芬兰信息安全工作人员Klikki Oy发现知名的免费建站平台 WordPress 3 版本含有重大安全漏洞，攻击者可以利用跨站指令码(Cross-sitescripting, XSS)攻击接管网站管理员的权限，进而在网站上嵌入各种恶意程序。根据 WordPress 今年11月的估计，目前3.x版使用率约占WordPress的 85.6%，因此全球可能超过5000万个WordPress网站受到该漏洞影响，建议使用者立即更新到最新版的 WordPress 版本。

WordPress 4.0 不受该漏洞影响，并且WordPress4.0.1解决了23个Bug以及八项安全问题。

全球用WordPress搭建的网站粗略估超过 6000 万，受影响的 3.x 版占了 85.6%，相当于超过 5000 万个网站。

发现这个漏洞的 Klikki Oy 研究人员 Jouko Pynnonen 表示，该漏洞允许攻击者在特定的文字栏位中嵌入程序码，通常是 WordPress 网站上文章或网页的评论(或回应)区域，WordPress 上的预设值为任何人都可以评论或回应，而且不需登录或验证。

攻击者能够在回应中嵌入夹杂程序码的内容，当目标对象透过管理员仪表板读取该评论时，就会触发恶意程序以接管管理员的帐号，之后便能运行各种管理员权限，包括更改管理员密码、建立新的管理员帐号，甚至在服务器上运行攻击程序。

WordPress是在2010年6月发布WordPress 3.0版本，4.0则于今年的9月发表，显示该漏洞已存在4年，影响版本号从3.0～3.9.2。不过，此一漏洞并未波及最新的4.0版。

WordPress 官网在发布 WordPress 4.0.1 的说明中表示，这次版本发布属重大的安全更新，建议所有较旧的 WordPress 版本都立即更新。3.9.2 以及更早之前的WordPress 版本都受到跨站指令码漏洞所影响，可让匿名使用者感染网站。该漏洞是由 Jouko Pynnonen所发现。

WordPress 4.0 不受该漏洞影响，并且WordPress4.0.1解决了23个Bug以及八项安全问题。

* 3 个跨站脚本问题

* 一个跨站请求伪造漏洞，可以诱骗用户修改他的密码

* 可能导致密码验证的时候拒绝服务

* 当 WordPress 发出 HTTP 请求的时候，额外的服务端保护请求伪造攻击

* 一个完全不像 hash 碰撞的攻击，可以允许破坏用户账户，当然，这要要求用户账户在 2008 年以后没有登录过。

* WordPress 现在的密码重置邮件中的链接，如果用户记得他们的密码，登录，可以修改他们的邮件地址。

WordPress 4.0.1 同时还修复了 23 个 bugs以及两处重大的改进，包括更好的 EXIF 数据验证(从上传图片提取的)。

此外，Klikki Oy也对于未能更新或升级的 WordPress 用户提出暂时解决方案，建议网站可以关闭 Texturize功能，同时也发布外挂程序以协助网站关闭该功能。