Zalo

WordPress 6.9.4 ra mắt: Bản cập nhật bảo mật quan trọng – Nên cập nhật ngay

wordpress 6 9 4 ra mat ban cap nhat bao mat quan trong nen cap nhat ngay

Ngày 11/03/2026, WordPress chính thức phát hành WordPress 6.9.4. Đây là bản cập nhật bảo mật (Security Release) nhằm khắc phục các lỗ hổng chưa được xử lý triệt để trong hai phiên bản trước là 6.9.26.9.3.

Vì liên quan trực tiếp đến vấn đề bảo mật hệ thống, WordPress khuyến nghị tất cả website nên cập nhật ngay lập tức để tránh rủi ro bị khai thác lỗ hổng.

Tổng quan về WordPress 6.9.4

  • Ngày phát hành: 11/03/2026

  • Loại cập nhật: Security Release

  • Mục tiêu: Vá các lỗ hổng bảo mật còn tồn tại từ các bản trước

  • Mức độ khuyến nghị: Cập nhật ngay

Bản cập nhật này tập trung xử lý các vấn đề bảo mật trong một số thành phần lõi của WordPress, đặc biệt là thư viện và API.
Bản cập nhật này tập trung xử lý các vấn đề bảo mật trong một số thành phần lõi của WordPress, đặc biệt là thư viện và API.

Các lỗ hổng bảo mật đã được khắc phục

1. Lỗi PclZip Path Traversal

Một lỗ hổng liên quan đến PclZip cho phép kẻ tấn công có thể khai thác đường dẫn để truy cập tệp ngoài phạm vi cho phép.

Lỗi này được báo cáo độc lập bởi:

  • Francesco Carlucci

  • kaminuma

Nếu không vá, hacker có thể đọc hoặc ghi file trái phép trên server.

2. Authorization Bypass trong Notes Feature

Một lỗi bỏ qua xác thực (authorization bypass) được phát hiện trong tính năng Notes.

Lỗ hổng này có thể cho phép người dùng không đủ quyền truy cập vẫn thực hiện một số hành động bị hạn chế.

Lỗi được báo cáo bởi kaminuma.

3. Lỗi XXE trong thư viện getID3

Một lỗ hổng XXE (XML External Entity) được phát hiện trong thư viện getID3, thư viện dùng để xử lý metadata của file media.

Nguy cơ của lỗi này:

  • Rò rỉ dữ liệu hệ thống

  • Truy cập file nội bộ

  • Tấn công SSRF

Lỗi được báo cáo bởi Youssef Achtatal.

Nhóm bảo mật WordPress đã phối hợp với James Heinrich – maintainer của getID3 để phát hành bản sửa lỗi.
Nhóm bảo mật WordPress đã phối hợp với James Heinrich – maintainer của getID3 để phát hành bản sửa lỗi.

Các file được cập nhật trong WordPress 6.9.4

Bản cập nhật sửa đổi một số file trong hệ thống WordPress:

/wp-admin/includes/file.php
/wp-includes/ID3/getid3.lib.php
/wp-includes/rest-api/endpoints/class-wp-rest-comments-controller.php

Những thay đổi này chủ yếu liên quan đến:

  • Xử lý file

  • Thư viện media

  • REST API của WordPress

Cách cập nhật WordPress lên 6.9.4

Có 2 cách cập nhật phổ biến:

Cách 1: Cập nhật tự động trong Dashboard

Vào: Bảng điểu khiển – cập nhật (Dashboard → Updates → Update Now)

WordPress sẽ tự động tải và cài đặt bản mới.

Cập nhật WordPress lên 6.9.4
Cập nhật WordPress lên 6.9.4

Cách 2: Tải bản cài đặt từ WordPress

Truy cập trang tải: https://wordpress.org/download/releases/

Sau đó cập nhật thủ công qua FTP hoặc hosting.

Lưu ý trước khi cập nhật WordPress

Để tránh lỗi website, nên thực hiện các bước sau:

  1. Backup toàn bộ website

    • Source code

    • Database

  2. Kiểm tra plugin và theme

    • đảm bảo tương thích với phiên bản mới

  3. Cập nhật plugin trước

  4. Sau đó cập nhật WordPress

Vì sao website cần cập nhật WordPress thường xuyên?

Việc cập nhật WordPress không chỉ giúp vá lỗi mà còn mang lại nhiều lợi ích:

  • Tăng bảo mật website

  • Ngăn chặn hacker khai thác lỗ hổng

  • Cải thiện hiệu suất website

  • Tương thích tốt với plugin và theme mới

Các website chạy WordPress phiên bản cũ có nguy cơ:

  • Bị hack

  • Chèn mã độc

  • Spam SEO

  • Redirect sang website lừa đảo

Kết luận

WordPress 6.9.4 là bản cập nhật bảo mật quan trọng nhằm khắc phục các lỗ hổng nghiêm trọng còn tồn tại từ các phiên bản trước. Nếu website của bạn đang chạy WordPress, hãy cập nhật ngay để đảm bảo an toàn cho hệ thống.

Việc duy trì WordPress ở phiên bản mới nhất là một trong những bước quan trọng nhất để bảo vệ website trước các nguy cơ tấn công mạng.

Đức Hiếu Web
Thiết kế website – SEO – Quản trị website

Website: https://duchieuweb.com
Zalo tư vấn: 0563 877 509

5/5 - (1 bình chọn)