WordPress是一種使用PHP語(yǔ)言開(kāi)發(fā)的博客平臺(tái)，用戶可以在支持PHP和MySQL數(shù)據(jù)庫(kù)的服務(wù)器上架設(shè)屬于自己的網(wǎng)站，也可以把WordPress當(dāng)作一個(gè)內(nèi)容管理系統(tǒng)(CMS)來(lái)使用。

昨天，WordPress開(kāi)發(fā)團(tuán)隊(duì)發(fā)布了WordPress 4.7.5版本，修復(fù)了6個(gè)安全問(wèn)題。所有使用WordPress 4.7版本的網(wǎng)站，將會(huì)自動(dòng)升級(jí)到該版本。低于WordPress 4.7版本的用戶，請(qǐng)手動(dòng)升級(jí)到該坂本。

WordPress 4.7.5修復(fù)漏洞如下：

— HTTP 類中存在的重定向驗(yàn)證不足(Insufficient redirect validation in the HTTP class );

— XML-RPC 接口對(duì)文章元數(shù)據(jù)的不當(dāng)處理(Improper handling of post meta data values in the XML-RPC API);

— XML-RPC 接口對(duì)文章元數(shù)據(jù)缺少檢測(cè)能力(Lack of capability checks for post meta data in the XML-RPC API);

— 在文件系統(tǒng)信任憑據(jù)對(duì)話框中發(fā)現(xiàn)跨站點(diǎn)請(qǐng)求偽造漏洞(CRSF)(A Cross Site Request Forgery (CRSF) vulnerability was discovered in the filesystem credentials dialog);

— 試圖上傳超大文件時(shí)發(fā)現(xiàn)跨站點(diǎn)腳本(XSS)漏洞(A cross-site scripting (XSS) vulnerability was discovered when attempting to upload very large files);

— 主題自定義面板發(fā)現(xiàn)跨站點(diǎn)腳本(XSS)漏洞(A cross-site scripting (XSS) vulnerability was discovered related to the Customizer)。

據(jù)了解，WordPress團(tuán)隊(duì)在HackerOne網(wǎng)站上開(kāi)通了自己的官方賬戶，并鼓勵(lì)用戶通過(guò)該網(wǎng)站負(fù)責(zé)任地報(bào)告WordPress安全漏洞，以加快對(duì)安全漏洞的處理進(jìn)程。同時(shí)，WordPress團(tuán)隊(duì)啟用賞金計(jì)劃，匯報(bào)這些報(bào)告安全漏洞的用戶，賞金范圍在150 ~ 1337美元之間。

WordPress安全團(tuán)隊(duì)的負(fù)責(zé)人Aaron Campbell稱，該團(tuán)隊(duì)在啟動(dòng)了bug賞金計(jì)劃之后，安全漏洞報(bào)告數(shù)量達(dá)到了一個(gè)峰值。如果今后用戶報(bào)告WordPress安全漏洞仍然非常頻繁的話，WordPress團(tuán)隊(duì)將會(huì)加快安全升級(jí)版本的發(fā)布頻率。在比特率勒索病毒爆發(fā)之后，WordPress團(tuán)隊(duì)對(duì)于網(wǎng)站安全的問(wèn)題愈加重視。

需要提醒的是，已經(jīng)安裝了WordPress 4.7版本的用戶，只要你沒(méi)有手動(dòng)關(guān)閉自動(dòng)更新功能，你的網(wǎng)站都會(huì)自動(dòng)升級(jí)到4.7.5 版本。如果你還在使用WordPress 4.7之前的版本，請(qǐng)務(wù)必手動(dòng)更新到此比較新版本。

尚未安裝WordPress的新用戶，可以點(diǎn)擊這里下載WordPress比較新版本。