WordPress 취약점 정리: 2020년 10월, 2부

게시 됨: 2021-03-10

10월 하반기에 꽤 많은 새로운 WordPress 플러그인 취약점이 공개되었습니다. 이 게시물에서는 최근 WordPress 플러그인, 테마 및 핵심 취약점과 웹사이트에서 취약한 플러그인 또는 테마 중 하나를 실행하는 경우 수행할 작업을 다룹니다.

WordPress Vulnerability Roundup은 WordPress 코어, WordPress 플러그인 및 WordPress 테마의 세 가지 범주로 나뉩니다.

10월 2부 보고서

WordPress 핵심 취약점

WordPress 5.5.2는 10월 29일에 릴리스되었으며 10개의 WordPress 핵심 보안 수정 사항이 포함되었습니다.

다음은 WordPress 5.5.2 릴리스 게시물에 언급된 보안 수정 사항 목록입니다.

강화된 역직렬화 요청.
다중 사이트 네트워크에서 비활성화된 사이트에서 스팸 포함을 비활성화하도록 수정합니다 .
전역 변수에서 XSS로 이어질 수 있는 보안 문제를 수정했습니다.
XML-RPC에서 권한 상승 문제를 수정했습니다.
XML-RPC를 통한 게시물 댓글 관련 권한 상승 문제를 수정했습니다.
DoS 공격이 RCE로 이어질 수 있는 보안 문제를 수정했습니다.
포스트 슬러그에 XSS를 저장하는 방법을 제거했습니다.
임의의 파일 삭제로 이어질 수 있는 보호된 메타를 우회하는 방법을 제거했습니다.
CSRF로 이어질 수 있는 방법을 제거했습니다.

취약점이 패치되었으므로 WordPress를 버전 5.5.2로 업데이트하십시오.

WordPress 플러그인 취약점

1. 라이브 채팅 – 라이브 지원

라이브 채팅 – 3.2.0 미만의 라이브 지원 버전에는 Cross-Site Request Forgery 취약점이 있습니다.

취약점이 패치되었으며 버전 3.2.0으로 업데이트해야 합니다.

2. 빠른 채팅

모든 버전의 Quick Chat에는 인증되지 않은 저장된 교차 사이트 스크립팅 취약점이 있습니다.

보안 수정 사항이 릴리스될 때까지 플러그인을 제거하십시오.

3. Orbisius의 어린이 테마 작성자

Orbisius의 Child Theme Creator 1.5.2 이하 버전에는 CSRF to Arbitrary File Modification/Creation 취약점이 있습니다.

취약점이 패치되었으며 버전 1.5.2로 업데이트해야 합니다.

4. 레알리아

Realia의 모든 버전에는 임의의 삭제 후 취약점으로 이어지는 인증되지 않은 IDOR이 있습니다.

보안 수정 사항이 릴리스될 때까지 플러그인을 제거하십시오.

5. 댓글 프레스

댓글 보도 자료 2.7.2 이하 버전에는 인증되지 않은 크로스 프레임 스크립팅 취약점이 있습니다.

취약점이 패치되었으며 버전 2.7.2로 업데이트해야 합니다.

6. WordPress용 Super Store Finder

WordPress용 Super Store Finder 버전 6.2 미만에는 인증되지 않은 임의 파일 업로드 취약점이 있습니다.

취약점이 패치되었으며 버전 6.2로 업데이트해야 합니다.

7. WordPress용 슈퍼 인터랙티브 지도

2.0 미만 버전의 WordPress용 Super Interactive Maps에는 인증되지 않은 임의 파일 업로드 취약점이 있습니다.

취약점이 패치되었으며 버전 2.0으로 업데이트해야 합니다.

8. WordPress용 슈퍼 로고 쇼케이스

워드프레스 2.3 이하 버전용 슈퍼 로고 쇼케이스에는 인증되지 않은 임의 파일 업로드 취약점이 있습니다.

취약점이 패치되었으며 버전 2.3으로 업데이트해야 합니다.

9. 간단한 다운로드 모니터

3.8.9 미만의 단순 다운로드 모니터 버전에는 인증되지 않은 교차 사이트 스크립팅 및 SQL 주입 취약점이 있습니다.

취약점이 패치되었으며 버전 3.8.9로 업데이트해야 합니다.

10. 로지나이저

1.6.4 미만의 Loginizer 버전에는 인증되지 않은 SQL 주입 취약점이 있습니다.

취약점이 패치되었으며 버전 1.6.4로 업데이트해야 합니다.

11. Helios Solutions 브랜드 로고 슬라이더

모든 버전의 Helios Solutions 브랜드 로고 슬라이더에는 인증된 임의 파일 업로드 취약점이 있습니다.

보안 수정 사항이 릴리스될 때까지 플러그인을 제거하십시오.

12. CM 다운로드 관리자

2.8.0 미만의 CM Download Manager 버전에는 인증된 Cross-Site Scripting 취약점이 있습니다.

취약점이 패치되었으며 버전 2.8.0으로 업데이트해야 합니다.

13. 사전 예약 캘린더

1.6.2 미만의 Advanced Booking Calendar 버전에는 인증되지 않은 SQL 주입 취약점이 있습니다.

취약점이 패치되었으며 버전 1.6.2로 업데이트해야 합니다.

WordPress 테마 취약점

10월 하반기에 보고된 WordPress 테마 취약점은 없습니다.

10월 보안 팁: 웹사이트 보안 활동을 기록해야 하는 이유

보안 로깅은 WordPress 보안 전략의 필수적인 부분이어야 합니다. 왜요?

불충분한 로깅 및 모니터링으로 인해 보안 침해 탐지가 지연될 수 있습니다. 대부분의 침해 연구에 따르면 침해를 감지하는 데 걸리는 시간이 200일 이상입니다!

그 시간 동안 공격자는 다른 시스템을 침해하고 더 많은 데이터를 수정, 훔치거나 파괴할 수 있습니다. 이러한 이유로 "불충분한 로깅"은 웹 애플리케이션 보안 위험의 OWASP 상위 10위 안에 들었습니다.

WordPress 보안 로그는 전반적인 보안 전략에서 다음과 같은 여러 이점을 제공합니다.

악의적인 행동을 식별하고 중지합니다.
위반을 경고할 수 있는 활동을 찾습니다.
얼마나 많은 피해가 발생했는지 평가하십시오.
해킹된 사이트 복구를 지원합니다.

사이트가 해킹된 경우 빠른 조사 및 복구에 도움이 되는 최상의 정보가 필요합니다.

좋은 소식은 iThemes Security Pro가 웹사이트 로깅을 구현하는 데 도움이 될 수 있다는 것입니다. iThemes Security Pro의 WordPress 보안 로그는 다음과 같은 모든 웹사이트 활동을 추적합니다.

WordPress 무차별 대입 공격
파일 변경 사항
맬웨어 검사
사용자 활동

로그의 통계는 WordPress 관리 대시보드에서 볼 수 있는 실시간 WordPress 보안 대시보드에 표시됩니다.

iThemes Security Pro를 사용하여 웹사이트에 WordPress 보안 로그를 추가하는 모든 단계를 풀고 있는 이 기능 스포트라이트 게시물을 확인하세요.

작동 방식 보기

WordPress 보안 플러그인으로 웹사이트 보호

WordPress 보안 플러그인인 iThemes Security Pro는 일반적인 WordPress 보안 취약성으로부터 웹사이트를 보호하고 보호하는 50가지 이상의 방법을 제공합니다. WordPress, 이중 인증, 무차별 대입 방지, 강력한 암호 적용 등을 사용하여 웹 사이트에 보안 계층을 추가할 수 있습니다.

iThemes 보안 프로 받기

마이클 무어

Michael은 매주 WordPress 취약점 보고서를 작성하여 사이트를 안전하게 보호합니다. iThemes의 제품 관리자로서 그는 iThemes 제품 라인업을 지속적으로 개선하는 데 도움을 줍니다. 그는 거대한 괴짜이며 기술, 오래된 및 새로운 모든 것에 대해 배우는 것을 좋아합니다. 마이클이 아내와 딸과 어울리고, 일하지 않을 때는 책을 읽거나 음악을 듣는 것을 볼 수 있습니다.