低于WordPress 4.7版本的用户，可以升级到该坂本

　　WordPress是一种使用PHP语言开发的博客平台，用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站，也可以把WordPress当作一个内容管理系统(CMS)来使用。

　　昨天，WordPress开发团队发布了WordPress 4.7.5版本，修复了6个安全问题。所有使用WordPress 4.7版本的网站，将会自动升级到该版本。低于WordPress 4.7版本的用户，请手动升级到该坂本。

　　WordPress 4.7.5修复漏洞如下：

　　— HTTP 类中存在的重定向验证不足(Insufficient redirect validation in the HTTP class );

　　— XML-RPC 接口对文章元数据的不当处理(Improper handling of post meta data values in the XML-RPC API);

　　— XML-RPC 接口对文章元数据缺少检测能力(Lack of capability checks for post meta data in the XML-RPC API);

　　— 在文件系统信任凭据对话框中发现跨站点请求伪造漏洞(CRSF)(A Cross Site Request Forgery (CRSF) vulnerability was discovered in the filesystem credentials dialog);

　　— 试图上传超大文件时发现跨站点脚本(XSS)漏洞(A cross-site scripting (XSS) vulnerability was discovered when attempting to upload very large files);

　　— 主题自定义面板发现跨站点脚本(XSS)漏洞(A cross-site scripting (XSS) vulnerability was discovered related to the Customizer)。

　　据了解，WordPress团队在HackerOne网站上开通了自己的官方账户，并鼓励用户通过该网站负责任地报告WordPress安全漏洞，，以加快对安全漏洞的处理进程。同时，WordPress团队启用赏金计划，汇报这些报告安全漏洞的用户，赏金范围在150 ~ 1337美元之间。

　　WordPress安全团队的负责人Aaron Campbell称，该团队在启动了bug赏金计划之后，安全漏洞报告数量达到了一个峰值。如果今后用户报告WordPress安全漏洞仍然非常频繁的话，WordPress团队将会加快安全升级版本的发布频率。在比特率勒索病毒爆发之后，WordPress团队对于网站安全的问题愈加重视。

　　需要提醒的是，已经安装了WordPress 4.7版本的用户，只要你没有手动关闭自动更新功能，你的网站都会自动升级到4.7.5 版本。如果你还在使用WordPress 4.7之前的版本，请务必手动更新到此最新版本。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!