Le vecchie versioni di Wordpress sono ancora protette?

In pratica sì

Si è verificato un errore XSS (è stata rilevata una vulnerabilità XSS nei file di riserva Flash in MediaElement), che ha interessato tutte le versioni da WordPress 3.7 (nel punto in cui è stata scoperta, ovviamente).

link

Il team di Wordpress l'ha corretto e ha rilasciato la versione 4.9.2 per ripararlo sul ramo 4.9. Ha anche rilasciato la versione 4.8.5, 4.7.9, 4.6.10, 4.5.13, 4.4.14, 4.3.15, 4.2.19, 4.1.22, 4.0.22, 3.9.23, 3.8.25 e 3.7. 25 per fissare i rispettivi rami.

Puoi facilmente visualizzare le modifiche e vedere che sono backport che trattano lo stesso problema.

Quindi, per quanto riguarda l'aggiornamento a una versione più recente di quelle "vecchie versioni", staresti bene ... se ci sono patch.

Ora, ciò di cui hai bisogno è di rimanere in una versione per cui qualcuno (preferibilmente il team di Wordpress) rilascerà una soluzione se è stata scoperta una nuova vulnerabilità. Questo è documentato link

E ci dicono:

The only current officially supported version is WordPress 4.9.1. Previous major releases before this may or may not get security updates as serious exploits are discovered.

Support Policy

WordPress will be backported security updates when possible, but there are no guarantee and no timeframe for older releases. There are no fixed period of support nor Long Term Support (LTS) version such as Ubuntu's. None of these are safe to use, except the latest series, which is actively maintained.

Quindi, non danno garanzie che continueranno a farlo in futuro, ma stanno correggendo i bug di sicurezza (nessuna nuova funzionalità, ovviamente). Per quanto riguarda la versione 4.7.9, il pacchetto wordpress stable utilizza anche la serie 4.7 e questo ramo continuerà a ricevere correzioni di sicurezza (sia dal team di wordpress che dai manutentori di downstream) da parecchio tempo.

Dato questo, non prenderei in considerazione la richiesta che il webmaster aggiorni a 4.9.2 se sono già a 4.7.9, poiché i problemi di sicurezza sono stati risolti. Loro stanno aggiornando il loro wordpress. I webmaster pigri sono quelli che hanno installato 4.3.5 e stanno ancora eseguendo quella versione.

Solo perché sono stati aggiornati non significa che tutte le vulnerabilità della sicurezza siano state corrette. Dato che WordPress è open source e libero da usare, è probabile che abbiano un budget ragionevolmente ristretto e un team di sviluppo limitato. In questo caso, assegneranno sempre la priorità alle nuove versioni rispetto alle patch di sicurezza.

Oltre alla semplice assegnazione di priorità alle versioni più recenti, potrebbero esserci difetti intrinseci nelle versioni di versioni precedenti che introducono vulnerabilità che sono state corrette nelle versioni più recenti riprogettando gli attributi principali del sistema.

Mi scuso per la genericità della mia risposta dato che raramente ho usato WordPress nella mia vita, ma sono comunque fiducioso che la mia risposta sia accurata. In un modo o nell'altro, mi fiderei di un sito dedicato alla ricerca di vulnerabilità su WordPress e, se dicono che dovresti eseguire l'aggiornamento, potresti semplicemente voler eseguire l'upgrade.

Spero che ti aiuti!

Questo è il tuo unico argomento: Wordpress dice che devi aggiornare a 4.9.2 per ottenere la patch di sicurezza. Quel messaggio è fornito nel link che hai postato.