2026年3月10日，WordPress社区罕见发布两个维护与安全版本，涵盖重要漏洞修复，网站管理员须立即升级保障安全。

WordPress 6.9.2：重磅安全修复

首先发布的是 WordPress 6.9.2。这不仅仅是一个例行维护版本，更是一个至关重要的安全发布。根据官方文档，该版本修复了多达 10 个安全漏洞，涵盖了从 SSRF 到 XSS 的多种威胁：

SSRF（服务端请求伪造）修复： 解决了可能导致攻击者探测内网信息的 Blind SSRF 问题。  XSS（跨站脚本攻击）防护： 修复了导航菜单、Interactivity API 以及管理后台中的多处存储型和反射型 XSS 漏洞。  权限绕过： 修复了 AJAX 附件查询及新增的“Notes（笔记）”功能中的授权绕过风险。  第三方库更新： 升级了内置的 getID3 库，以修复一个严重的 XXE（XML 外部实体）漏洞。  路径穿越： 修复了 PclZip 库中的路径穿越漏洞。  由于这些漏洞影响广泛（部分修复已回溯至 4.7 版本），官方强烈建议所有用户立即更新。

紧随其后的 WordPress 6.9.3：为什么还有一个？

在 6.9.2 发布后不久，WordPress 紧接着推出了 6.9.3。

通常情况下，这种“连环更新”意味着在前一个版本中发现了紧急的回归错误（Regression）或打包问题。虽然 6.9.2 解决了安全隐患，但 6.9.3 的快速跟进是为了确保这些修复在各种服务器环境下的稳定性，并修正了 6.9.2 部署过程中可能出现的潜在冲突。

根据可靠消息，6.9.3主要修复：

此版本修复了部分主题在加载模板文件路径时使用的特殊“可字符串对象”机制导致的问题，该问题在6.9.2 安全更新中出现。
虽然 WordPress 官方并未支持这种加载模板文件的方式（该 template_include 过滤器仅接受字符串），但它仍然导致部分网站出现故障，因此团队决定在后续发布的 6.9.3 版本中快速解决此问题。
使用受影响主题的用户应更新至 6.9.3 版本，以恢复网站前端的正常运行。

一天未过，WordPress 推出了 6.9.4

WordPress 6.9.2 和 WordPress 6.9.3 于昨日发布，修复了 10 个安全问题以及影响部分网站模板文件加载的错误。
WordPress 安全团队发现并非所有安全修复程序都已完全应用，因此发布了 6.9.4 版本，其中包含必要的额外修复程序。
由于这是安全更新， 建议您立即更新您的网站 。

网站管理员应该做什么？

第一步：立即备份 在进行任何核心更新之前，请务必备份您的数据库和网站文件。

第二步：执行更新 由于 6.9.3 已经包含了 6.9.2 的所有安全修复及最新的稳定性补丁，您无需先升到 6.9.2 再升到 6.9.3。请直接前往： 仪表盘 > 更新，点击**“立即更新”**按钮。  如果您启用了后台自动更新，您的网站可能已经自动完成了这一过程。

总结

WordPress 一天内发布两个版本的情况虽然少见，但这正体现了安全团队和社区对全球网站安全的快速响应能力。

安全无小事。 为了防止黑客利用已知漏洞攻击您的网站，请花两分钟时间，检查并确保您的 WordPress 已经运行在最新的 6.9.3 版本上！