워드프레스 랜딩 페이지 플러그인 WP Lead Plus X 보안 취약점 일부 수정

Last Updated: 2023년 07월 17일 | 댓글 남기기

WP Lead Plus X는 랜딩 페이지와 스퀴즈 페이지를 무제한 생성할 수 있는 워드프레스 플러그인으로 현재 7만 개 이상 사이트에 설치되어 사용되고 있습니다. 이 워드프레스 랜딩 페이지 플러그인에 심각한 보안 취약점이 발견되었지만 일부만 패치되고 완전히 패치되지 않았다고 합니다. 이 플러그인을 사용하는 경우 즉시 최신 버전으로 업데이트하고, 가능한 경우 완전한 패치가 나올 때까지 이 플러그인을 비활성화하고 삭제할 것을 권장합니다.

워드프레스 랜딩 페이지 플러그인 WP Lead Plus X

워드프레스 랜딩 페이지 플러그인 WP Lead Plus X 보안 취약점 일부 수정 2

WP Lead Plus X는 코딩 지식이 없이 무료로 무제한 랜딩 페이지와 스퀴즈 페이지를 만들 수 있는 워드프레스 플러그입니다.

스퀴즈 페이지(Squeeze Page)라는 용어는 처음 접하는데요. 스퀴즈 페이지는 홈페이지 방문자로부터 이메일 주소를 '짜내는 데(squeezing)' 초점을 둔 랜딩 페이지의 일종이라고 합니다.

A squeeze page is a particular kind of landing page that is singularly focused on squeeeeezing an email address (and perhaps a first name) out of a website visitor.

참고로 방문자로부터 이메일 주소와 방문자 이름을 효과적으로 받으려는 경우 Divi 테마를 만든 Elegant Themes의 Bloom과 같은 뉴스레터 운영을 위해 이메일 주소를 수집하는 플러그인을 사용할 수 있습니다. Divi 테마 라이선스가 있는 경우 Bloom 플러그인을 다운로드하여 설치할 수 있습니다("워드프레스 메일링 리스트 가입 폼 플러그인 Bloom" 참고).

사이트 공사 중 또는 리뉴얼 중임을 나타내는 랜딩 페이지를 만들고 싶은 경우 Coming Soon Page & Maintenance Mode by SeedProd와 같은 Coming Soon 플러그인을 사용하면 방문자들에게 사이트가 공사 중(또는 리뉴얼 중)임을 알릴 수 있고, 관리자나 회원으로 로그인하면 제작 중인 사이트에 접근이 가능합니다. "공사 중/사이트 준비 중/유지보수 알림 플러그인"을 참고해보세요.

WP Lead Plus X 사용 방법은 WP Lead Plus X 튜토리얼 동영상을 참고해보세요.

WP Lead Plus X 플러그인에서 심각한 취약점이 보고되었지만 완전히 수정되지 않음

2020년 3월 3일, 워드프레스 보안 플러그인으로 유명한 Wordfence의 Threat intelligence team이 WP Lead Plus X에서 몇 가지 취약점을 발견하였습니다. 이러한 취약점을 최소한의 권한(예: 구독자 회원)으로 인증된 공격자가 사이트의 아무 페이지를 악성 JavaScript, 홈페이지 변조(Defacement), 리다이렉트가 포함된 페이지로 바꿀 수 있습니다. 또한, 인증되지 않은 공격자가 이 플러그인의 프리미엄 버전을 실행하는 관리자에 의해 사용되는 경우 해당 관리자 브라우저에서 악의적인 자바스크립트를 실행하여 사이트를 탈취할 수 있는 악의적인 페이지 템플릿을 업로드할 수도 있습니다.

3월 4일, Wordfence는 플러그인 개발자에게 연락을 시도했고 3월 12일 비공개로 취약점에 대한 완전한 정보를 전송했다고 합니다. 3월 15일 플러그인 개발자가 권한 체크 기능이 포함된 예비 패치를 공개했지만, 다음날 해당 패치에도 불구하고 CSRF(크로스 사이트 요청 변조)에 여전히 취약하다는 사실을 통보했고 플러그인 개발자는 곧 보다 완전한 패치가 공개될 것이라고 알려왔다고 합니다. 그러나 3주가 더 지나도 아직 완전한 패치는 릴리즈되지 않았습니다.

워드펜스는 이 플러그인이 사이트 기능에 필수적인 경우 비록 일부 보안 문제만 패치되었지만 즉시 0.99 버전 이상으로 업데이트하고, 가능한 경우 완전한 패치가 적용된 버전이 나올 때까지 이 플러그인을 제거할 것을 권고하고 있습니다.

워드프레스 보안

워드프레스는 보안에 강하지만 보안 결함이 있는 테마나 플러그인을 사용하거나 보안 취약점이 있는 워드프레스 버전을 사용할 경우 보안 문제가 발생할 수 있습니다.

가급적이면 워드프레스 코어, 테마, 플러그인을 최신 버전으로 업데이트하고, 보안 취약점이 보고된 플러그인은 최신 버전으로 업데이트하거나 취약점이 패치되지 않은 플러그인은 제거하는 것이 안전합니다. 그리고 오랫동안 업데이트되지 않고 방치되는 플러그인은 가급적 사용하지 말고, 비슷한 기능의 다른 플러그인을 사용하시기 바랍니다. 오랫동안 업데이트가 되지 않으면 보안 문제가 있을 수 있고 최신 워드프레스 버전과 PHP 버전과 호환되지 않을 수도 있습니다.

참고로 WordPress.org 저장소에 등록된 플러그인에 보안 취약점이 발견되면, 먼저 플러그인 개발자에게 비공개로 취약점이 통지됩니다. 그러면 플러그인 개발자가 취약점을 수정한 업데이트를 내놓게 됩니다. (취약점을 수정하지 않고 취약점이 심각한 경우 패치가 나올 때까지 워드프레스 저장소에서 플러그인이 삭제됩니다.) 이후에 취약점 수정 사실이 공개됩니다. 특히 많은 사용자가 설치하여 사용하는 인기 플러그인의 경우 보안 업데이트 후에 업데이트를 하지 않은 사이트를 대상으로 한 악성코드(멀웨어)를 만들어 배포할 수 있으므로 최신 버전으로 업데이트하는 것이 안전합니다.

정기적으로 백업본을 만들어 PC나 클라우드 스토리지에 보관하는 것이 좋습니다. 백업본이 있으면 사이트에 문제가 발생하더라도 쉽게 복원이 가능합니다. 웹호스팅 서버에 공간이 충분한 경우 플러그인을 사용하면 쉽게 백업본을 만들 수 있습니다.

참고:


댓글 남기기

Leave a Comment