워드프레스 로그인 회원가입 팝업 플러그인 Login/Signup Popup 보안 업데이트

  • 네이버 블로그 공유하기
  • 네이버 밴드에 공유하기
  • 페이스북 공유하기
  • 트위터 공유하기
  • 카카오스토리 공유하기

무료 워드프레스 로그인 회원가입 팝업 플러그인인 Login/Signup Popup이 최신 버전 (현재 1.5)으로 업데이트되면서 제로데이 취약점이 수정되었습니다. 이 플러그인을 사용하는 경우 최신 버전으로 업데이트하여 워드프레스 사이트를 안전하게 운영하시기 바랍니다.

무료 워드프레스 로그인 회원가입 팝업 플러그인 Login/Signup Popup

워드프레스 로그인 회원가입 팝업 플러그인 보안 업데이트

Login/Signup Popup은 페이지를 새로 고치지 않고 심플한 팝업으로 사이트의 원한 곳에서 사용자들이 로그인/회원가입하도록 하는 단순하고 가벼운 플러그인입니다.

이 플러그인은 현재 1만 개 이상 사이트에 설치되어 사용되고 있으며 다음과 같은 기능과 옵션을 제공합니다.

  • 우커머스 (WooCommerce) 지원
  • 완전히 Ajax로 작동
  • 로그인, 회원가입, 비밀번호 분실 (비밀번호 찾기) 양식
  • 숏코드를 사용하여 원하는 페이지에서 로그인하도록 허용할 수 있음
  • 완전히 사용자 정의 가능
  • WPML 호환 (WPML은 워드프레스 사이트를 다국어 사이트로 바꾸어주는 플러그인입니다.)

이와 비슷한 플러그인으로 AJAX Login and Registration modal popup + inline form (무료)이 있습니다.

스크린샷:

워드프레스 로그인 회원가입 팝업 플러그인

Login/Signup Popup 플러그인에서 제로데이 (Zero-day) 취약점 수정됨

Login/Signup Popup에서 제로데이 취약점이 발견되어 1.5 버전에서 수정되었습니다. 권한 체크와 보안 nonce 부족으로 인해 인증된 임의의 사용자가 AJAX API를 통해 자바스크립트 코드를 플러그인의 설정에 주입할 수 있습니다.

타임라인

보안 취약점이 2020년 5월 14일에 플러그인 개발자에게 보고되어 즉시 문제가 수정된 업데이트(버전 1.5)가 릴리즈되었습니다.

권고 사항

버전 1.4 이하를 사용하는 경우 즉시 최신 버전으로 업그레이드하시기 바랍니다. 무료 웹 어플리케이션 방화벽 플러그인인 NinjaFirewall (WP Edition)이나 유료 버전인 NinjaFirewall WP+ Edition을 사용하고 있는 경우에는 이 취약점으로부터 안전하다고 합니다.

참고로 인기 워드프레스 테마나 플러그인에서 보안 취약점이 수정되어 업데이트된 버전이 릴리즈되고 자세한 보안 취약점에 대한 정보가 공개되는 경우 악의적인 공격자(해커)들이 업데이트되지 않은 사이트를 타겟으로 악성코드를 만들어 배포할 수 있으므로 보안 업데이트가 공개될 경우 가급적 빨리 업데이트하는 것이 바람직합니다.

어떤 사정으로 인해 업데이트를 할 수 없는 경우에는 보안 플러그인을 설치하는 등의 조치를 취하고 백업을 받아 놓는 등의 조치를 취할 수 있지만 가능하면 문제가 수정된 버전으로 업데이트하는 것이 좋습니다.

마치며

가능한 경우 워드프레스와 테마, 플러그인을 최신 버전으로 업데이트하고 정기적으로 백업을 해 놓으면 안전하게 워드프레스 블로그나 사이트를 운영할 수 있습니다. 워드프레스 자체는 보안에 강하지만 업데이트를 소홀히 할 경우 보안이 취약해질 수 있습니다.

(워드프레스는 보안 문제가 발견되면 보안 문제가 해결된 업데이트가 신속히 제공되는 편입니다. 보안 문제가 수정된 업데이트가 자주 이루어진다고 해서 보안에 약하다고 주장하는 분들이 간혹 있지만, 업데이트를 제 때 해주면 안전하게 사이트 운영이 가능합니다. 오히려 보안 문제가 발생해도 업데이트를 제공하지 않는 것이 더 문제가 될 것입니다.)

또한, 보안 플러그인을 설치하면 조금 안심할 수 있습니다. 그래도 가능한 한 최신 버전으로 유지하는 한편 강력한 비밀번호를 사용하는 등의 일반적인 보안 관행을 준수하는 것도 중요합니다.

참고:



2 개 댓글

  1. 정말 워드프레스에 대해 아주 전문적인 글들이 취합되어 있네요
    한가지여쭤보고 싶어서요.
    워드프레스 닷홈에서 무료 설치형 쓰고 있는데요.
    예전에는 플러그인 다운 받았었던것 같은데 지금은 업그레이드를 해야하는것 같더라구요. 도메인도 호스팅도 돈들어간게 없는데.. 그래서인지..
    혹시 무료 워드프레스에 seo 플러그인 설치할수 있는 방법 있을까요?

    응답
    • 안녕하세요, 마가목님.

      워드프레스닷컴 (WordPress.com)에서 가입하여 사용하는 가입형 워드프레스의 경우 비즈니스 요금제 이상에서만 외부 플러그인과 외부 테마를 설치할 수 있습니다.

      가입형 워드프레스의 프리미엄 플랜과 비즈니스 플랜에 대한 다음 글을 참고해보세요:

      https://everynews.kr/2019/01/20/%EC%9B%8C%EB%93%9C%ED%94%84%EB%A0%88%EC%8A%A4-%EA%B0%80%EC%9E%85%ED%98%95-%ED%94%84%EB%A6%AC%EB%AF%B8%EC%97%84-vs-%EB%B9%84%EC%A6%88%EB%8B%88%EC%8A%A4-%EC%9A%94%EA%B8%88%EC%A0%9C/

      SEO 플러그인을 설치하려면 비즈니스 요금제로 업그레이드하거나 설치형 워드프레스를 사용하시기 바랍니다. 워드프레스의 모든 기능을 활용하려면 설치형이 더 좋은 옵션일 수 있습니다. '워드프레스 블로그 시작하기' 글을 참고하여 적합한 옵션을 선택하시기 바랍니다.

      https://www.thewordcracker.com/basic/how-to-start-wordpress/

      응답