WordPress 4.0.1 è una versione di sicurezza a cui gli sviluppatori del progetto consigliano di migrare tutte le installazioni attualmente in fase di produzione; nello specifico, i siti che supportano gli aggiornamenti automatici in background verranno aggiornati a questo rilascio nel corso delle prossime ore, ma sono stati realizzati degli aggiornamenti anche per alcune release precedenti.
Chi utilizza ancora le versioni 3.9.2, 3.8.4 e 3.7.4 dell'applicazione potrà quindi accedere agli aggiornamenti 3.9.3, 3.8.5 e 3.7.5 che (almeno in linea teorica e considerando le differenze tra le diverse release) dovrebbero garantire il medesimo livello di sicurezza della 4.0.1; si ricorda inoltre che le versioni precedenti a quelle indicate non godono più di alcun supporto ufficiale, si consiglia quindi di valutare un passaggio all'aggiornamento più recente.
Per quanto riguarda le problematiche rilevate, le release 3.9.2 e precedenti sarebbero affette da una vulnerabilità di livello critico attraverso la quale dovrebbe essere possibile eseguire attacchi basati sull'XSS (Cross-Site Scripting); questa stessa falla non sarebbe stata rilevata anche nella versione 4.0 e il rilascio della 4.0.1 dovrebbe essere invece il risultato di ben otto interventi tutti relativi alla sicurezza.
Tra questi ultimi si segnala la risoluzione di una vulnerabilità che avrebbe potuto portare autori e contributors a compromettere un sito Web tramite XSS, un pericolo di XSRF (Cross-Site Request Forgery) che avrebbe potuto portare un utente a modificare la sua password e un possibile DoS (Denial of Service) ricollegato al controllo della password.
Ora il Blog engine/CMS è in grado di invalidare i link nelle email per il reset delle password nel caso in cui l'utente ricordi la propria chiave di accesso, si autentichi e modifichi il proprio indirizzo di posta elettronica; da segnalare anche un curioso e altamente improbabile fenomeno di hash collision, ora risolto, che avrebbe potuto portare alla compromissione di un account non loggati dal lontano 2008.
Via WordPress