知名内容管理系统WordPress目前已经发布4.8.2安全维护版本，该版本主要修复多个组件中存在的安全漏洞。基于安全考虑建议使用WordPress的站点尽快升级至最新版本， 新版本已经加强了对第三方插件漏洞的防御。另外本次更新后文本小工具已经可以识别HTML代码，但是使用文本小工具添加HTML代码在前台不会显示。在此前版本的更迭中已经增加了自定义HTML小工具，因此如果你需要在前台展示HTML代码侧边栏请更新至 v4.8 版以上使用自定义HTML代码小工具栏进行添加。

WordPress 4.8.1 以及早前发布的版本存在以下安全问题：

• $wpdb->prepare() 能够创造出意想不到的和不安全的查询导致潜在的SQL注入(SQLi)。WordPress核心并没有直接受到这个问题的攻击，但是我们已经添加了增强功能来防止插件和主题意外地造成漏洞。
• oEmbed 的一个跨站脚本（XSS）漏洞。
• 可视化编辑器的一个跨站脚本（XSS）漏洞。
• 在文件解压代码中发现的路径遍历漏洞。
• 插件编辑器中的一个跨站脚本（XSS）漏洞。
• 在用户和术语（term）编辑界面发现了一个开放的重定向。
• 在customizer定制器上存在的路径遍历漏洞。
• 模板名称中存在的一个跨站脚本（XSS）漏洞。
• 链接模块中存在的一个跨站脚本（XSS）漏洞。

WordPress v4.8.2更新日志

1、某个函数可能导致潜在的SQL注入，尽管WordPress不容易受该漏洞影响，但其他插件可能会影响；
2、新版本已经加强了对第三方插件存在的漏洞进行防御，同时还会对主题存在的漏洞进行安全防御；
3、该版本已经修复oEmbed中发现的XSS跨站脚本攻击漏洞，由WordPress安全小组xKnown提交；
4、该版本已经修复可视化编辑器中的XSS跨站脚本攻击漏洞，由Rodolfo Assis提交该漏洞；
5、该版本已经修复文件解压过程中存在的遍历路径漏洞，该漏洞由Alex Chapman提交；
6、该版本已经修复在插件编辑器中存在的XSS跨站脚本攻击漏洞，该漏洞由陈瑞奇提交；
7、该版本已经修复用户和术语编辑界面存在的某个重定向问题，该问题由Yasin Soliman提交；
8、该版本已经修复定制程序中存在的遍历路径漏洞，该漏洞由WordPress安全小组Weston Ruter提交；
9、该版本已经修复模板名称中存在的XSS跨站脚本攻击漏洞，该漏洞由Luka提交；
10、该版本已经修复动态链接库中存在的XSS跨站脚本攻击漏洞，该漏洞由Anas Roubi提交；
除此之外WordPress v4.8.2版还将Twemoji升级到v2.5.0版，该版本已经解决了部分Emoji表情的渲染问题。
除了上述的安全问题，WordPress 4.8.2 还包含了4.8版本系列的6处维护修复。 更多信息，请参阅 发行说明 或 更新列表。

你可以在 仪表盘 – 更新 界面，一键更新到最新版本，或者到官方下载后手动更新：https://wordpress.org/download/