WordPress 취약점 정리: 2020년 10월, 1부

게시 됨: 2020-12-08

10월 상반기에 새로운 WordPress 플러그인 및 테마 취약점이 공개되었습니다. 이 게시물에서는 최근 WordPress 플러그인, 테마 및 핵심 취약점과 웹사이트에서 취약한 플러그인 또는 테마 중 하나를 실행하는 경우 수행할 작업을 다룹니다.

WordPress Vulnerability Roundup은 WordPress 코어, WordPress 플러그인 및 WordPress 테마의 세 가지 범주로 나뉩니다.

10월 1부 보고서

    WordPress 핵심 취약점

    7월 하반기에 공개된 WordPress 핵심 취약점은 없습니다.

    WordPress 플러그인 취약점

    1. 엑스클로너

    4.2.15 미만의 XCloner 버전에는 Cross-Site Request Forgery 취약점이 있습니다.

    취약점이 패치되었으며 버전 4.2.15로 업데이트해야 합니다.

    2. 닌자 양식 문의 양식

    Ninja Forms Contact Form 3.4.27.1 이하 버전에는 Cross-Site Request Forgery 취약점이 있습니다.

    취약점이 패치되었으며 버전 3.4.27.1로 업데이트해야 합니다.

    3. 코디네이터

    모든 버전의 Coditor에는 Cross-Site Request Forgery 취약점이 있습니다.

    보안 수정 사항이 릴리스될 때까지 플러그인을 제거하십시오.

    4. 단순: 보도

    Simple:Press 버전 6.6.1 미만에는 원격 코드 실행 공격으로 이어질 수 있는 Broken Access Control 취약점이 있습니다.

    취약점이 패치되었으며 버전 6.6.1로 업데이트해야 합니다.

    5. WP 과정 LMS

    WP Courses LMS 버전 2.0.29 미만에는 Broken Access Control 취약점이 있습니다.

    취약점이 패치되었으며 버전 2.0.29로 업데이트해야 합니다.

    6. 10Web의 슬라이더

    Slider by 10Web 1.2.36 이하 버전에는 다중 인증 SQL 주입 취약점이 있습니다.

    취약점이 패치되었으며 버전 1.2.36으로 업데이트해야 합니다.

    7. 워드프레스 + 마이크로소프트 오피스 365 / 애저 AD

    WordPress + Microsoft Office 365/Azure AD 11.7 미만 버전에는 인증 우회 취약점이 있습니다.

    취약점이 패치되었으며 버전 11.7로 업데이트해야 합니다.

    8. 팀 쇼케이스

    1.22.16 미만의 Team Showcase 버전에는 Authenticated Stored Cross-Site Scripting 취약점이 있습니다.

    취약점이 패치되었으며 버전 1.22.16으로 업데이트해야 합니다.

    9. 포스트 그리드

    2.0.73 미만의 Post Grid 버전에는 Authenticated Stored Cross-Site Scripting 취약점이 있습니다.

    취약점이 패치되었으며 버전 2.0.73으로 업데이트해야 합니다.

    10. WPBakery 페이지 빌더

    6.4.1 미만의 WPBakery Page Builder 버전에는 Authenticated Stored Cross-Site Scripting 취약점이 있습니다.

    취약점이 패치되었으며 버전 6.4.1로 업데이트해야 합니다.

    11. 하이퍼코멘트

    모든 버전의 Hypercomments 인증되지 않은 임의 파일 삭제 취약점.

    보안 수정 사항이 릴리스될 때까지 플러그인을 제거하십시오.

    12. Elementor용 동적 콘텐츠

    1.9.6 미만 버전의 Elementor용 동적 콘텐츠에는 인증된 원격 코드 실행 취약점이 있습니다.

    취약점이 패치되었으며 버전 1.9.6으로 업데이트해야 합니다.

    13. 파워프레스 팟캐스팅

    8.3.8 미만의 PowerPress Podcasting 버전에는 원격 코드 실행 취약점으로 이어지는 인증된 임의 파일 업로드 주요 문제가 있습니다.

    취약점이 패치되었으며 버전 8.3.8로 업데이트해야 합니다.

    WordPress 테마 취약점

    1. 매끈한

    v1.2.9 이하의 Shapely 버전에는 인증되지 않은 함수 주입 취약점이 있습니다.

    취약점이 패치되었으며 버전 v1.2.9로 업데이트해야 합니다.

    2. 뉴스매거진

    2.4.2 미만의 NewsMag 버전에는 인증되지 않은 함수 주입 취약점이 있습니다.

    취약점이 패치되었으며 버전 2.4.2로 업데이트해야 합니다.

    3. 액티브로

    1.4.2 미만의 Activello 버전에는 인증되지 않은 함수 주입 취약점이 있습니다.

    취약점이 패치되었으며 버전 1.4.2로 업데이트해야 합니다.

    4. 일디

    2.1.7 이하의 Illdy 버전에는 인증되지 않은 함수 주입 취약점이 있습니다.

    취약점이 패치되었으며 버전 2.1.7로 업데이트해야 합니다.

    5. 충성

    1.2.6 미만의 Allegiant 버전에는 인증되지 않은 함수 주입 취약점이 있습니다.

    취약점이 패치되었으며 버전 1.2.6으로 업데이트해야 합니다.

    6. 신문 X

    1.3.2 미만의 Newspaper X 버전에는 인증되지 않은 함수 주입 취약점이 있습니다.

    취약점이 패치되었으며 버전 1.3.2로 업데이트해야 합니다.

    7. 픽소바 라이트

    2.0.7 미만의 Pixova Lite 버전에는 인증되지 않은 함수 주입 취약점이 있습니다.

    취약점이 패치되었으며 버전 2.0.7로 업데이트해야 합니다.

    8. 광채

    1.3.0 미만의 Brilliance 버전에는 인증되지 않은 함수 주입 취약점이 있습니다.

    취약점이 패치되었으며 버전 1.3.0으로 업데이트해야 합니다.

    9. 메드존 라이트

    1.2.6 미만의 MedZone Lite 버전에는 인증되지 않은 함수 주입 취약점이 있습니다.

    취약점이 패치되었으며 버전 1.2.6으로 업데이트해야 합니다.

    10. 레지나 라이트

    2.0.6 미만의 Regina Lite 버전에는 인증되지 않은 함수 주입 취약점이 있습니다.

    취약점이 패치되었으며 버전 2.0.6으로 업데이트해야 합니다.

    12. 초월

    Transcend 1.2.0 미만 버전에는 인증되지 않은 함수 주입 취약점이 있습니다.

    취약점이 패치되었으며 버전 1.2.0으로 업데이트해야 합니다.

    13. 풍요로운

    1.1.2 미만의 Affluent 버전에는 인증되지 않은 함수 주입 취약점이 있습니다.

    취약점이 패치되었으며 버전 1.1.2로 업데이트해야 합니다.

    14. 본커

    1.0.6 미만의 Bonkers 버전에는 인증되지 않은 함수 주입 취약점이 있습니다.

    취약점이 패치되었으며 버전 1.0.6으로 업데이트해야 합니다.

    15. 안트레아스

    1.0.7 미만의 Antreas 버전에는 인증되지 않은 함수 주입 취약점이 있습니다.

    취약점이 패치되었으며 버전 1.0.7로 업데이트해야 합니다.

    16. 네이처맥 라이트

    NatureMag Lite의 모든 버전에는 인증되지 않은 함수 주입 취약점이 있습니다.

    보안 수정 사항이 릴리스될 때까지 플러그인을 제거하십시오.

    10월 보안 팁: 이중 인증을 사용해야 하는 이유

    WordPress 웹사이트 사용자 로그인에 2단계 인증을 사용하면 인증 우회 취약점이 있는 이 취약점 라운드업 버전의 플러그인 중 하나를 사용하더라도 웹사이트를 안전하게 유지하는 데 도움이 될 수 있습니다.

    WordPress 웹 사이트 사용자 로그인에 이중 요소 인증을 사용하면 인증 우회 취약점이 있는 플러그인을 사용하는 경우에도 웹 사이트를 안전하게 유지할 수 있습니다.

    왜요? 이중 인증을 사용하면 인증되지 않은 사용자가 웹사이트에 로그인하는 것이 거의 불가능합니다.

    이중 인증이란 무엇입니까 ? 이중 인증은 두 가지 별도의 인증 방법을 요구하여 개인의 신원을 확인하는 프로세스입니다. 이중 인증은 WordPress 보안의 추가 계층을 추가하여 비밀번호에 액세스(또는 추측)한 사람이 아니라 실제로 로그인했는지 확인합니다.

    다음은 2단계 인증을 사용하여 WordPress 로그인에 또 다른 보호 계층을 추가하는 몇 가지 이유입니다.

    • 재사용된 암호는 약한 암호입니다. Verizon Data Breach Investigations Report에 따르면 직원의 70% 이상이 직장에서 비밀번호재사용합니다 . 그러나 보고서에서 가장 중요한 통계는 " 해킹 관련 침해의 81%가 도난당했거나 취약한 암호를 활용했습니다 ."
    • 91%의 사람들이 비밀번호를 재사용하는 것이 잘못된 습관이라는 것을 알고 있지만 놀랍게도 59%의 사람들이 여전히 모든 곳에서 비밀번호를 재사용하고 있습니다!
    • 많은 사람들이 여전히 데이터베이스 덤프에 나타난 암호를 사용하고 있습니다. 데이터베이스 덤프는 해커가 사용자 데이터베이스에 성공적으로 액세스한 다음 온라인 어딘가에 콘텐츠를 덤프할 때 발생합니다. 불행히도 이러한 덤프에는 민감한 로그인 및 계정 정보가 많이 포함되어 있습니다.
    • MEGA에서 호스팅된 "컬렉션 #1" 데이터 침해에는 1,160,253,228개의 고유한 이메일 주소 및 비밀번호 조합이 포함 되었습니다. 이러한 종류의 점수는 무차별 대입 공격에 사용할 10억 개 이상의 자격 증명 세트를 악성 봇에 제공합니다. 무차별 대입 공격은 웹 사이트를 해킹하기 위해 사용자 이름과 암호 조합을 발견하는 데 사용되는 시행착오 방법을 나타냅니다.
    • 강력한 암호를하더라도, 당신은 귀하의 사이트에 다른 모든 관리자로 보안으로입니다. 좋아, 당신은 LastPass와 같은 암호 관리자를 사용하여 각 계정에 대해 강력하고 고유한 암호를 만드는 유형의 사람입니다. 그러나 사이트의 다른 관리자 및 편집자 사용자는 어떻습니까? 공격자가 계정 중 하나를 손상시킬 수 있는 경우에도 웹사이트에 막대한 피해를 줄 수 있습니다.
    • Google은 이중 인증이 자동화된 봇 공격에 대해 100% 효과적 이라고 말했습니다. 그것만으로도 충분히 좋은 이유다.

    iThemes Security Pro로 WordPress 로그인을 보호하기 위해 이중 인증을 추가하는 방법

    iThemes Security Pro 플러그인을 사용하면 WordPress 웹사이트에 이중 인증을 쉽게 추가할 수 있습니다. iThemes Security Pro의 WordPress 2단계 인증을 사용하면 사용자는 비밀번호와 스마트폰이나 태블릿과 같은 모바일 장치로 전송되는 보조 코드를 모두 입력해야 합니다. 사용자 계정에 성공적으로 로그인하려면 비밀번호와 코드가 모두 필요합니다.

    웹사이트에서 이중 인증을 사용하려면 iThemes Security Pro 설정의 메인 페이지에서 이 기능을 활성화하세요.

    이 게시물에서는 Google Authenticator 또는 Authy와 같은 타사 앱을 사용하는 방법을 포함하여 iThemes Security Pro를 사용하여 사이트에 2단계 인증을 추가하는 방법의 모든 단계를 설명합니다.

    작동 방식 보기

    WordPress 보안 플러그인으로 웹사이트 보호

    WordPress 보안 플러그인인 iThemes Security Pro는 일반적인 WordPress 보안 취약성으로부터 웹사이트를 보호하고 보호하는 50가지 이상의 방법을 제공합니다. WordPress, 이중 인증, 무차별 대입 방지, 강력한 암호 적용 등을 사용하여 웹 사이트에 보안 계층을 추가할 수 있습니다.

    iThemes 보안 프로 받기