--- title: "Hãy cập nhật WordPress 4.0.1 ngay để vá 23 lỗi bảo mật" author: "Trung Hiếu" date: "2014-11-21" lastmod: "2023-03-17" url: "https://wpcanban.com/wordpress/hay-cap-nhat-wordpress-4-0-1-ngay-de-va-23-loi-bao-mat.html" --- # Hãy cập nhật WordPress 4.0.1 ngay để vá 23 lỗi bảo mật Hãy cập nhật WordPress 4.0.1 ngay để vá 23 lỗi bảo mật. ![wordpress-4-0-1-security-release-cover](https://wpcanban.com/wp-content/uploads/2014/11/wordpress-4-0-1-security-release-cover.png) Ngay trước khi phiên bản *WordPress 4.1* được chính thức phát hành, *Automattic* đã tung ra một phiên bản *WordPress* khác với tên mã 4.0.1. Đây là một bản vá bảo mật quan trọng cho tất cả các phiên bản [*WordPress*](https://wpcanban.com/category/wordpress) trước đây và [*WP Căn bản*](https://wpcanban.com) khuyên bạn nên cập nhật nó ngay lập tức. Theo thông tin từ *Automattic*, các phiên bản *WordPress *từ 3.9.2 trở về trước đều bị ảnh hưởng bởi một lỗ hổng bảo mật quan trọng gọi là “*cross-site scripting*“, có thể cho phép người dùng ẩn danh xâm hại một trang web. Điều này đã được phát hiện và báo cáo bởi [*Jouko Pynnonen*](http://klikki.fi/). Nó không ảnh hưởng đến phiên bản 4.0, tuy nhiên, phiên bản 4.0.1 còn giúp giải quyết triệt để 8 lỗi bảo mật quan trọng: - 3 Lỗi “*cross-site scripting*“, theo đó một cộng tác viên hoặc tác giả có thể sử dụng chúng để xâm hại một trang web, được phát hiện bởi *Jon Cave*, *Robert Chapin* và *John Blackbourn* của nhóm bảo mật *WordPress*. - 1 Lỗi giả mạo yêu cầu “*cross-site”*, có thể được sử dụng để lừa người dùng thay đổi mật khẩu của họ. - 1 Lỗi có thể dẫn đến việc từ chối dịch vụ khi mật khẩu được kiểm tra, theo báo cáo của *Javier Nieto Arevalo* và *Andres Rojas Guerrero*. - Bổ sung thêm lớp bảo vệ khỏi các cuộc tấn công giả mạo yêu cầu từ phía máy chủ khi *WordPress* đưa ra yêu cầu *HTTP,* theo báo cáo của *Ben Bidner*. - 1 “*hash collision*” rất hiếm, có thể khiến tài khoản người dùng bị xâm hại, mà cũng đòi hỏi rằng họ đã không đăng nhập từ năm 2008, theo báo cáo của *David Anderson*. - *WordPress* từ bây giờ sẽ tự động vô hiệu hóa các liên kết (links) trong email được sử dụng thiết lập lại mật khẩu, nếu người dùng nhớ lại mật khẩu của mình, đăng nhập vào và thay đổi địa chỉ email của họ, theo báo cáo riêng của *Momen Bassel*, *Tanoy Bose* và *Bojan Slavković* từ *ManageWP*. Phiên bản 4.0.1 cũng sửa chữa 23 lỗi còn tồn tại trên phiên bản 4.0 và nhóm phát triển *WordPress* đã thực hiện hai thay đổi lớn, bao gồm kiểm soát tốt hơn các dữ liệu *EXIF* được trích xuất từ các bức ảnh được tải lên, theo báo cáo của *Chris Andre Dale*. Danh sách các tập tin *WordPress* được cập nhật và thay đổi trong phiên bản 4.0.1 bao gồm: > readme.html wp-admin/about.php wp-admin/includes/class-wp-plugin-install-list-table.php wp-admin/includes/image.php wp-admin/includes/plugin-install.php wp-admin/includes/post.php wp-admin/js/editor-expand.js wp-admin/js/editor-expand.min.js wp-admin/js/media.js wp-admin/js/media.min.js wp-admin/plugin-install.php wp-admin/press-this.php wp-admin/upload.php wp-includes/canonical.php wp-includes/class-phpass.php wp-includes/css/media-views-rtl.css wp-includes/css/media-views-rtl.min.css wp-includes/css/media-views.css wp-includes/css/media-views.min.css wp-includes/formatting.php wp-includes/http.php wp-includes/js/media-grid.js wp-includes/js/media-grid.min.js wp-includes/js/media-views.js wp-includes/js/media-views.min.js wp-includes/js/mediaelement/flashmediaelement.swf wp-includes/js/mediaelement/mediaelement-and-player.min.js wp-includes/js/quicktags.js wp-includes/js/quicktags.min.js wp-includes/js/tinymce/plugins/wpeditimage/plugin.js wp-includes/js/tinymce/plugins/wpeditimage/plugin.min.js wp-includes/js/tinymce/plugins/wpview/plugin.js wp-includes/js/tinymce/plugins/wpview/plugin.min.js wp-includes/js/tinymce/wp-tinymce.js.gz wp-includes/kses.php wp-includes/link-template.php wp-includes/media-template.php wp-includes/media.php wp-includes/ms-functions.php wp-includes/pluggable.php wp-includes/post.php wp-includes/session.php wp-includes/user.php wp-includes/version.php wp-login.php Các bạn có thể xem thêm danh sách chi tiết các thay đổi [*tại đây*](https://core.trac.wordpress.org/log/branches/4.0?rev=30475&stop_rev=29710). Phiên bản *WordPress 4.0.1 *sẽ được cập nhật một cách tự động theo mặc định. Tuy nhiên, các bạn cũng truy cập vào *Dashboard* => *Updates* và click vào nút “*Update Now*” để tiến hành cập nhật hoặc download nó [*tại đây*](https://wordpress.org/download/). Hiện tại, *WP Căn bản* đã cập nhật thành công lên phiên bản 4.0.1 và đang hoạt động rất ổn đinh. Hy vọng các bạn cũng có thể làm được điều tương tự. Chúc các bạn thành công. :) *Nếu bạn thích bài viết này, hãy subscribe blog của tôi để thường xuyên cập nhật những bài viết hay nhất, mới nhất qua email nhé. Cảm ơn rất nhiều*. :)