昨天，WordPress開發團隊發布了WordPress 4.7.5版本，修復了6個安全問題。所有使用WordPress 4.7版本的網站，將會自動升級到該版本。低于WordPress 4.7版本的用戶，請手動升級到該坂本。

WordPress 4.7.5修復漏洞如下：

—HTTP 類中存在的重定向驗證不足（Insufficient redirect validation in the HTTP class ）；

—XML-RPC 接口對文章元數據的不當處理（Improper handling of post meta data values in the XML-RPC API）；

—XML-RPC 接口對文章元數據缺少檢測能力（Lack of capability checks for post meta data in the XML-RPC API）；

—在文件系統信任憑據對話框中發現跨站點請求偽造漏洞(CRSF)（A Cross Site Request Forgery (CRSF) vulnerability was discovered in the filesystem credentials dialog）；

—試圖上傳超大文件時發現跨站點腳本(XSS)漏洞（A cross-site scripting (XSS) vulnerability was discovered when attempting to upload very large files）；

—主題自定義面板發現跨站點腳本(XSS)漏洞（A cross-site scripting (XSS) vulnerability was discovered related to the Customizer）。

據了解，WordPress團隊在HackerOne網站上開通了自己的官方賬戶，并鼓勵用戶通過該網站負責任地報告WordPress安全漏洞，以加快對安全漏洞的處理進程。同時，WordPress團隊啟用賞金計劃，匯報這些報告安全漏洞的用戶，賞金范圍在150 ~ 1337美元之間。

WordPress安全團隊的負責人Aaron Campbell稱，該團隊在啟動了bug賞金計劃之后，安全漏洞報告數量達到了一個峰值。如果今后用戶報告WordPress安全漏洞仍然非常頻繁的話，WordPress團隊將會加快安全升級版本的發布頻率。在比特率勒索病毒爆發之后，WordPress團隊對于網站安全的問題愈加重視。

需要提醒的是，已經安裝了WordPress 4.7版本的用戶，只要你沒有手動關閉自動更新功能，你的網站都會自動升級到4.7.5 版本。如果你還在使用WordPress 4.7之前的版本，請務必手動更新到此最新版本。

尚未安裝WordPress的新用戶，可以點擊這里下載WordPress最新版本。