WordPress 취약점 정리: 2020년 3월, 2부

게시 됨: 2020-08-18

3월 하반기에 새로운 WordPress 플러그인 및 테마 취약점이 공개되었으므로 계속 알려드리고자 합니다. 이 게시물에서는 최근 WordPress 플러그인, 테마 및 핵심 취약점과 웹사이트에서 취약한 플러그인 또는 테마 중 하나를 실행하는 경우 수행할 작업을 다룹니다.

WordPress 취약점 정리는 네 가지 범주로 나뉩니다.

  1. 워드프레스 코어
  2. 워드프레스 플러그인
  3. 워드프레스 테마

WordPress 핵심 취약점

2020년에는 공개된 WordPress 취약점이 없습니다.

WordPress 플러그인 취약점

이번 달에 지금까지 몇 가지 새로운 WordPress 플러그인 취약점이 발견되었습니다. 플러그인을 업데이트하거나 완전히 제거하려면 아래 제안된 조치를 따르십시오.

1 – 7. 여러 플러그인

Buddypress Component Stats, 초록 제출, WP e-Commerce Shop Styling, web-portal-lite-client, post-pdf-export, blogtopdf 및 gboutique에는 모두 인증되지 않은 Dompdf 로컬 파일 포함 취약점이 있습니다.

플러그인을 제거하십시오. WordPress.org 플러그인 저장소에서 폐쇄되었습니다.

8. 워드프레스 파일 업로드

4.13.0 미만의 WordPress 파일 업로드 버전에는 원격 코드 실행 취약점이 있습니다.

취약점이 패치되었으며 버전 4.13.0으로 업데이트해야 합니다.

9. 뉴스레터

6.5.4 미만의 뉴스레터 버전에는 CSV 주입 취약점이 있습니다.

취약점이 패치되었으며 버전 6.5.4로 업데이트해야 합니다.

10. 런프레스

3.2.6.7 미만의 LearnPress 버전에는 권한 상승 취약점이 있습니다.

취약점이 패치되었으며 버전 3.2.6.7로 업데이트해야 합니다.

11. 커스텀 포스트 타입 UI

1.7.4 이하의 Custom Post Type UI 버전에는 Cross-Site Request Forgery 및 Stored Cross-Site Scripting 취약점이 있습니다.

취약점이 패치되었으며 버전 1.7.4로 업데이트해야 합니다.

12. Gutenberg & Elementor 템플릿 임포터 for Responsive

Gutenberg & Elementor Templates Importer For Responsive 버전 2.2.6 미만에는 보호되지 않는 AJAX 끝점 취약점이 있습니다.

취약점이 패치되었으며 버전 2.2.6으로 업데이트해야 합니다.

13. 고급 광고 – Ad Manager 및 애드센스

고급 광고 – 1.17.4 미만의 Ad Manager 및 애드센스 버전에는 Authenticated Reflected Cross-Site Scripting 취약점이 있습니다.

취약점이 패치되었으며 버전 1.17.4로 업데이트해야 합니다.

14. WordPress 마이그레이션 및 백업 – WPvivid 백업 플러그인

WordPress 마이그레이션 및 백업 – 0.9.36 미만의 WPvivid 백업 플러그인 버전에는 데이터베이스 누출 취약점으로 이어지는 인증 누락이 있습니다.

취약점이 패치되었으며 버전 0.9.36으로 업데이트해야 합니다.

15. 쿠키봇

3.6.1 미만의 Cookiebot 버전에는 Authenticated Reflected Cross-Site Scripting 취약점이 있습니다.

취약점이 패치되었으며 버전 3.6.1로 업데이트해야 합니다.

16. Supsystic의 데이터 테이블 생성기

Supsystic의 Data Tables Generator 1.9.92 미만 버전에는 여러 취약점이 있습니다.

취약점이 패치되었으며 버전 1.9.92로 업데이트해야 합니다.

17. 제품 목록 월마트

product-lister-walmart에는 인증되지 않은 원격 코드 실행 취약점이 있습니다.

플러그인을 제거하세요. 검토 대기 중인 WordPress.org 플러그인 저장소에서 폐쇄되었습니다.

18. 올인원 WP 마이그레이션

7.15 미만의 올인원 WP 마이그레이션 버전에는 임의 백업 다운로드 취약점이 있습니다.

취약점이 패치되었으며 버전 7.15로 업데이트해야 합니다.

워드프레스 테마

1. 유익한

3.8.2 미만의 유익한 테마 버전에는 Authenticated Stored Cross-Site Scripting 취약점이 있습니다.

취약점이 패치되었으며 버전 3.8.2로 업데이트해야 합니다.

WordPress 테마 및 플러그인 취약점에 대해 사전에 대처하는 방법

오래된 소프트웨어를 실행하는 것이 WordPress 사이트가 해킹되는 가장 큰 이유입니다. 업데이트 루틴이 있는 것은 WordPress 사이트의 보안에 매우 중요합니다. 업데이트를 수행하려면 일주일에 한 번 이상 사이트에 로그인해야 합니다.

자동 업데이트가 도움이 될 수 있습니다

자동 업데이트는 자주 변경되지 않는 WordPress 웹사이트에 적합한 선택입니다. 주의 부족은 종종 이러한 사이트를 방치하고 공격에 취약하게 만듭니다. 권장되는 보안 설정을 사용하더라도 사이트에서 취약한 소프트웨어를 실행하면 공격자가 사이트에 진입할 수 있습니다.

iThemes Security Pro 플러그인의 버전 관리 기능 을 사용하면 자동 WordPress 업데이트를 활성화하여 최신 보안 패치를 받을 수 있습니다. 이러한 설정은 자동으로 새 버전으로 업데이트하거나 사이트 소프트웨어가 오래된 경우 사용자 보안을 강화하는 옵션으로 사이트를 보호하는 데 도움이 됩니다.

버전 관리 업데이트 옵션
  • WordPress 업데이트 – 최신 WordPress 릴리스를 자동으로 설치합니다.
  • 플러그인 자동 업데이트 – 최신 플러그인 업데이트를 자동으로 설치합니다. 이 사이트를 매일 적극적으로 유지 관리하고 업데이트가 릴리스된 직후 업데이트를 수동으로 설치하지 않는 한 이 기능을 활성화해야 합니다.
  • 테마 자동 업데이트 – 최신 테마 업데이트를 자동으로 설치합니다. 테마에 파일 사용자 정의가 없는 경우 활성화해야 합니다.
  • 플러그인 및 테마 업데이트에 대한 세분화된 제어 – 수동으로 업데이트하거나 릴리스가 안정적인 것으로 입증될 때까지 업데이트를 지연하려는 플러그인/테마가 있을 수 있습니다. 사용자 지정 을 선택하여 각 플러그인 또는 테마를 즉시 업데이트( 활성화 )하거나 자동으로 전혀 업데이트하지 않거나( 비활성화 ) 지정된 일 수만큼 지연된 업데이트( 지연 )를 할당할 수 있습니다.
중요한 문제에 대한 강화 및 경고
  • 오래된 소프트웨어 실행 시 사이트 강화 – 사용 가능한 업데이트가 한 달 동안 설치되지 않은 경우 사이트에 추가 보호 기능을 자동으로 추가합니다. iThemes 보안 플러그인은 한 달 동안 업데이트가 설치되지 않은 경우 더 엄격한 보안을 자동으로 활성화합니다. 첫째, 이중 요소가 활성화되지 않은 모든 사용자가 다시 로그인하기 전에 이메일 주소로 로그인 코드를 보내도록 강제합니다. 둘째, WP 파일 편집기를 비활성화합니다(플러그인 또는 테마 코드를 편집하지 못하도록 차단). , XML-RPC 핑백 및 XML-RPC 요청당 여러 인증 시도 차단(둘 모두 완전히 끄지 않고도 공격에 대해 XML-RPC를 더 강력하게 만듭니다).
  • 다른 오래된 WordPress 사이트 검색 – 호스팅 계정에 다른 오래된 WordPress 설치가 있는지 확인합니다. 취약점이 있는 오래된 WordPress 사이트 하나는 공격자가 동일한 호스팅 계정의 다른 모든 사이트를 손상시킬 수 있습니다.
  • 이메일 알림 보내기 – 개입이 필요한 문제의 경우 관리자 수준 사용자에게 이메일이 전송됩니다.

여러 WP 사이트 관리? iThemes 동기화 대시보드에서 한 번에 플러그인, 테마 및 핵심 업데이트

iThemes Sync는 여러 WordPress 사이트를 관리하는 데 도움이 되는 중앙 대시보드입니다. 동기화 대시보드에서 모든 사이트에 대해 사용 가능한 업데이트를 확인한 다음 클릭 한 번으로 플러그인, 테마 및 WordPress 코어업데이트 할 수 있습니다. 새 버전 업데이트가 있을 때 매일 이메일 알림을 받을 수도 있습니다.

30일 동안 무료 동기화를 사용해 보세요자세히 알아보기

WordPress 보안 플러그인으로 웹사이트 보호

WordPress 보안 플러그인인 iThemes Security Pro는 일반적인 WordPress 보안 취약성으로부터 웹사이트를 보호하고 보호하는 30가지 이상의 방법을 제공합니다. WordPress, 이중 인증, 무차별 대입 방지, 강력한 암호 적용 등을 사용하여 웹 사이트에 보안 계층을 추가할 수 있습니다.

10가지 핵심 팁으로 WordPress 보안에 대해 자세히 알아보세요. 지금 eBook 다운로드: WordPress 보안 가이드
지금 다운로드