WordPress 취약점 보고서: 2021년 5월, 2부
게시 됨: 2021-05-14취약한 플러그인과 테마는 WordPress 웹사이트가 해킹되는 #1 이유입니다. WPScan에서 제공하는 주간 WordPress 취약성 보고서는 최근 WordPress 플러그인, 테마 및 핵심 취약성과 웹사이트에서 취약한 플러그인 또는 테마 중 하나를 실행하는 경우 수행할 작업을 다룹니다.
각 취약점에는 낮음 , 중간 , 높음 또는 위험 의 심각도 등급이 포함됩니다. 취약성에 대한 책임 있는 공개 및 보고는 WordPress 커뮤니티를 안전하게 유지하는 데 필수적인 부분입니다. 이 게시물을 친구들과 공유하여 모든 사람들이 WordPress를 더 안전하게 사용할 수 있도록 도와주세요!
WordPress 핵심 취약점
WordPress 플러그인 취약점
1. 간단한 관리자 언어 변경
플러그인: 간단한 관리자 언어 변경
취약점 : 임의의 사용자 로케일 변경
버전 : 2.0.2 에서 패치됨
심각도 점수 : 4.3 보통
2. 택배로 배송
플러그인: eCourier로 배송
취약점 : CSRF를 통한 플러그인 설정 업데이트
버전 : 1.0.2 에서 패치됨
심각도 점수 : 5.4 보통
3. 소포 추적기 eCourier
플러그인: 소포 추적기 eCourier
취약점 : CSRF를 통한 플러그인 설정 업데이트
버전 : 1.0.2 에서 패치됨
심각도 점수 : 5.4 보통
4. WooCommerce용 PickPlugins 제품 슬라이더
플러그인: WooCommerce용 PickPlugins 제품 슬라이더
취약점 : 반영된 교차 사이트 스크립팅
버전 : 1.13.22 에서 패치 됨
심각도 점수 : 7.1 높음
5. 하나 Flv 플레이어
플러그인: Hana Flv Player
취약점 : 인증된 저장된 교차 사이트 스크립팅
버전에서 패치됨 : 알려진 수정 사항 없음
심각도 점수 : 3.8 낮음
6. Hotjar 커넥터
플러그인: Hotjar 연결기
취약점 : 인증된 저장된 교차 사이트 스크립팅
버전에서 패치됨 : 알려진 수정 사항 없음 – 플러그인 종료됨
심각도 점수 : 3.8 낮음
7. GA 구글 애널리틱스
플러그인: GA 구글 애널리틱스
취약점 : 인증된 저장된 교차 사이트 스크립팅
버전에서 패치됨 : 알려진 수정 사항 없음
심각도 점수 : 5.9 보통
8. 대상 우선 플러그인
플러그인: 대상 우선 플러그인
취약점 : 라이센스 키를 통한 인증되지 않은 저장된 교차 사이트 스크립팅
버전 : 1.0 에서 패치됨
심각도 점수 : 7.2 높음
9. Leads-5050 방문자 인사이트
플러그인: Leads-5050 방문자 통계
취약점 : 무단 라이선스 변경
버전 : 1.1.0 에서 패치됨
심각도 점수 : 7.1 높음
10. WP용 DSGVO 올인원
플러그인: WP용 DSGVO 올인원
취약점 : 인증되지 않은 저장된 교차 사이트 스크립팅
버전 : 4.0 에서 패치됨
심각도 점수 : 8.3 높음
11. 얼티밋우
플러그인: UltimateWoo
취약점 : PHP 개체 주입
버전에서 패치됨 : 알려진 수정 사항 없음 – 플러그인 종료됨
심각도 점수 : 5.6 보통
12. 얼티밋 멤버
플러그인: 얼티밋 멤버
취약점 : 인증된 반영된 교차 사이트 스크립팅
버전 : 2.1.20 에서 패치됨
심각도 점수 : 4.4 보통
13. 자동 최적화
플러그인: 자동 최적화
취약점 : 인증된 저장된 교차 사이트 스크립팅
버전 : 2.8.4 에서 패치됨
심각도 점수 : 6.6 보통
14. 즐릭 페이월
플러그인: Zlick Paywall
취약점 : CSRF 우회
버전 : 2.2.2 에서 패치됨
심각도 점수 : 3.1 낮음
15. ThemeHigh WooCommerce 위시리스트 및 비교
플러그인: ThemeHigh WooCommerce 위시리스트 및 비교
취약점 : 무단 AJAX 호출
버전 : 1.0.5 에서 패치됨
심각도 점수 : 7.2 높음
16. 간단한 경품
플러그인: 간단한 경품
취약점 : 인증되지 않은 반사된 교차 사이트 스크립팅
버전 : 2.36.2 에서 패치됨
심각도 점수 : 7.1 높음
17. 레디 레스토랑 예약
플러그인: ReDi 레스토랑 예약
취약점 : 인증되지 않은 저장된 교차 사이트 스크립팅
버전 : 21.0426 에서 패치 됨
심각도 점수 : 7.1 높음
18. 올인원 SEO 팩
플러그인: 올인원 SEO 팩
취약점 : 원격 코드 실행
버전 : 4.1.0.2 에서 패치됨
심각도 점수 : 6.6 보통
19. 리프터LMS
플러그인: 리프터LMS
취약점 : 프로필 편집에서 인증된 저장된 교차 사이트 스크립팅
버전 : 4.21.1 에서 패치 됨
심각도 점수 : 7.4 높음
취약점 : 결제 시 쿠폰 코드를 통한 교차 사이트 스크립팅 반영
버전 : 4.21.1 에서 패치 됨
심각도 점수 : 6.1 보통
WordPress 테마 취약점
책임 있는 공개에 대한 참고 사항
해커가 공격에 악용할 수 있는 취약점이 공개되는 이유가 궁금할 수 있습니다. 보안 연구원이 공개되기 전에 취약점을 찾아 소프트웨어 개발자에게 비공개로 보고하는 것은 매우 일반적입니다.
책임 있는 공개 와 함께 연구원의 초기 보고서는 소프트웨어를 소유한 회사의 개발자에게 비공개로 이루어지지만 패치가 제공되면 전체 세부 정보가 게시될 것이라는 동의 하에 이루어집니다. 심각한 보안 취약점의 경우 더 많은 사람들이 패치할 시간을 주기 위해 취약점 공개가 약간 지연될 수 있습니다.
보안 연구원은 소프트웨어 개발자가 보고서에 응답하거나 패치를 제공할 기한을 지정할 수 있습니다. 이 기한이 충족되지 않으면 연구원은 취약점을 공개적으로 공개하여 개발자에게 패치를 발행하도록 압력을 가할 수 있습니다.
취약점을 공개적으로 공개하고 제로데이 취약점(패치가 없고 야생에서 악용되는 취약점 유형)을 도입하는 것처럼 보이는 것은 역효과를 낳는 것처럼 보일 수 있습니다. 그러나 연구원이 개발자에게 취약점을 패치하도록 압력을 가해야 하는 유일한 수단입니다.
해커가 취약점을 발견하면 조용히 Exploit을 사용하여 최종 사용자(본인)에게 피해를 줄 수 있지만 소프트웨어 개발자는 취약점을 패치하지 않은 상태로 두는 것에 만족합니다. Google의 Project Zero에는 취약점 공개와 관련하여 유사한 지침이 있습니다. 그들은 취약점이 패치되었는지 여부에 관계없이 90일 후에 취약점의 전체 세부 정보를 게시합니다.
취약한 플러그인 및 테마로부터 WordPress 웹사이트를 보호하는 방법
취약한 테마와 플러그인으로부터 웹사이트를 자동으로 보호하는 세 가지 방법이 있습니다.
- 플러그인 및 테마에 대한 자동 업데이트 활성화
- iThemes Security Pro 플러그인의 사이트 스캐너
- iThemes 보안의 버전 관리
1. 플러그인 및 테마 자동 업데이트 활성화
WordPress 5.5부터 플러그인 및 테마에 대한 자동 업데이트를 활성화할 수 있습니다 . 자동 업데이트가 WordPress 코어에 포함되는 이유는 무엇입니까? 오래된 플러그인과 테마는 여전히 WordPress 사이트가 해킹되는 #1 이유입니다. 버전 릴리스에는 취약점을 해결하기 위한 중요한 보안 패치가 포함되어 있는 경우가 많습니다(WordPress 취약점 정리에서 테마 및 플러그인과 관련된 보안 문제가 매월 얼마나 많이 공개되는지 확인하십시오). 그렇기 때문에 사이트에 설치한 플러그인이나 테마의 최신 버전을 항상 실행하는 것이 보안 모범 사례입니다.
이제 WordPress 코어를 사용하면 WordPress 관리자 > 플러그인 > 설치된 플러그인 및 모양 > 테마 페이지에서 플러그인 및 테마가 자동으로 업데이트되도록 설정할 수 있습니다. 이렇게 하면 사이트에서 사용 가능한 최신 코드를 실행하고 있는지 항상 알 수 있습니다.
2. iThemes Security Pro 플러그인의 사이트 스캐너 활성화
iThemes Security Pro 플러그인의 사이트 스캐너는 모든 소프트웨어 해킹의 가장 큰 원인인 오래된 플러그인과 알려진 취약점이 있는 테마로부터 WordPress 웹사이트를 보호하고 보호하는 또 다른 방법입니다. Site Scanner는 사이트에 알려진 취약점이 있는지 확인하고 사용 가능한 경우 패치를 자동으로 적용합니다.
iThemes Security Pro Site Scanner가 확인하는 3가지 WordPress 취약점 유형:
- WordPress 핵심 취약점
- 플러그인 취약점
- 테마 취약점
사이트에서 사이트 스캔을 활성화하려면 iThemes Security Pro 설정으로 이동하여 사이트 스캔 설정 모듈에서 활성화 버튼을 클릭하십시오.
수동 사이트 스캔을 실행하려면 보안 설정의 오른쪽 사이드 바에 있는 사이트 스캔 위젯 에서 지금 스캔 버튼을 클릭하십시오.
사이트 스캔 결과가 위젯에 표시됩니다.
사이트 스캔이 취약점을 감지하면 취약점 링크를 클릭하여 세부 정보 페이지를 봅니다.
사이트 스캔 취약점 페이지에서 해당 취약점에 대한 수정 사항이 있는지 확인할 수 있습니다. 사용 가능한 패치가 있는 경우 플러그인 업데이트 버튼을 클릭하여 웹 사이트에 수정 사항을 적용할 수 있습니다.
패치를 사용할 수 있는 시점과 수정 사항을 반영하기 위해 iThemes 보안 취약성 데이터베이스가 업데이트되는 사이에는 지연이 있을 수 있습니다. 이 경우 취약점과 관련된 경고를 더 이상 받지 않도록 알림을 음소거할 수 있습니다.
3. iThemes Security Pro에서 버전 관리 활성화
iThemes Security Pro의 버전 관리 기능을 사용하면 WordPress, 플러그인 및 테마의 자동 업데이트를 좀 더 세밀하게 제어할 수 있습니다.
다음은 iThemes Security Pro 버전 관리가 기본 WordPress 자동 업데이트에 비해 더 많은 유연성을 제공하는 세 가지 방법입니다.
- 간소화된 플러그인 및 테마 관리 – 버전 관리 설정에서 모든 플러그인 및 테마 업데이트를 관리합니다.
- 플러그인 및 테마 업데이트에 대한 사용자 지정 지연 기간 추가 – WordPress 자동 업데이트는 업데이트를 즉시 적용하는 옵션만 제공합니다. 업데이트 스케줄러를 사용하면 사용자 지정 지연을 만들 수 있습니다. 지연은 주요 릴리스 이후 문제를 해결하기 위해 후속 릴리스가 필요한 경향이 있는 플러그인이나 테마에 좋은 옵션이 될 수 있습니다.
- 알려진 취약점을 수정하는 업데이트만 적용 - 알려진 취약점을 수정하는 업데이트만 적용 합니다. 이 옵션은 모든 업데이트를 수동으로 실행하고 싶지만 보안 패치를 즉시 받으려는 경우에 적합합니다.
그 외에도 버전 관리에는 오래된 소프트웨어를 실행할 때 웹사이트를 강화하고 오래된 웹사이트를 검색하는 옵션도 있습니다.
버전 관리를 시작하려면 보안 설정의 기본 페이지에서 모듈을 활성화하십시오.
이제 설정 구성 버튼을 클릭하여 설정 을 자세히 살펴보십시오.
- WordPress 업데이트 – 최신 WordPress 릴리스를 자동으로 설치합니다.
- 플러그인 업데이트 – 최신 플러그인 업데이트를 자동으로 설치합니다. 이 설정을 활성화하면 충돌을 방지하기 위해 WordPress 자동 업데이트 플러그인 기능이 비활성화됩니다.
- 테마 업데이트 – 최신 테마 업데이트를 자동으로 설치합니다. 이 설정을 활성화하면 충돌을 방지하기 위해 WordPress 자동 업데이트 테마 기능이 비활성화됩니다.
- 오래된 소프트웨어 실행 시 사이트 강화 – 사용 가능한 업데이트가 한 달 동안 설치되지 않은 경우 사이트에 추가 보호 기능을 자동으로 추가합니다.
- 이중 요소가 활성화되지 않은 모든 사용자가 다시 로그인하기 전에 이메일 주소로 전송된 로그인 코드를 제공하도록 합니다.
- 사람들이 플러그인 또는 테마 코드를 편집하지 못하도록 차단하는 WP 파일 편집기를 비활성화합니다.
- XML-RPC 핑백을 비활성화하고 XML-RPC 요청당 여러 인증 시도를 차단합니다(둘 모두 완전히 끄지 않고도 공격에 대해 XML-RPC를 더 강력하게 만듭니다).
- 오래된 WordPress 사이트 검색 – 공격자가 서버를 손상시킬 수 있는 오래된 WordPress 사이트에 대한 호스팅 계정의 일일 검색을 실행합니다. 취약점이 있는 오래된 WordPress 사이트 하나는 공격자가 동일한 호스팅 계정의 다른 모든 사이트를 손상시킬 수 있습니다.
- 취약점 수정 시 자동 업데이트 – 이 옵션은 iThemes Security Pro 사이트 스캔과 함께 작동하여 웹사이트에서 알려진 WordPress, 플러그인 및 테마 취약점을 확인하고 패치가 있을 때 적용합니다.
이제 플러그인 및 테마 업데이트 구성에 대해 자세히 살펴보겠습니다. 시작하기 전에 플러그인 및 테마 업데이트 설정을 활성화하면 충돌을 방지하기 위해 WordPress 자동 업데이트 기능이 비활성화된다는 점을 빠르게 알려드리고 싶습니다.
플러그인 및 테마 업데이트 설정에는 세 가지 선택 사항이 있습니다.
- 공백/없음 – 설정을 공백으로 두면 WordPress에서 플러그인 및 테마 업데이트를 관리할 수 있습니다.
- 사용자 지정 – 사용자 지정 옵션을 사용하면 업데이트를 원하는 대로 정확하게 사용자 지정할 수 있습니다. 우리는 이것을 조금 더 다룰 것입니다.
- 모두 – 모두는 업데이트가 제공되는 즉시 모든 플러그인 또는 테마를 업데이트합니다.
이제 사용자 지정 옵션을 자세히 살펴보겠습니다.
사용자 지정 옵션을 선택하면 플러그인 및 테마 업데이트에 대해 세 가지 선택 사항이 제공됩니다.
- 활성화 – 새 릴리스 직후 업데이트할 플러그인을 선택합니다.
- 비활성화 – 수동으로 업데이트하려는 플러그인에 이 옵션을 사용합니다.
- 지연 – 지연 옵션을 사용하면 릴리스 업데이트를 지연할 일 수를 설정할 수 있습니다. 이는 주요 릴리스 이후 문제를 해결하기 위해 일부 후속 릴리스가 필요한 경향이 있는 개발자에게 좋은 옵션이 될 수 있습니다.
지금 iThemes Security Pro를 받으세요
WordPress 보안 플러그인인 iThemes Security Pro는 일반적인 WordPress 보안 취약성으로부터 웹사이트를 보호하고 보호하는 50가지 이상의 방법을 제공합니다. WordPress, 이중 인증, 무차별 대입 방지, 강력한 암호 적용 등을 사용하여 웹 사이트에 보안 계층을 추가할 수 있습니다.
iThemes 보안 프로 받기
Michael은 매주 WordPress 취약점 보고서를 작성하여 사이트를 안전하게 보호합니다. iThemes의 제품 관리자로서 그는 iThemes 제품 라인업을 지속적으로 개선하는 데 도움을 줍니다. 그는 거대한 괴짜이며 기술, 오래된 및 새로운 모든 것에 대해 배우는 것을 좋아합니다. 마이클이 아내와 딸과 어울리고, 일하지 않을 때는 책을 읽거나 음악을 듣는 것을 볼 수 있습니다.
