以了解详情。

您可下载 WordPress 3.1.3 版本,或通过站点后台的控制板 → 更新进行自动更新。

关于 WordPress 3.2

我们将在 WordPress 3.2 正式中文版本中,将所有英文文档链接替换成中文文档链接,方便用户的使用。同时,也将复查所有的翻译条目,尽力提升翻译质量。因此,为了不分散精力,我们决定不再发布 3.2 版本的各种测试版。请您理解,也请期待 3.2 中文版本的发布。

对您的支持深表感谢!

WordPress 3.1.2

WordPress 3.1.2 现已发布,修补了先前版本中的安全漏洞。

之前版本中,投稿者级别的用户可以通过某种不正当方法发布文章。

问题是由我们的安全团队成员、WordPress 开发者 Andrew Nacin 和 Benjamin Balter 共同发现的。

我们建议您尽快更新,尤其是对于那些将默认用户角色设为了投稿者的站点。除此之外,本次更新还解决了一些没有来得及在 3.1.1 版本中修复的问题(英文)。

下载 3.1.2 版本,或通过站点后台“控制板” → “更新”来升级。

更新的文件列表,请参见文档。本次变动的文件较少,因此在网络连接不好的情况下,您可以手动更新。

WordPress 3.1.1

WordPress 3.1.1 中文版本现已发布。此版本是修订版本,修复了 3.1 中包含安全问题在内的近 30 个问题。几个重要更新内容:

  • 加强媒体文件上传的安全性
  • 性能改进
  • 增加对 IIS6 的支持
  • 修正分类和 PATHINFO(/index.php/)的固定链接问题
  • 修正了在某些极端情况下,数据库查询和分类法相关内容可能导致插件不兼容的问题

3.1.1 版本包含了我们的安全团队成员、WordPress 核心开发者 Jon CavePeter Westwood 发现的 3 个安全问题。修复的内容分别是:修正媒体文件上传器包含的“跨站请求伪造”(CSRF)问题、修正在处理评论内容中极复杂链接时可能导致 PHP 崩溃的问题,以及修补“跨网站指令码”(XSS)漏洞。

我们建议您尽快升级至 3.1.1 版本。下载 3.1.1 版本,或通过您站点管理区域的控制板 → 更新菜单升级。

更多信息,包括更新的文件列表,您可访问中文文档页面查看。

WordPress 3.0.5

核心程序方面,这是一个安全更新,重点针对站点中有不确定用户的情况;在 WordPress China 方面,我们特别为您准备了“中国视频网站视频自动嵌入功能”,您只需在文章中另起一段,复制优酷网、56.com 或土豆网视频播放页面的网址,即可轻松插入视频。(详情请安装/升级后,访问“控制板 → 设置 → 中文本地化”,点击上方的“帮助”查看。)

详细情况如下:

修复了两个中等危险的安全问题。在以往版本中,贡献者和作者可以自我提权。

修复了一个信息泄露问题。以往版本中,作者级别的用户可以通过某种方法看到他们不应看到的内容。

做出了两个增强安全性的更改。一个是为那些没有正确使用安全 API 的插件提供的,另一个是对我们之前发布的补丁进行更深层的修正。

在核心程序方面,感谢 Nils Jueneman 和 Saddy。他们将两个安全问题报告给了 security@wordpress.org。其余问题是我们的安全小组修复的;在中文版本方面,感谢 Jimmy Xu,一个 15 岁的高三学生,为我们提供了部分正则表达式的支持。

下载 3.0.5,或在站点后台“控制版 → 更新”进行升级。

关于“中文视频网站视频自动嵌入功能”的几点说明:

  1. 这是个测试功能。
  2. 请仅使用示例的 URL 格式来添加视频,未来可能会添加对更多 URL 格式的支持。

谢谢。

3.0.4 重要安全更新

WordPress 3.0.4 版本已发布,现已可通过站点控制板更新,或在此下载。3.0.4 版本是个重要的安全更新,我们建议您尽快升级。这次更新修复了以往版本使用的叫做 KSES 的 HTML 转义库(HTML sanitation library)的重大问题。

我们深知,在节日突然发布软件更新很不好玩,不过,这个更新确实非常值得您的注意。您要这么想,为了博客访客的计算机的安全,请升级吧!

如果您希望了解更多,您可以查看我们做出了什么改动(英文)。虽然我们已听取了多方面的意见,但鉴于这涉及到的安全性问题十分重要,我们希望能够听到更多的意见。此跨网站指令码(XSS)漏洞是 Mauro GentileJon Cave (duck_) 发现的,在此向他们表示感谢!

WordPress 3.0.3

WordPress 3.0.3 官方中文版本发布。

这个版本和 3.0.2 相比,主要是一个安全更新 —— 我们修复了在“远程发布”功能的一个权限问题:作者、贡献者可以通过“远程发布”接口,随意编辑、发布,或删除文章。

不过,事实上,这个 bug 只会影响到启用了“远程发布”功能的站点。

“远程发布”功能是默认禁用的。若您希望使用“远程发布”客户端(比如 WordPress 移动设备应用程序),您需在“设置 → 撰写”页面将其启用。

下载 3.0.3,或在站点后台“控制版 → 更新”进行升级。

对 3.0.3 版本的后续本地化修补

2010 年 12 月 10 日更新:修正了 readme.html 中的版本号(只修改了 1 个字符),因此已经安装过的用户完全不必重新更新。

WordPress 3.0.2

WordPress 3.0.2 中文版本已发布。

此版本修复了一个安全漏洞:在以往版本,拥有作者权限的用户可以通过某种方式获得站点的更高权限。同时,修正了数个 bug、增强了安全性能。多谢 Vladimir Kolesnikov 的贡献!

手动下载 3.0.2 版本,或在您博客后台的控制板 > 更新菜单进行自动升级。

对 3.0.2 版本的后续本地化修补

2010 年 12 月 3 日 bug 修复:请反映博客主题 TwentyTen 翻译不正常的用户,在后台的控制版 > 更新菜单进行“自动重新安装”。我们发现,在初次打包发布时,两个主题翻译文件实际并不是最新版本。特此致歉!

2010 年 12 月 7 日 bug 修复:若您尝试关闭后台样式优化选项,但关闭后又自动开启,请在后台的控制版 > 更新菜单进行“自动重新安装”。此问题已在 SVN revision 15064 修复,并已更新相应安装包。不需要关闭后台样式优化功能的用户无需更新。感谢用户 skystar 的反馈。

WordPress 3.0.1

首先对数月的翻译停滞对各位表示诚挚的歉意。由于 Paveo 工作繁忙,今天起,WordPress China 由我接管,多谢他对我的信任,也希望大家多多支持我们!

在 WordPress 3.0 发布 42 天后,我们发布了 3.0.1 版本。

本版本修补了 50 余个问题。我们对所有为 WordPress 作出贡献的朋友们致谢。

手动下载 3.0.1 版本,或在您博客后台的控制板 > 升级菜单进行自动升级。