Daher empfehlen die WordPress-Entwickler, das Content Management System zügig zu aktualisieren. Bei den meisten Installationen dürfte dies vermutlich automatisch passieren. Manuell kann man das Update aus dem Dashboard im Admin-Bereich heraus starten.
Mögliche Angreifer sollen die Lücken zum Teil aus der Ferne ausnutzen können, um sich darüber höhere Benutzerrechte zu verschaffen und diverse XSS-Attacken durchzuführen. Die Entwickler warnen ganz besonders davor, dass Angreifer die Schwachstellen zu einem Multi-Vektor-Angriff kombinieren könnten. Das CERT Bund des BSI stuft das Risiko der Sicherheitslücken nuir als „mittel“ ein.
Wie bei jedem Sicherheitsupdate hat das WordPress-Team auch mit diesem mehrere weitere Bugs beseitigt. Alle von WordPress 4.9.1 behobenen Fehler sind im Changelog der aktuellen Version gelistet.