WordPress 취약점 정리: 2020년 11월, 1부

게시 됨: 2021-03-10

11월 상반기에 몇 가지 새로운 WordPress 플러그인 및 테마 취약점이 공개되었습니다. 이 게시물은 최근 WordPress 플러그인, 테마 및 핵심 취약점과 웹사이트에서 취약한 플러그인 또는 테마 중 하나를 실행하는 경우 수행할 작업을 다룹니다.

WordPress Vulnerability Roundup은 WordPress 코어, WordPress 플러그인 및 WordPress 테마의 세 가지 범주로 나뉩니다.

11월 1부 보고서

    WordPress 핵심 취약점

    WordPress 5.5.2는 10월 29일에 릴리스되었으며 10개의 WordPress 핵심 보안 수정 사항이 포함되었습니다.

    다음은 WordPress 5.5.2 릴리스 게시물에 언급된 보안 수정 사항 목록입니다.

    • 강화된 역직렬화 요청.
    • 다중 사이트 네트워크에서 비활성화된 사이트에서 스팸 포함을 비활성화하도록 수정합니다 .
    • 전역 변수에서 XSS로 이어질 수 있는 보안 문제를 수정했습니다.
    • XML-RPC에서 권한 상승 문제를 수정했습니다.
    • XML-RPC를 통한 게시물 댓글 관련 권한 상승 문제를 수정했습니다.
    • DoS 공격이 RCE로 이어질 수 있는 보안 문제를 수정했습니다.
    • 포스트 슬러그에 XSS를 저장하는 방법을 제거했습니다.
    • 임의의 파일 삭제로 이어질 수 있는 보호된 메타를 우회하는 방법을 제거했습니다.
    • CSRF로 이어질 수 있는 방법을 제거했습니다.
    취약점이 패치되었으므로 WordPress를 버전 5.5.2로 업데이트하십시오.

    WordPress 플러그인 취약점

    1. SW Ajax WooCommerce 검색

    SW Ajax WooCommerce Search 버전 1.2.8 미만에는 Unauthenticated Reflected XSS 및 XFS 취약점이 있습니다.

    취약점이 패치되었으며 버전 1.2.8로 업데이트해야 합니다.

    2. AccessPress 소셜 아이콘

    AccessPress Social Icons 1.8.1 미만 버전에는 인증된 SQL 주입 취약점이 있습니다.

    취약점이 패치되었으며 버전 1.8.1로 업데이트해야 합니다.

    3. GDPR CCPA 준수 지원

    GDPR CCPA 규정 준수 지원 버전 2.4 미만에는 인증되지 않은 PHP 개체 삽입 취약점이 있습니다.

    취약점이 패치되었으며 버전 2.4로 업데이트해야 합니다.

    4. 증강 현실

    모든 버전의 증강 현실에는 인증되지 않은 PHP 파일 업로드가 있어 RCE 취약점이 발생합니다.

    보안 수정 사항이 릴리스될 때까지 플러그인을 제거하십시오.

    5. 웰카트 전자상거래

    Welcart 전자상거래 1.9.36 이하 버전에는 Authenticated PHP Object Injection 취약점이 있습니다.

    취약점이 패치되었으며 버전 1.9.36으로 업데이트해야 합니다.

    6. 우커머스

    WooCommerce 버전 4.6.2 미만에는 게스트 계정 생성 취약점이 있습니다.

    취약점이 패치되었으며 버전 4.6.2로 업데이트해야 합니다.

    7. WooCommerce 블록

    WooCommerce 차단 버전 3.7.1 미만에는 게스트 계정 생성 취약점이 있습니다.

    취약점이 패치되었으며 버전 3.7.1로 업데이트해야 합니다.

    8. WooCommerce를 위한 버려진 카트 라이트

    WooCommerce용 Abandoned Cart Lite 버전 5.8.3 미만에는 인증되지 않은 SQL 주입 취약점이 있습니다.

    취약점이 패치되었으며 버전 5.8.3으로 업데이트해야 합니다.

    9. WP 활동 로그

    4.1.5 미만의 WP 활동 로그 버전에는 외부 데이터베이스 모듈에 SQL 주입 취약점이 있습니다.

    취약점이 패치되었으며 버전 4.1.5로 업데이트해야 합니다.

    10. 얼티밋 멤버

    2.1.12 미만의 Ultimate Member 버전에는 사용자 역할, 프로필 업데이트 및 사용자 메타 취약점을 통한 인증되지 않은 권한 상승이 있습니다.

    취약점이 패치되었으며 버전 2.1.12로 업데이트해야 합니다.

    11. 궁극적인 리뷰

    Ultimate Reviews 2.1.33 이하 버전에는 인증되지 않은 PHP 개체 주입 취약점이 있습니다.

    취약점이 패치되었으며 버전 2.1.33으로 업데이트해야 합니다.

    WordPress 테마 취약점

    1. 그린마트

    2.4.3 미만의 GreenMart 버전에는 Reflected Cross-Site Scripting 취약점이 있습니다.

    취약점이 패치되었으며 버전 2.4.3으로 업데이트해야 합니다.

    11월 보안 팁: WordPress 보안 로그가 필요한 이유

    로깅은 WordPress 보안 전략의 필수적인 부분입니다. 불충분한 로깅 및 모니터링으로 인해 보안 침해 탐지가 지연될 수 있습니다. 대부분의 침해 연구에 따르면 침해를 감지하는 데 걸리는 시간이 200일 이상입니다! 그 시간 동안 공격자는 다른 시스템을 침해하고 더 많은 데이터를 수정, 훔치거나 파괴할 수 있습니다. 이러한 이유로 불충분한 로깅이 웹 애플리케이션 보안 위험의 OWASP 상위 10위에 올랐습니다.

    대부분의 침해 연구에 따르면 침해를 감지하는 데 걸리는 시간이 200일 이상입니다!

    WordPress 보안 로그는 전반적인 보안 전략에 몇 가지 이점이 있습니다.

    1. 악의적인 행동을 식별하고 중지합니다.
    2. 위반을 경고할 수 있는 활동을 찾습니다.
    3. 얼마나 많은 피해가 발생했는지 평가하십시오.
    4. 해킹된 사이트 복구를 지원합니다.

    사이트가 해킹된 경우 빠른 조사 및 복구에 도움이 되는 최상의 정보가 필요합니다.

    WordPress 보안 로그란 무엇입니까?

    iThemes Security Pro의 WordPress 보안 로그는 웹사이트에서 발생하는 중요한 보안 이벤트를 추적합니다. 이러한 이벤트는 보안 위반이 발생했는지 여부를 나타내기 위해 모니터링하는 것이 중요합니다.

    웹사이트의 보안 로그는 모든 보안 전략의 중요한 부분입니다. 이러한 기록에서 찾은 정보는 악의적인 행위자를 차단하고 사이트에서 원치 않는 변경을 강조하며 성공적인 공격의 진입 지점을 식별하고 패치하는 데 사용할 수 있습니다.

    웹 사이트에 WordPress 보안 로그를 추가하는 방법

    웹사이트에 보안 로깅을 추가하는 가장 쉬운 방법은 iThemes Security Pro와 같은 플러그인을 사용하는 것입니다. iThemes Security Pro가 설치되고 활성화되는 즉시 웹사이트에서 발생하는 중요한 보안 활동을 모니터링하고 기록하기 시작합니다.

    워드프레스 보안 로그 플러그인

    그런 다음 iThemes Security Pro는 로그의 데이터를 실시간 WordPress 보안 대시보드로 변환하여 사이트에서 발생하는 모든 보안 활동을 더 잘 볼 수 있습니다.

    모니터링해야 하는 보안 이벤트와 기록 방법에 대해 알아보려면 WordPress 보안 로그에 대한 게시물을 확인하세요.

    작동 방식 보기

    WordPress 보안 플러그인으로 웹사이트 보호

    WordPress 보안 플러그인인 iThemes Security Pro는 일반적인 WordPress 보안 취약성으로부터 웹사이트를 보호하고 보호하는 50가지 이상의 방법을 제공합니다. WordPress, 이중 인증, 무차별 대입 방지, 강력한 암호 적용 등을 사용하여 웹 사이트에 보안 계층을 추가할 수 있습니다.

    iThemes 보안 프로 받기

    취약점 검거