워드프레스 로그인 회원가입 팝업 플러그인 Login/Signup Popup 보안 업데이트

무료 워드프레스 로그인 회원가입 팝업 플러그인인 Login/Signup Popup이 최신 버전 (현재 1.5)으로 업데이트되면서 제로데이 취약점이 수정되었습니다. 이 플러그인을 사용하는 경우 최신 버전으로 업데이트하여 워드프레스 사이트를 안전하게 운영하시기 바랍니다.

무료 워드프레스 로그인 회원가입 팝업 플러그인 Login/Signup Popup

워드프레스 로그인 회원가입 팝업 플러그인 보안 업데이트

Login/Signup Popup은 페이지를 새로 고치지 않고 심플한 팝업으로 사이트의 원한 곳에서 사용자들이 로그인/회원가입하도록 하는 단순하고 가벼운 플러그인입니다.

이 플러그인은 현재 1만 개 이상 사이트에 설치되어 사용되고 있으며 다음과 같은 기능과 옵션을 제공합니다.

  • 우커머스 (WooCommerce) 지원
  • 완전히 Ajax로 작동
  • 로그인, 회원가입, 비밀번호 분실 (비밀번호 찾기) 양식
  • 숏코드를 사용하여 원하는 페이지에서 로그인하도록 허용할 수 있음
  • 완전히 사용자 정의 가능
  • WPML 호환 (WPML은 워드프레스 사이트를 다국어 사이트로 바꾸어주는 플러그인입니다.)

이와 비슷한 플러그인으로 AJAX Login and Registration modal popup + inline form (무료)이 있습니다.

스크린샷:

워드프레스 로그인 회원가입 팝업 플러그인

Login/Signup Popup 플러그인에서 제로데이 (Zero-day) 취약점 수정됨

Login/Signup Popup에서 제로데이 취약점이 발견되어 1.5 버전에서 수정되었습니다. 권한 체크와 보안 nonce 부족으로 인해 인증된 임의의 사용자가 AJAX API를 통해 자바스크립트 코드를 플러그인의 설정에 주입할 수 있습니다.

타임라인

보안 취약점이 2020년 5월 14일에 플러그인 개발자에게 보고되어 즉시 문제가 수정된 업데이트(버전 1.5)가 릴리즈되었습니다.

권고 사항

버전 1.4 이하를 사용하는 경우 즉시 최신 버전으로 업그레이드하시기 바랍니다. 무료 웹 어플리케이션 방화벽 플러그인인 NinjaFirewall (WP Edition)이나 유료 버전인 NinjaFirewall WP+ Edition을 사용하고 있는 경우에는 이 취약점으로부터 안전하다고 합니다.

참고로 인기 워드프레스 테마나 플러그인에서 보안 취약점이 수정되어 업데이트된 버전이 릴리즈되고 자세한 보안 취약점에 대한 정보가 공개되는 경우 악의적인 공격자(해커)들이 업데이트되지 않은 사이트를 타겟으로 악성코드를 만들어 배포할 수 있으므로 보안 업데이트가 공개될 경우 가급적 빨리 업데이트하는 것이 바람직합니다.

어떤 사정으로 인해 업데이트를 할 수 없는 경우에는 보안 플러그인을 설치하는 등의 조치를 취하고 백업을 받아 놓는 등의 조치를 취할 수 있지만 가능하면 문제가 수정된 버전으로 업데이트하는 것이 좋습니다.

마치며

가능한 경우 워드프레스와 테마, 플러그인을 최신 버전으로 업데이트하고 정기적으로 백업을 해 놓으면 안전하게 워드프레스 블로그나 사이트를 운영할 수 있습니다. 워드프레스 자체는 보안에 강하지만 업데이트를 소홀히 할 경우 보안이 취약해질 수 있습니다.

(워드프레스는 보안 문제가 발견되면 보안 문제가 해결된 업데이트가 신속히 제공되는 편입니다. 보안 문제가 수정된 업데이트가 자주 이루어진다고 해서 보안에 약하다고 주장하는 분들이 간혹 있지만, 업데이트를 제 때 해주면 안전하게 사이트 운영이 가능합니다. 오히려 보안 문제가 발생해도 업데이트를 제공하지 않는 것이 더 문제가 될 것입니다.)

또한, 보안 플러그인을 설치하면 조금 안심할 수 있습니다. 그래도 가능한 한 최신 버전으로 유지하는 한편 강력한 비밀번호를 사용하는 등의 일반적인 보안 관행을 준수하는 것도 중요합니다.

참고:


댓글 남기기