wordpress是一种使用php语言开发的博客平台,用户可以在支持php和mysql数据库的服务器上架设属于自己的网站,也可以把wordpress当作一个内容管理系统(cms)来使用。
大概一个月前,wordpress开发团队发布了wordpress 4.7正式版,为了纪念美国爵士乐手 sarah sassy vaughan,这一版本被命名为“vaughan”。
昨日,wordpress 4.7迎来了第一个安全维护版本,版本号升级至4.7.1。该版本对之前所有版本中存在的安全问题进行了修复,建议正在使用旧版本的用户尽快升级。
wordpress 4.7以及早前版本受到了以下8个安全漏洞的影响:
1、phpmailer中存在的远程代码执行漏洞–目前该漏洞尚未 wordpress及主流插件造成任何确切的影响。但是出于谨慎考虑,开发团队在此新版本中对phpmailer模块进行了升级。
2、rest api会向已被授权访问文章类型或其他公开文章类型的所有用户暴露用户数据。wordpress 4.7.1对该权限做了限制,只向授权允许访问同样文章类型的用户开放用户数据。
3、由插件名称或者update-code.php文件中版本标头引起的跨站脚本攻击漏洞。
4、通过上传flash文件引起的跨站点请求伪造攻击。
5、因主题名称回滚引起的跨站攻击。
6、通过邮件发表文章时,如果默认设置没有修改,则检查 mail.example.com。
7、在可访问模式下编辑挂件(小工具)时存在跨站点请求伪造攻击。
8、多站点激活密钥的加密安全薄弱。
除了以上的安全漏洞,wordpress 4.7.1还修复了62个漏洞。
新用户可以下载wordpress 4.7.1,已经安装wordpress用户可以通过wordpress的控制台直接点击“立即更新”按钮进行升级。网站升级之前请务必做好备份。
