WordPress 5.5.2 是一个短周期的安全核维护版本,主要是修复了 10 个安全以及 14 个错误程序,而且自 WordPress 3.7 以来的所有版本均已更新。由于这是 WordPress 的一个安全版本,为了大家的站点安全,建议大家立即升级更新到最新版本。其实大多数 WordPress 站点都支持后台自动更新,比如老古的测试站就自动升级到 WordPress 5.5.2 版本了,具体见下图:
如果你的站点无法自动升级更新,建议直接前往WordPress 官网下载 WordPress 5.5.2 安装包,然后手动升级 WordPress,具体操作可参考『如何手动升级到 WordPress 5.5 版本?附详细图文教程』这篇文章的操作办法。
WordPress 各个版本建议升级到最新版本
- WordPress 5.5 → 5.5.2
- WordPress 5.4 → 5.4.3
- WordPress 5.3 → 5.3.5
- WordPress 5.2 → 5.2.8
- WordPress 5.1 → 5.1.7
- WordPress 5.0 → 5.0.11
- WordPress 4.9 → 4.9.16
- WordPress 4.8 → 4.8.15
WordPress 此次最新版本主要修复了以下问题
1、10 个安全程序问题
- WordPress 安全团队的 Alex Concha 在加强反序列化请求方面的工作。
- 支持 David Binovec 的修复程序,以禁用来自多站点网络上已禁用站点的垃圾邮件嵌入。
- 感谢 Sucuri 的 Marc Montas 报告了一个可能导致全局变量导致 XSS 的问题。
- 感谢 Justin Tran 报告了有关 XML-RPC 中特权升级的问题。他还发现并公开了有关通过 XML-RPC 发表评论的特权升级的问题。
- 向 Omar Ganiev 提出的建议,他报告了一种 DoS 攻击可能导致 RCE 的方法。
- 感谢 RIPS 的 Karim El Ouerghemmi 公开了一种将 XSS 存储在后段塞中的方法。
- 感谢 Slavco 的报告以及 Karim El Ouerghemmi 的确认,这是一种绕过受保护的 meta 的方法,该方法可能导致任意文件删除。
- 感谢 WPScan 的 Erwan LR 负责地披露了一种可能导致 CSRF 的方法。
- 特别感谢@ zieladam,他在本发行版的许多发行版和补丁中都是不可或缺的。
- 感谢所有记者私下披露这些漏洞。这给安全团队提供了时间来修复可攻击 WordPress 网站的漏洞。
2、14 个错误程序问题
- #51130 –事件在场所时区而非用户的时区中显示
- #51659 –更新 WordPress 5.5.2 的 Gutenberg 依赖关系
- #50861 –删除 Facebook 和 Instagram 作为嵌入源
- #50903 –默认情况下,将本地环境设置为开发环境类型
- #50949 –用户与网站所在时区不同时,帖子显示错误时间
- #51053 –设置为向左对齐的视频嵌入在古腾堡编辑器中消失了
- #51175 –错误的回复框标题
- #51219-主题编辑器页面显示未定义的变量通知
- #51251 –修复打开编辑图像弹出窗口时的 PHP 通知
- #51263 –在管理注释编辑屏幕中编辑注释时,PHP 警告
- #51320-将帖子移至垃圾桶时的 PHP 声明(post_type 具有 2 个已注册的分类法,均已设置 default_term)
- #51400 –自动插件/主题更新期间未定义的索引
- #51595 –无法通过 XML-RPC 进行匿名评论
- #51645 –未定义索引:核心文件中的回显