WordPress 3.1.1

WordPress 3.1.1 中文版本现已发布。此版本是修订版本,修复了 3.1 中包含安全问题在内的近 30 个问题。几个重要更新内容:

  • 加强媒体文件上传的安全性
  • 性能改进
  • 增加对 IIS6 的支持
  • 修正分类和 PATHINFO(/index.php/)的固定链接问题
  • 修正了在某些极端情况下,数据库查询和分类法相关内容可能导致插件不兼容的问题

3.1.1 版本包含了我们的安全团队成员、WordPress 核心开发者 Jon CavePeter Westwood 发现的 3 个安全问题。修复的内容分别是:修正媒体文件上传器包含的“跨站请求伪造”(CSRF)问题、修正在处理评论内容中极复杂链接时可能导致 PHP 崩溃的问题,以及修补“跨网站指令码”(XSS)漏洞。

我们建议您尽快升级至 3.1.1 版本。下载 3.1.1 版本,或通过您站点管理区域的控制板 → 更新菜单升级。

更多信息,包括更新的文件列表,您可访问中文文档页面查看。

WordPress 3.0.5

核心程序方面,这是一个安全更新,重点针对站点中有不确定用户的情况;在 WordPress China 方面,我们特别为您准备了“中国视频网站视频自动嵌入功能”,您只需在文章中另起一段,复制优酷网、56.com 或土豆网视频播放页面的网址,即可轻松插入视频。(详情请安装/升级后,访问“控制板 → 设置 → 中文本地化”,点击上方的“帮助”查看。)

详细情况如下:

修复了两个中等危险的安全问题。在以往版本中,贡献者和作者可以自我提权。

修复了一个信息泄露问题。以往版本中,作者级别的用户可以通过某种方法看到他们不应看到的内容。

做出了两个增强安全性的更改。一个是为那些没有正确使用安全 API 的插件提供的,另一个是对我们之前发布的补丁进行更深层的修正。

在核心程序方面,感谢 Nils Jueneman 和 Saddy。他们将两个安全问题报告给了 security@wordpress.org。其余问题是我们的安全小组修复的;在中文版本方面,感谢 Jimmy Xu,一个 15 岁的高三学生,为我们提供了部分正则表达式的支持。

下载 3.0.5,或在站点后台“控制版 → 更新”进行升级。

关于“中文视频网站视频自动嵌入功能”的几点说明:

  1. 这是个测试功能。
  2. 请仅使用示例的 URL 格式来添加视频,未来可能会添加对更多 URL 格式的支持。

谢谢。

3.0.4 重要安全更新

WordPress 3.0.4 版本已发布,现已可通过站点控制板更新,或在此下载。3.0.4 版本是个重要的安全更新,我们建议您尽快升级。这次更新修复了以往版本使用的叫做 KSES 的 HTML 转义库(HTML sanitation library)的重大问题。

我们深知,在节日突然发布软件更新很不好玩,不过,这个更新确实非常值得您的注意。您要这么想,为了博客访客的计算机的安全,请升级吧!

如果您希望了解更多,您可以查看我们做出了什么改动(英文)。虽然我们已听取了多方面的意见,但鉴于这涉及到的安全性问题十分重要,我们希望能够听到更多的意见。此跨网站指令码(XSS)漏洞是 Mauro GentileJon Cave (duck_) 发现的,在此向他们表示感谢!

WordPress 3.0.3

WordPress 3.0.3 官方中文版本发布。

这个版本和 3.0.2 相比,主要是一个安全更新 —— 我们修复了在“远程发布”功能的一个权限问题:作者、贡献者可以通过“远程发布”接口,随意编辑、发布,或删除文章。

不过,事实上,这个 bug 只会影响到启用了“远程发布”功能的站点。

“远程发布”功能是默认禁用的。若您希望使用“远程发布”客户端(比如 WordPress 移动设备应用程序),您需在“设置 → 撰写”页面将其启用。

下载 3.0.3,或在站点后台“控制版 → 更新”进行升级。

对 3.0.3 版本的后续本地化修补

2010 年 12 月 10 日更新:修正了 readme.html 中的版本号(只修改了 1 个字符),因此已经安装过的用户完全不必重新更新。

WordPress 3.0.2

WordPress 3.0.2 中文版本已发布。

此版本修复了一个安全漏洞:在以往版本,拥有作者权限的用户可以通过某种方式获得站点的更高权限。同时,修正了数个 bug、增强了安全性能。多谢 Vladimir Kolesnikov 的贡献!

手动下载 3.0.2 版本,或在您博客后台的控制板 > 更新菜单进行自动升级。

对 3.0.2 版本的后续本地化修补

2010 年 12 月 3 日 bug 修复:请反映博客主题 TwentyTen 翻译不正常的用户,在后台的控制版 > 更新菜单进行“自动重新安装”。我们发现,在初次打包发布时,两个主题翻译文件实际并不是最新版本。特此致歉!

2010 年 12 月 7 日 bug 修复:若您尝试关闭后台样式优化选项,但关闭后又自动开启,请在后台的控制版 > 更新菜单进行“自动重新安装”。此问题已在 SVN revision 15064 修复,并已更新相应安装包。不需要关闭后台样式优化功能的用户无需更新。感谢用户 skystar 的反馈。

WordPress 3.0.1

首先对数月的翻译停滞对各位表示诚挚的歉意。由于 Paveo 工作繁忙,今天起,WordPress China 由我接管,多谢他对我的信任,也希望大家多多支持我们!

在 WordPress 3.0 发布 42 天后,我们发布了 3.0.1 版本。

本版本修补了 50 余个问题。我们对所有为 WordPress 作出贡献的朋友们致谢。

手动下载 3.0.1 版本,或在您博客后台的控制板 > 升级菜单进行自动升级。