WordPress 4.0.1 安全與維護版本釋出

WordPress 4.0.1 維護更新現已推出。這是一個重大的安全性更新,我們強烈建議你立即更新你的網站。

支援自動背景更新的網站將會在接下來幾小時自動更新至 WordPress 4.0.1。如果你仍在使用 WordPress 3.9.2、3.8.4 或 3.7.4,你將被更新至 3.9.3、3.8.5 或 3.7.5 來讓一切更加安全。(我們不再支援更舊的版本,所以請更新至 4.0.1)

WordPress 3.9.2 和更早的版本都受到一個嚴重的跨站式腳本漏洞所影響,該漏洞可能會使匿名用戶破壞網站。這是由 Jouko Pynnonen 回報。這個問題不影響 4.0 版本,但 4.0.1 版會解決這八個安全問題:

  • 三個跨站式腳本問題,可能是寫手或作者利用它來破壞網站。由 WordPress 安全團隊的 Jon CaveRobert ChapinJohn Blackbourn 所發現。
  • 一個跨站式的請求偽造,可以被用來欺騙用戶更改他們的密碼。
  • 一個當密碼檢查時,可能導致阻斷服務攻擊的問題。由 Javier Nieto ArevaloAndres Rojas Guerrero 回報。
  • 當 WordPress 建立 HTTP 請求時,增加額外的伺服器端保護。由 Ben Bidner (vortfu) 回報。
  • 一個完全不像 hash 碰撞的攻擊,可能破壞用戶帳號,當然,這要該用戶帳號在 2008 年以後都沒有登入過(我希望我是在開玩笑)。由 David Anderson 回報。
  • 如果用戶記住他們的密碼,登入、並更改他們的 Email 地址,WordPress 現在會使密碼重設郵件內的鏈結失效。由 Momen BasselTanoy Bose 和 Bojan Slavković of ManageWP 回報。

4.0.1 版也修復了 4.0 裡 23 個臭蟲,且我們做了兩個重大改進,包括更好的 EXIF 資料驗證(從上傳的圖片所讀取的)。由 Chris Andrè Dale 回報。

下載 WordPress 4.0.1 正體中文版或前往「控制台 → 更新」,點選「立即更新」來進行升級。

已經測試過 WordPress 4.1 了嗎?第二個測試版本已經可以下載(zip)並包含了一些安全修復。欲了解更多 4.1 的資訊,請參考第一個測試版本的公告