WordPress 4.7 正式版自 2016 年 12月 6 日发布以来,已经有超过 1000 万次的下载。今天 WordPress 4.7.1 已经可以直接下载更新了,这个版本主要是解决以前旧版本存在的8处主要安全问题和61处错误。
WordPress 4.7.1正式版正式发布,WordPress外贸建站网建议您及时更新网站到 WordPress 4.7.1 这个最新版本,从而保证网站的安全性和功能性更新。
WordPress 4.7.1 修复主要安全问题
1. 在 PHPMailer 中存在的远程代码执行(RCE)漏洞。根据我们的调查,WordPress 或主要的插件目前都没有发现具体的问题,不过出于谨慎考虑,我们在 WordPress 4.7.1 中更新了这个 PHPMailer。
2. REST API 暴露曾撰写过公共文章类型的所有用户的用户数据。WordPress 4.7.1 将限制为仅在 REST API 中指定显示的文章类型。
3. 通过 update-core.php 上的插件名称或版本标头的跨站点脚本(XSS)漏洞。
4. 通过上传一个 Flash 文件伪造跨站请求 (CSRF)漏洞。
5. 通过主题名称回调(fallback)的跨站点脚本(XSS)漏洞。
6. 如果没有更改默认设置,可以通过 mail.example.com 进行邮件发布文章漏洞。
7. 在小工具的可访问性模式下的编辑功能发现了伪造跨站点请求(CSRF)漏洞。
8. 较弱的多站点激活密钥的加密安全性。
WordPress 4.7.1 除了解决以上 8 个安全问题外,还修复了 WordPress 4.7 版本中存在的 61 个错误。如需了解更多有关信息,请参见 WordPress 4.7.1 版本的发布说明 和 错误更新列表。
WordPress 4.7.1 更新方法
方法1. 在网站后台的【 控制面板(仪表盘) – 更新】页面,直接在线更新升级。
方法2. 在WordPress官方网站下载最新版本,然后通过FTP上传最新WordPress程序覆盖更新(操作前,建议先备份网站)。
WordPress 4.7.1 正式版下载地址:https://wordpress.org/download/