WordPress 3.9.2 及以下的版本包含一個嚴重的跨站腳本漏洞，可以讓匿名的用戶破壞網站，但是這個漏洞不會影響 4.0 版本。4.0.1 解決了以下 8 個安全問題：

* 3 個跨站腳本問題

* 一個跨站請求偽造漏洞，可以誘騙用戶修改他的密碼

* 可能導致密碼驗證的時候拒絕服務

* 當 WordPress 發出 HTTP 請求的時候，額外的服務端保護請求偽造攻擊

* 一個完全不像 hash 碰撞的攻擊，可以允許破壞用戶賬戶，當然，這要要求用戶賬戶在 2008 年以后沒有登錄過。

* WordPress 現在的密碼重置郵件中的鏈接，如果用戶記得他們的密碼，登錄，可以修改他們的郵件地址。

WordPress 4.0.1 同時還修復了 23 個 bugs，還有兩處重大的改進，包括更好的 EXIF 數據驗證（從上傳圖片提取的）。

WordPress 4.0.1簡體中文版：https://cn.wordpress.org/wordpress-4.0.1-zh_CN.zip