就在今天(2026年3月10日),WordPress 社区经历了一个不同寻常的“更新日”。官方在短时间内连续发布了两个维护与安全版本:WordPress 6.9.2 和 WordPress 6.9.3。
对于网站管理员来说,一天内看到两次更新推送实属罕见。这背后究竟发生了什么?你的网站是否需要立即升级?让我们一探究竟。
1. WordPress 6.9.2:重磅安全修复
首先发布的是 WordPress 6.9.2。这不仅仅是一个例行维护版本,更是一个至关重要的安全发布。根据官方文档,该版本修复了多达 10 个安全漏洞,涵盖了从 SSRF 到 XSS 的多种威胁:
- SSRF(服务端请求伪造)修复: 解决了可能导致攻击者探测内网信息的 Blind SSRF 问题。
- XSS(跨站脚本攻击)防护: 修复了导航菜单、Interactivity API 以及管理后台中的多处存储型和反射型 XSS 漏洞。
- 权限绕过: 修复了 AJAX 附件查询及新增的“Notes(笔记)”功能中的授权绕过风险。
- 第三方库更新: 升级了内置的
getID3库,以修复一个严重的 XXE(XML 外部实体)漏洞。 - 路径穿越: 修复了 PclZip 库中的路径穿越漏洞。
由于这些漏洞影响广泛(部分修复已回溯至 4.7 版本),官方强烈建议所有用户立即更新。
2. 紧随其后的 WordPress 6.9.3:为什么还有一个?
在 6.9.2 发布后不久,WordPress 紧接着推出了 6.9.3。
通常情况下,这种“连环更新”意味着在前一个版本中发现了紧急的回归错误(Regression)或打包问题。虽然 6.9.2 解决了安全隐患,但 6.9.3 的快速跟进是为了确保这些修复在各种服务器环境下的稳定性,并修正了 6.9.2 部署过程中可能出现的潜在冲突。
3. 网站管理员应该做什么?
第一步:立即备份 在进行任何核心更新之前,请务必备份您的数据库和网站文件。
第二步:执行更新 由于 6.9.3 已经包含了 6.9.2 的所有安全修复及最新的稳定性补丁,您无需先升到 6.9.2 再升到 6.9.3。请直接前往: 仪表盘 > 更新,点击**“立即更新”**按钮。
如果您启用了后台自动更新,您的网站可能已经自动完成了这一过程。
总结
WordPress 一天内发布两个版本的情况虽然少见,但这正体现了安全团队和社区对全球网站安全的快速响应能力。
安全无小事。 为了防止黑客利用已知漏洞攻击您的网站,请花两分钟时间,检查并确保您的 WordPress 已经运行在最新的 6.9.3 版本上!
参考链接:
