WordPress 团队昨天发布了 WordPress 4.9.1 版本，这是一个维护和安全升级版本。这个版本修复了 WordPress 4.9 及更早版本中包含的 4 个安全问题，建议所有使用 WordPress 3.7 以后版本的用户，尽快升级到此版本。

WordPress 4.9 之前版本中存在的 4 个安全问题，有可能被用作混合式多向攻击（Multi-vector taack）的一部分。为此，WordPress 做了以下改进，来修复此问题：

1. 为 newbloguser 键值（key）使用生成的适当的哈希值，来代替固定的子字符串。
2. 为 html 元素的语言属性进行转义（escape）。
3. 保证 RSS 和 Atom feed 中的属性括号都正确关闭。
4. 没有使用 unfiltered_html 权限的用户，不允许上传 JavaScript 文件。

此外，WordPress 4.9.1 还修复了其他一些细小的漏洞（bug）。

你可以通过 WordPress 控制台一键更新。对于重要的生产网站，建议你升级之前做好备份。