WordPress 취약점 정리: 2019년 10월, 1부

게시 됨: 2019-10-26

10월 상반기에 몇 가지 새로운 WordPress 플러그인 및 테마 취약점이 공개되었으므로 알려드립니다. 이 게시물에서는 최근 WordPress 플러그인 및 테마 취약성과 웹사이트에서 취약한 플러그인 또는 테마 중 하나를 실행하는 경우 수행할 작업을 다룹니다.

WordPress 취약점 정리를 네 가지 범주로 나눕니다.

1. 워드프레스 코어
2. 워드프레스 플러그인
3. 워드프레스 테마
4. 웹에서 침해

*WordPress 생태계 외부의 취약점도 인식하는 것이 필수적이기 때문에 웹 전체의 침해를 포함합니다. 서버 소프트웨어에 대한 악용은 민감한 데이터를 노출할 수 있습니다. 데이터베이스 침해는 사이트의 사용자에 대한 자격 증명을 노출하여 공격자가 사이트에 액세스할 수 있는 기회를 제공할 수 있습니다.

워드프레스 핵심 보안 업데이트

WordPress 5.2.3 이하에는 몇 가지 취약점이 있습니다.

사이트 간 스크립팅
인증되지 않은 게시물
자바스크립트 주입으로 이어지는 사이트 간 스크립팅
JSON 캐시 중독
서버 측 요청 위조
관리자에서 참조자 유효성 검사.

해야 할 일

취약점이 패치되었으며 버전 5.2.4로 업데이트해야 합니다.

WordPress 플러그인 취약점

몇 가지 새로운 WordPress 플러그인 취약점이 이번 10월에 발견되었습니다. 플러그인을 업데이트하거나 완전히 제거하려면 아래 제안된 조치를 따르십시오.

1. 올인원 WP 보안 및 방화벽

올인원 보안 로고

All In One WP Security & Firewall 버전 4.4.1 이하에는 "숨겨진" 로그인 페이지를 노출하는 Open Redirect가 있습니다.

WordPress 로그인을 보호하기 위해 여전히 "숨겨진" 로그인에 의존하고 있다면 방법을 업데이트해야 합니다. WordPress 로그인 보안을 위한 5가지 간단한 규칙을 확인하십시오.

해야 할 일

취약점이 패치되었으며 버전 4.4.2로 업데이트해야 합니다.

2. 팝업 메이커

팝업 메이커 로고

Popup Maker 버전 1.8.12 이하에는 Broken Authentication 취약점이 있습니다.

해야 할 일

취약점이 패치되었으며 버전 1.8.13으로 업데이트해야 합니다.

3. iThemes 동기화

iThemes 동기화 로고

iThemes Sync 버전 2.0.17 이하에는 불충분한 보안 키 유효성 검사 취약점이 있습니다. 이 취약점은 WordPress 사이트의 완전한 손상으로 이어질 수 있으므로 사이트에서 버전 2.0.18을 실행 중인지 확인하십시오.

해야 할 일

취약점이 패치되었으며 버전 2.0.18로 업데이트해야 합니다.

4. 대시보드에서 플러그인 및 테마 다운로드

대시보드 로고에서 플러그인 및 테마 다운로드

대시보드 버전 1.5.0 이하에서 플러그인 및 테마 다운로드는 인증되지 않은 저장 XSS 공격에 취약합니다.

해야 할 일

취약점이 패치되었으며 버전 1.6.0으로 업데이트해야 합니다.

5. wpDataTables

wpDataTables 로고

wpDataTables 2.0.7 이하 버전은 Cross-Site Scripting 및 SQL Injection 공격에 취약하다.

해야 할 일

취약점이 패치되었으며 버전 2.0.8로 업데이트해야 합니다.

6. 라라의 구글 애널리틱스

라라의 구글 애널리틱스 로고

Lara의 Google Analytics 2.0.4 이하 버전은 Authenticated Stored Cross-Site Scripting 공격에 취약합니다.

해야 할 일

취약점이 패치되었으며 버전 2.0.5로 업데이트해야 합니다.

7. CSV로 사용자 내보내기

CSV 로고로 사용자 내보내기

CSV 버전 1.3 이하로 사용자 내보내기에는 무단 CSV 액세스 취약점이 있습니다.

해야 할 일

취약점이 패치되었으며 버전 1.4로 업데이트해야 합니다.

8. SoundPress 플러그인

SoundPress 플러그인 로고

SoundPress Plugin 버전 2.2.0 이하는 Cross-Site Scripting 공격에 취약하다.

해야 할 일

취약점이 패치되었으며 버전 1.4로 업데이트해야 합니다.

워드프레스 테마

2019년 10월 상반기에는 테마 취약점이 공개되지 않았습니다.

WordPress 테마 및 플러그인 취약점에 대해 사전에 대처하는 방법

오래된 소프트웨어를 실행하는 것이 WordPress 사이트가 해킹되는 가장 큰 이유입니다. 업데이트 루틴이 있는 것은 WordPress 사이트의 보안에 매우 중요합니다. 업데이트를 수행하려면 일주일에 한 번 이상 사이트에 로그인해야 합니다.

자동 업데이트가 도움이 될 수 있습니다

자동 업데이트는 자주 변경되지 않는 WordPress 웹사이트에 적합한 선택입니다. 주의 부족은 종종 이러한 사이트를 방치하고 공격에 취약하게 만듭니다. 권장되는 보안 설정을 사용하더라도 사이트에서 취약한 소프트웨어를 실행하면 공격자가 사이트에 진입할 수 있습니다.

iThemes Security Pro 플러그인의 버전 관리 기능 을 사용하면 자동 WordPress 업데이트를 활성화하여 최신 보안 패치를 받을 수 있습니다. 이러한 설정은 자동으로 새 버전으로 업데이트하거나 사이트 소프트웨어가 오래된 경우 사용자 보안을 강화하는 옵션으로 사이트를 보호하는 데 도움이 됩니다.

버전 관리 업데이트 옵션

WordPress 업데이트 – 최신 WordPress 릴리스를 자동으로 설치합니다.
플러그인 자동 업데이트 – 최신 플러그인 업데이트를 자동으로 설치합니다. 이 사이트를 매일 적극적으로 유지 관리하고 업데이트가 릴리스된 직후 업데이트를 수동으로 설치하지 않는 한 이 기능을 활성화해야 합니다.
테마 자동 업데이트 – 최신 테마 업데이트를 자동으로 설치합니다. 테마에 파일 사용자 정의가 없는 경우 활성화해야 합니다.
플러그인 및 테마 업데이트에 대한 세분화된 제어 – 수동으로 업데이트하거나 릴리스가 안정적인 것으로 입증될 때까지 업데이트를 지연하려는 플러그인/테마가 있을 수 있습니다. 사용자 지정 을 선택하여 각 플러그인 또는 테마를 즉시 업데이트( 활성화 )하거나 자동으로 전혀 업데이트하지 않거나( 비활성화 ) 지정된 일 수만큼 지연된 업데이트( 지연 )를 할당할 수 있습니다.

중요한 문제에 대한 강화 및 경고

오래된 소프트웨어 실행 시 사이트 강화 – 사용 가능한 업데이트가 한 달 동안 설치되지 않은 경우 사이트에 추가 보호 기능을 자동으로 추가합니다. iThemes 보안 플러그인은 한 달 동안 업데이트가 설치되지 않은 경우 더 엄격한 보안을 자동으로 활성화합니다. 첫째, 이중 요소가 활성화되지 않은 모든 사용자가 다시 로그인하기 전에 이메일 주소로 로그인 코드를 보내도록 강제합니다. 둘째, WP 파일 편집기를 비활성화합니다(플러그인 또는 테마 코드를 편집하지 못하도록 차단). , XML-RPC 핑백 및 XML-RPC 요청당 여러 인증 시도 차단(둘 모두 완전히 끄지 않고도 공격에 대해 XML-RPC를 더 강력하게 만듭니다).
다른 오래된 WordPress 사이트 검색 – 호스팅 계정에 다른 오래된 WordPress 설치가 있는지 확인합니다. 취약점이 있는 오래된 WordPress 사이트 하나는 공격자가 동일한 호스팅 계정의 다른 모든 사이트를 손상시킬 수 있습니다.
이메일 알림 보내기 – 개입이 필요한 문제의 경우 관리자 수준 사용자에게 이메일이 전송됩니다.

웹에서 침해

1. GIF를 사용하여 Drupal을 공격하는 해커

보안 연구 회사인 Akami는 .gif 파일에 악성 코드를 삽입하는 공격이 증가하고 있음을 확인했습니다. 좋은 소식은 Drupal이 이 취약점을 패치한 지 1년이 넘었다는 것입니다. 나쁜 소식은 제대로 관리되지 않는 사이트가 아직 업데이트되지 않았다는 것입니다.

악의적인 공격이 성공한 가장 큰 이유는 오래된 소프트웨어 때문입니다. 1년 된 업데이트로 인해 사이트가 손상된 사람/여자가 되지 마십시오. 사이트 업데이트

2. 신호 취약점으로 인해 해커가 Android 마이크를 들을 수 있음

신호 로고

Google Project Zero는 최근 메시징 앱 Signal의 취약점을 공개했습니다. Signal 앱을 사용하여 다른 사람의 전화를 걸 때 취약점이 사용될 수 있습니다. 전화 통화 중에 해커는 대상의 전화가 울리는 동안 음소거 버튼을 눌러야 합니다. 음소거 버튼을 누르면 대상의 장치가 강제로 호출에 응답하여 공격자가 자신의 표시를 도청할 수 있습니다.

Google Project Zero로부터 버그에 대한 알림을 받은 후 Signal은 신속하게 패치를 출시했습니다. 공격자는 앱에서 코드를 제거하고 수정해야 했습니다. 고맙게도 어려움 때문에 야생에서 익스플로잇이 사용되었다는 보고는 없습니다.

2019년 10월, 1부 WordPress 취약점 요약

핵심

사이트 간 스크립팅
인증되지 않은 게시물
자바스크립트 주입으로 이어지는 사이트 간 스크립팅
JSON 캐시 중독
서버 측 요청 위조
관리자에서 참조자 유효성 검사.

취약점이 패치되었으며 버전 5.2.4로 업데이트해야 합니다.

플러그인

All In One WP Security & Firewall 버전 4.4.1 이하에는 "숨겨진" 로그인 페이지를 노출하는 Open Redirect가 있습니다.

취약점이 패치되었으며 버전 4.4.2로 업데이트해야 합니다.

Popup Maker 버전 1.8.12 이하에는 Broken Authentication 취약점이 있습니다.

취약점이 패치되었으며 버전 1.8.13으로 업데이트해야 합니다.

취약점이 패치되었으며 버전 2.0.18로 업데이트해야 합니다.

대시보드 버전 1.5.0 이하에서 플러그인 및 테마 다운로드는 인증되지 않은 저장 XSS 공격에 취약합니다.

취약점이 패치되었으며 버전 1.6.0으로 업데이트해야 합니다.

wpDataTables 2.0.7 이하 버전은 Cross-Site Scripting 및 SQL Injection 공격에 취약하다.

취약점이 패치되었으며 버전 2.0.8로 업데이트해야 합니다.

Lara의 Google Analytics 2.0.4 이하 버전은 Authenticated Stored Cross-Site Scripting 공격에 취약합니다.

취약점이 패치되었으며 버전 2.0.5로 업데이트해야 합니다.

CSV 버전 1.3 이하로 사용자 내보내기에는 무단 CSV 액세스 취약점이 있습니다.

취약점이 패치되었으며 버전 1.4로 업데이트해야 합니다.

테마

2019년 10월 상반기에는 테마 취약점이 공개되지 않았습니다.

WordPress 보안 플러그인으로 웹사이트 보호

WordPress 보안 플러그인인 iThemes Security Pro는 일반적인 WordPress 보안 취약성으로부터 웹사이트를 보호하고 보호하는 30가지 이상의 방법을 제공합니다. WordPress, 이중 인증, 무차별 대입 방지, 강력한 암호 적용 등을 사용하여 웹 사이트에 보안 계층을 추가할 수 있습니다.

10가지 핵심 팁으로 WordPress 보안에 대해 자세히 알아보세요. 지금 eBook 다운로드: WordPress 보안 가이드

지금 다운로드

iThemes 보안 받기

마이클 무어

Michael은 매주 WordPress 취약점 보고서를 작성하여 사이트를 안전하게 보호합니다. iThemes의 제품 관리자로서 그는 iThemes 제품 라인업을 지속적으로 개선하는 데 도움을 줍니다. 그는 거대한 괴짜이며 기술, 오래된 및 새로운 모든 것에 대해 배우는 것을 좋아합니다. 마이클이 아내와 딸과 어울리고, 일하지 않을 때는 책을 읽거나 음악을 듣는 것을 볼 수 있습니다.