WordPress 官方宣布 将停止对 4.1 至 4.6 版本的安全更新支持

近日，WordPress 官方安全团队在 官方博客 发布公告，宣布自 2025 年 8 月 27 日起，将正式停止对 WordPress 4.1 至 4.6 版本的所有安全更新支持。这一变化标志着 WordPress 持续推进安全现代化战略的重要一步，也提醒所有站长尽快完成版本升级。

停止支持的版本范围

此次停止支持的具体版本为：

WordPress 4.1 WordPress 4.2 WordPress 4.3 WordPress 4.4 WordPress 4.5 WordPress 4.6

这六个版本发布于 2014 年至 2016 年之间，距今已有近十年。虽然 WordPress 一直保持对旧版本的有限安全支持，但随着时间推移，这些版本的架构与现代 PHP、数据库、安全标准之间差距愈发明显。

为什么 WordPress 要终止支持？

WordPress 核心安全团队表示，维护过多的旧版本对资源造成巨大负担，且安全修复需在多个架构差异明显的版本之间回溯兼容，已不再具备可持续性。

此次停止支持的决定，主要基于以下几方面考量：

安全性低：旧版本使用过时的密码哈希机制、XML-RPC 接口策略等，存在已知攻击面。 兼容性差：在现代主机环境中运行效率低，部分插件和主题也早已放弃兼容这些老版本。 资源优化：将安全维护资源集中于更广泛使用的 LTS（长期支持）版本，更有助于提升整个社区的安全水平。

当前受支持的最低版本变更为 4.7

自 2025 年 8 月 27 日起，WordPress 的官方安全团队将仅对以下版本及以上提供安全更新：

WordPress 4.7（发布于 2016 年 12 月）及更高版本

虽然 WordPress 并不设定明确的 EOL（生命周期终止）政策，但官方已经在持续减少对极老版本的支持力度，鼓励站点运营者及开发者将 WordPress 核心升级至最新稳定版。

如何检查并升级您的站点

步骤一：检查当前版本

进入 WordPress 后台 → “仪表盘” → “更新”，查看当前 WordPress 核心版本。

步骤二：备份网站

使用备份插件（如 UpdraftPlus、All-in-One WP Migration）或主机商提供的快照功能，完整备份数据库与文件系统。

步骤三：测试兼容性

升级前建议使用测试环境确认主题、插件与新版核心的兼容性，必要时联系插件作者或开发者进行调整。

步骤四：升级到最新版本

建议直接升级到最新 WordPress 主干版本（例如 WordPress 6.8 或 6.7），以获取最佳安全性与性能改进。

如果仍需暂时保留旧版本怎么办？

若因技术或历史原因短期内无法升级至最新版本，WordPress 建议您：

加强 WAF 防护（如使用 Cloudflare、腾讯云 EdgeOne、AWS WAF） 禁用 XML-RPC 接口、禁用文件编辑功能 使用强密码与双重认证 将站点迁移至 PHP 7.4 以上的环境，避免旧版 PHP 的额外风险

不过请注意，以上做法只能降低风险，并非替代官方安全支持。一旦新的漏洞爆发，旧版本将不会获得任何形式的补丁。

总结

WordPress 官方正式停止对 4.1 至 4.6 的安全更新支持，预示着 WordPress 向现代安全实践靠拢的坚定态度。站点管理员、开发者与托管服务商应尽快审查当前使用的版本，并制定升级计划，以确保站点稳定性与安全性。