WordPress 6.9.2修复多个高危漏洞,含SSRF、XSS与授权绕过,建议所有用户立即更新。
2026年3月17日,WordPress官方正式推出6.9.2版本,这是一次关键安全更新,共修复了10个以上安全漏洞,其中包括多个高危级别的隐患,涉及SSRF、存储型XSS、授权绕过、XXE注入等典型攻击向量。
本次重点修复的安全漏洞包括:
- 盲SSRF漏洞:可能被利用攻击内网资源;
- 存储型XSS:存在于导航菜单与
data-wp-bind指令中; - AJAX与备注功能授权绕过:未授权用户可越权操作;
- XXE漏洞:存在于外部
getID3库中,影响文件上传处理; - 正则表达式DoS:可导致服务器资源耗尽;
- PclZip路径遍历:可能引发任意文件写入风险。
官方强烈建议所有WordPress站点立即更新,尤其是启用多用户、评论或文件上传功能的网站。
如何更新?
您可以通过以下两种方式完成更新:
- 登录WordPress后台 → 点击“仪表盘” → “更新” → “现在更新”;
- 前往 WordPress.org 手动下载6.9.2版本。
如您的站点已开启自动后台更新,系统将自动完成升级。
对建站用户的建议
作为WordPress建站服务商,我们强烈建议:
- 定期检查更新,尤其是安全版本;
- 开启自动更新或设置更新提醒;
- 使用安全插件增强防护(如Wordfence、Sucuri);
- 定期备份网站,以防更新过程中出现兼容性问题。