https://www.ishiguang.cn/tag/wordpress%E5%8D%87%E7%BA%A7/ https://www.ishiguang.cn/15815.html 2022-02-26T17:32:12+08:00 如果我们用户有在使用WordPress程序的应该在昨天看到后台有升级提示，晚些时候更新中文版本，其实不论我们中文版本还是英文版本，对于升级后语言是没有影响的。这次中文版本跟进速度较快，可以看到其应该是有安全更新的，从官方的文档可以看到更新8个重要安全问题。 官方文档：https://codex.wordpress.org/Version_4.7.1 具体如下： 1、Remote code execution (RCE) in PHPMailer – No specific issue appears to affect WordPress or any of the major plugins we investigated but, out of an abundance of caution, we updated PHPMailer in this release. 2、The REST API exposed user data for all users who had authored a post of a public post type. WordPress 4.7.1 limits this to only post types which have specified that they should be shown within the REST API. 3、Cross-site scripting (XSS) via the plugin name or version header on update-core.php. 4、Cross-site request forgery (CSRF) bypass via uploading a Flash file. 5、Cross-site scripting (XSS) via theme name fallback. 6、Post via email checks mail.example.com if default settings aren't changed. 7、A cross-site request forgery (CSRF) was discovered in the accessibility mode of widget editing. 8、Weak cryptographic security for multisite activation key. 与此同时，还更新和升级上一个版本以来的多个BUG问题。老蒋个人建议用户还是尽快升级，参考"WordPress程序自动与手动升级新版本的操作过程"。 https://www.ishiguang.cn/15687.html 2022-02-26T17:24:40+08:00 今天老蒋在外面收到邮件通知，网站有自动升级成WordPress 5.7.2版本，当然我知道应该是安全版本，因为之前从官方的更新进度可以知道下个版本应该是直接5.8的，如果这么临时的升级到5.7.2应该是有安全问题所以，我们应该及时的更新升级。 我们看下官方信息： This security release features one security fix. Because this is a security release, it is recommended that you update your sites immediately. All versions since WordPress 3.7 have also been updated.WordPress 5.7.2 is a short-cycle security release. The next major release will be version 5.8.You can update to WordPress 5.7.2 by downloading from WordPress.org, or visit your Dashboard → Updates and click Update Now.If you have sites that support automatic background updates, they’ve already started the update process.Security UpdatesOne security issue affecting WordPress versions between 3.7 and 5.7. If you haven’t yet updated to 5.7, all WordPress versions since 3.7 have also been updated to fix the following security issue:Object injection in PHPMailer, CVE-2020-36326 and CVE-2018-19296. 我们可以看到应该是比较严重的PHPMailer推送邮件安全问题。所有，我们还是尽快的升级更新版本。 关于WordPress升级可以参考这里： 1、WordPress程序自动与手动升级新版本的操作过程 https://www.ishiguang.cn/15474.html 2022-02-26T17:20:51+08:00 既然我们选择WordPress用于架设自己的网站，我们就注定要在不断的升级、折腾中。月初的时候我们有看到WordPress 5.2版本更新，根据以往常态，会在使用不到一个月时间内会有新的补丁版本，这不我们今天有看到WordPress 5.2.1维护版本更新，有修正33个错误和一些功能升级。 这里还不算，官方也有直接说明，这个只是临时的维护版本，WordPress 5.2.2版本将会2周后更新，到时候应该是有更大的补丁或者是功能升级。我们是不是又要升级了呢？ 从前天开始，我们是不是也和老蒋看到一个怪异的事情？在官方主页中看不到选择简体中文语言版本，而且即便我们手动输入cn.wordpress.org进入简体中文版本，下载到的版本也不是简体中文版本，安装的时候也没有跳出让选择语言。 是不是很怪异？如果需要安装简体中文版本，老蒋前天有采用的是安装老版本然后升级的方法（如何解决安装WordPress强制默认英文语言问题 我需要中文版本）。 https://www.ishiguang.cn/15438.html 2022-02-26T17:20:21+08:00 WordPress自从升级至5.0之后，升级的频率是有些高的。之前几次是以新款编辑器的模块升级，这次WordPress 5.0.3更新发布包括7个性能升级更新，以及37个错误更新。老蒋个人建议，如果我们有在使用WordPress的话还是需要用到最新版本。 第一、升级项目内容 1、在捆绑主题中添加了15个块编辑器相关的错误修复和改进。 如果我们有使用新编辑器的话一定要升级。 2、已修复2个区块编辑器相关的国际化（I18N）错误。 3、禁用JavaScript的用户现在在尝试使用块编辑器时会看到通知。 4、定制程序中的一些PHP错误已得到修复。 5、上传常见文件类型（如CSV）的一些问题已得到修复。 第二、如何升级最新版本 参考"WordPress程序自动与手动升级新版本的操作过程"，可以选择自动 或者手动升级。我一般是让编辑在更新企业网站的时候看到有提示新版本就让他们直接点击自动升级。如果有出现升级错误的话，再让技术用手动升级。 https://www.ishiguang.cn/15429.html 2022-02-26T17:20:15+08:00 老蒋对于WordPress程序的整体感觉还是不错的，但是特别不喜欢前一天才升级更新，后面又来一个补丁。要更新升级能不能一次完成？这次升级5.0的时候没有安全更新，估计看到大家都没有升级，因为不喜欢Gutenberg编辑器，于是乎来一个安全补丁更新，看你升级不？ 如果我们有在用WordPress非最新版本的话，建议升级，因为有安全补丁。 1、authors could alter meta data to delete files that they weren’t authorized to. 2、authors could create posts of unauthorized post types with specially crafted input. 3、contributors could craft meta data in a way that resulted in PHP object injection. 4、contributors could edit new comments from higher-privileged users, potentially leading to a cross-site scripting vulnerability. 5、specially crafted URL inputs could lead to a cross-site scripting vulnerability in some circumstances. WordPress itself was not affected, but plugins could be in some situations. 6、the user activation screen could be indexed by search engines in some uncommon configurations, leading to exposure of email addresses, and in some rare cases, default generated passwords. 7、authors on Apache-hosted sites could upload specifically crafted files that bypass MIME verification, leading to a cross-site scripting vulnerability. 如果我们在升级之后是强制有安装Gutenberg编辑器的，如果我们不喜欢可以参考"禁用WordPress Gutenberg古腾堡编辑器两个方法"禁止掉。 https://www.ishiguang.cn/15427.html 2022-02-26T17:20:14+08:00 在之前的文章中，我们也有提到WordPress有预告过在开发Gutenberg编辑器。之前是选择可以使用的，这次直接在升级5.0版本的时候强制默认编辑器。不清楚其他网友使用是否习惯，老蒋看到之后确实是比较难用。编辑文字应该是可以直接简单一些的，没有必要这么花里胡哨的。 同时在这次5.0更新的时候，还发布一款新的默认Twenty Nineteen主题，如果有喜欢的朋友也可以体验使用。个人觉得，新的编辑器对于文字编辑器用户效率会降低，但是对于需要灵活搭配媒体文件的会有不小的自由空间。 第一、新版的编辑器界面 是不是与我们常用的编辑器差异太大了？不过官方有发布消息了，在2021年之前我们如果需要使用传统的编辑器，可以使用插件（https://wordpress.org/plugins/classic-editor/）来继续使用，但是2021年之后不清楚会如何，如果大家都不喜欢肯定不会强制推荐Gutenberg编辑器。 第二、新默认主题 默认主题一般不是特别适合我们的感觉，要么还是使用我们已有主题或者在默认基础上修改修改。 https://www.ishiguang.cn/15416.html 2022-02-26T17:19:58+08:00 今天登陆博客后台有看到WordPress再次提示有新版本需要升级更新，根据惯例每次有新版本之后肯定是需要更新的，这里需要考虑到安全因素和功能的与时俱进。虽然这次官方没有提到是安全更新和必要更新，但是为了系统的及时性是需要更新的，这次修复几十个BUG信息。 这次最主要的是像用户推送Gutenberg编辑器功能，但是也不是必须使用的我们可以依旧使用老版本的编辑器。 https://www.ishiguang.cn/15403.html 2022-02-26T17:19:47+08:00 前几天老蒋有发布"临时解决WordPress删除任意文件和执行恶意代码安全问题"这篇博文，主要是因为最近闹腾的漏洞安全问题，但是官方一直没有给出版本的更新。刚才登录后台的时候有看到WordPress终于更新版本，其中重要的安全问题就是解决这个安全问题。 如果我们有在使用WordPress且希望稳定和安全，一定要使用最新版本。这次版本解决的问题包括： Taxonomy: Improve cache handling for term queries. Posts, Post Types: Clear post password cookie when logging out. Widgets: Allow basic HTML tags in sidebar descriptions on Widgets admin screen. Community Events Dashboard: Always show the nearest WordCamp if one is coming up, even if there are multiple Meetups happening first. Privacy: Make sure default privacy policy content does not cause a fatal error when flushing rewrite rules outside of the admin context. 参考"WordPress程序自动与手动升级新版本的操作过程"，可以手工或者自动升级，建议手工升级。 https://www.ishiguang.cn/15360.html 2022-02-26T17:18:35+08:00 今天早上起来看到WordPress 4.9.2版本升级，根据官方的建议和说明这次是安全版本，建议所有WP版本都进行升级。因为牵扯到基础安全问题。如果我们有在使用的用户可以选择升级，一般后台都有提醒新的版本，不过目前中文版没有出来，一般比较迟钝。升级到英文版本不影响后台的语言包。 第一、安全问题 1、MediaElement中的Flash后备文件中发现了一个XSS漏洞，该文件包含在WordPress中。由于大多数使用情况不再需要Flash文件，因此已将其从WordPress中删除。 2、MediaElement已经发布了一个包含bug修复的新版本，插件库中提供了一个包含固定文件的WordPress插件。 第二、其他21个小问题 1、阻止在Firefox中保存帖子的JavaScript错误已得到修复。 2、get_category_link（）和category_description（）的以前分类不可知的行为已被恢复。 参考"WordPress程序自动与手动升级新版本的操作过程"，可以手工或者自动升级，建议手工升级，如果不放心的可以先进行备份。 https://www.ishiguang.cn/15333.html 2022-02-26T17:18:15+08:00 今天在登录WordPress后台的时候有看到有新的WordPress 4.8.3版本升级提示，原本根据计划会在11月份有较大版本升级的，可以看到这次的升级是安全更新，而且官方建议是立即升级。 WordPress 4.8.3 is now available. This is a security release for all previous versions and we strongly encourage you to update your sites immediately. WordPress versions 4.8.2 and earlier are affected by an issue where $wpdb->prepare() can create unexpected and unsafe queries leading to potential SQL injection (SQLi). WordPress core is not directly vulnerable to this issue, but we’ve added hardening to prevent plugins and themes from accidentally causing a vulnerability. 本文来自：https://wordpress.org/news/2017/10/wordpress-4-8-3-security-release/。如果我们需要升级请做好备份，然后后台直接升级或者手工升级（参考：WordPress程序自动与手动升级新版本的操作过程）