昨天,WordPress 开发团队 发布 了 WordPress 4.7.5 版本,修复了 6 个安全问题。所有使用 WordPress 4.7 版本的网站,将会自动升级到该版本。低于 WordPress 4.7 版本的用户,请手动升级到该坂本。
WordPress 4.7.5 修复这 6 个安全漏洞,是由 5 个方面分别向 WordPress 安全团队报告的。这些漏洞包括:
- HTTP 类中存在的重定向验证不足(Insufficient redirect validation in the HTTP class )
- XML-RPC 接口对文章元数据的不当处理(Improper handling of post meta data values in the XML-RPC API)
- XML-RPC 接口对文章元数据缺少检测能力(Lack of capability checks for post meta data in the XML-RPC API)
- 在文件系统信任凭据对话框中发现跨站点请求伪造漏洞 (CRSF)(A Cross Site Request Forgery (CRSF) vulnerability was discovered in the filesystem credentials dialog)
- 试图上传超大文件时发现跨站点脚本 (XSS) 漏洞(A cross-site scripting (XSS) vulnerability was discovered when attempting to upload very large files)
- 主题自定义面板发现跨站点脚本 (XSS) 漏洞(A cross-site scripting (XSS) vulnerability was discovered related to the Customizer)
这其中有些安全漏洞报告来自于 HackerOne 网站。在最近对 HavkerOne 的采访中,WordPress 安全团队的负责人 Aaron Campbell 说,该团队在启动了 bug 赏金计划之后,安全漏洞报告数量达到了一个峰值。
WordPress 团队在 HackerOne 网站上开通了自己的 官方账户 ,并鼓励用户通过该网站负责任地报告 WordPress 安全漏洞,以加快对安全漏洞的处理进程。同时,WordPress 团队启用赏金计划,汇报这些报告安全漏洞的用户,赏金范围在 150 ~ 1337 美元之间。
如果今后用户报告 WordPress 安全漏洞仍然非常频繁的话,WordPress 团队将会加快安全升级版本的发布频率。在比特率勒索病毒爆发之后,WordPress 团队对于网站安全的问题愈加重视。
已经安装了 WordPress 4.7 版本的用户,只要你没有手动关闭自动更新功能,你的网站都会自动升级到 4.7.5 版本。如果你还在使用 WordPress 4.7 之前的版本,请务必手动更新到此最新版本。
手动升级 WordPress 非常简单,你只需要在后台点击更新按钮,就可以完成自动升级。当然,在升级之前,请不要忘记做好备份。
尚未安装 WordPress 的新用户,你可以直接点击这里 下载 WordPress 最新版本 进行安装。
来源:WPChina 作者:WordPress 中文网
The post WordPress 4.7.5 版本发布,修复 6 个安全问题 appeared first on Linuxeden开源社区.
http://ift.tt/2pZX1IZ
没有评论:
发表评论