Несколько часов назад вышел релиз безопасности WordPress 4.0.1. Всем пользователям рекомендуется обновиться немедленно.
В данном обновлении исправлено более 20 ошибок, которые затронули не только ветку 4.0, но и предыдущие ветки WordPress. Одно из этих изменений исправляет серьезную XSS-уязвимость, которая позволяет злоумышленнику выполнять любой JavaScript код в WordPress версий 3.9 и ниже. Это в очередной раз доказывает, что WordPress (как и любые другие программные продукты) необходимо всегда обновлять вовремя.
Несмотря на то, что команда разработчиков ядра WordPress обеспечивает поддержку лишь двух последних версий (в данном случае 4.0 и 3.9), было принято решение выпустить данное обновление и для других веток. Итого вышло четыре новых обновления: 4.0.1, 3.9.3, 3.8.5 и 3.7.5.
Фоновые обновления в WordPress доступны с версии 3.7 и для данного релиза безопасности все сайты должны обновиться автоматически в течение 12 часов. Если ваш сайт еще не обновился до последней версии WordPress, рекомендуем сделать это самостоятельно в разделе Консоль → Обновления.
Подробнее о версии 4.0.1 вы можете узнать из анонса на сайте WordPress.org, где Эндрю Нейсин также отметил о доступности второй бета-версии WordPress 4.1. Список всех изменений в данном релизе безопасности доступен в баг-трекере.