워드프레스 아바다 테마와 Elementor 페이지 빌더 보안 업데이트

4 Comments

워드프레스 베스트셀링 테마인 아바다 테마와 워드프레스 인기 플러그인인 Elementor 페이지 빌더가 최신 버전에서 보안 취약점이 수정되었습니다. 아바다 테마나 Elementor 페이지 빌더를 사용하는 경우 최신 버전으로 업데이트하여 안전하게 워드프레스 사이트를 운영하시기 바랍니다.

워드프레스 아바다 (Avada) 테마 보안 업데이트

워드프레스 아바다 테마 보안 취약점 수정

Avada는 약 60만 개 사이트에서 사용되고 있는 인기 워드프레스 테마입니다. 아바다 테마 버전 6.2.2 이하에서 몇 가지 보안 취약점이 발견되어 버전 6.2.3에서 수정되었습니다.

For the release of Avada 6.2.3 we have fixed a XSS security issue pertaining to Avada versions 6.2.2 and below. The fix is to prevent XSS attacks from a user with a registered contributor role, which would allow them to edit, delete or create posts that don’t belong to their user role...

아바다 6.2.3 릴리즈에서는 아바다 버전 6.2.2 이하에서 발견된 XSS 보안 문제가 수정되었습니다. 등록된 외부 필진(Contributor) 회원들이 자신들의 역할에 해당하지 않는 글을 편집, 삭제 또는 생성할 수 있는 XSS 공격을 방지하도록 수정이 되었습니다.

아바다 테마 개발자는 테마를 최신 버전으로 업데이트할 것을 권고하고 있습니다. 그리고 Fusion Patcher 툴을 통해 제공되는 업데이트에서는 전체 테마를 업데이트할 필요 없이 문제 수정과 기능 개선 사항이 제공되므로 수시로 살펴보는 것이 좋습니다.

Fusion Patcher 툴은 워드프레스 알림판 > Avada > Fusion Patcher를 클릭하여 접근할 수 있습니다. 아바다 버전 6.2.3으로 업데이트하니 아래와 같이 현재는 패치가 없다고 표시되네요. 패치가 나오면 곧바로 적용하여 항상 최신 상태로 유지하시기 바랍니다.

워드프레스 아바다 테마 Fusion Patcher

Elementor 페이지 빌더에서 SVG Sanitizer Bypass & Authenticated Stored XSS 취약점 수정

워드프레스 Elementor 페이지 빌더 보안 취약점 수정 - 보안 업데이트

Elementor는 현재 400만 개 이상 사이트에 설치되어 사용되고 있는 인기 워드프레스 페이지 빌더 플러그인입니다. Elementor에서도 보안 취약점이 발견되어 최신 버전에서 수정되었습니다.

엘리멘터 2.9.8 버전에서 SVG Sanitizer Bypass 취약점이 수정되었습니다. Elementor에는 SVG 업데이트를 허용하는 옵션이 있습니다. 이 기능은 “Settings > Advanced” 탭에서 활성화할 수 있습니다.

워드프레스에서 미디어 라이브러리에 파일을 업로드하려면 사용자가 반드시 upload_files 권한이 있어야 합니다. 작성자(글쓴이) 역할의 사용자는 그러한 권한이 있습니다. 작성자(Author)는 파일을 업로드하고 자신의 글을 편집할 수 있지만 자바스크립트 코드와 다양한 HTML 태그와 같은 잠재적으로 위험한 요소를 포스트에 삽입하는 것이 허용되지 않습니다. 그러나 SVG 업로드를 활성화하면 (이전 버전에서) 작성자가 이러한 제한을 우회할 수 있었습니다.

그리고 엘리멘터 프로 (Elementor Pro) 2.9.4 이전 버전에서 Authenticated Arbitrary File Upload (0-day, 악용될 경우) 문제가 발견되어 2.9.4 버전에서 수정되었습니다.

Elementor 페이지 빌더를 사용하는 경우 반드시 최신 버전으로 업데이트하시기 바랍니다.

마치며

인기 테마나 플러그인에서 보안 취약점이 발견되어 업데이트되는 경우 최신 버전으로 업데이트되지 않은 워드프레스 사이트를 노리는 멀웨어가 등장할 수 있습니다. 아바다와 Elementor는 특히 많은 사이트에 설치되어 사용되는 유명한 테마와 플러그인이므로 가급적 빨리 최신 버전으로 업데이트하는 것이 안전합니다.

워드프레스 사이트를 안전하기 운영하기 위해 1) 정기적으로 백업하여 PC나 클라우드에 저장하고, 2) 가급적 최신 버전으로 워드프레스, 테마, 플러그인을 업데이트하시기 바랍니다. 그리고 Wordfence나 iThemes Security와 같은 보안 플러그인을 설치하면 보안 강화에 도움이 될 수 있습니다.

참고

일부 글에 제휴 링크가 포함될 수 있으며 파트너스 활동으로 일정액의 수수료를 받을 수 있습니다.

4개 댓글

  1. 항상 답변해주셔서 감사합니다.
    작성하신 글과는 관련이 없지만 궁금한내용이 있습니다.
    현재 제가 만든 사이트 문제점있습니다.

    문)사이트 방문버튼을 클릭하거나 주소창에 입력해서 들어가면 화면 위에 워드프레스 마크와 사용자정의하기, 페이지편집 같은 '편집 바'가 나옵니다.
    원래 그런 것인지 궁금합니다.

    1. 워드프레스 주소와 사이트주소를 변경한 적이 없습니다만, 두 주소는 원래 같은 것인가요? 인터넷에 변경방법이 많이 있어 보고 따라하면 설정이 되지 않습니다...

    2. 왜 그런지는 모르겠지만 파일질라 또는 어드밴스에 들어가서 파일을 보면 wp폴더가 아닌 public ftp폴더가 있는데요. 상관없는가요?

    두서없이 작성해서 죄송합니다.

    응답

    1. 로그인했을 때 상단에 툴바가 표시되는 것은 정상입니다.
      툴바가 보기 싫은 경우 플러그인을 사용하여 숨길 수 있습니다.

      다음 글을 참고하여 대시보드를 숨겨보시기 바랍니다.
      https://www.thewordcracker.com/basic/how-to-hide-dashboard-from-non-admin-users-in-wordpress/

      1. 워드프레스 주소와 워드프레스 파일이 설치된 경로의 주소가 일치하면 동일합니다. 보통은 동일하게 설정하면 되고, 워드프레스를 /wp 또는 /wordpress와 같이 하위 폴더에 설치하는 경우에는 달리 설정해야 합니다.

      2. 사용하는 호스팅이 어디인가요? 블루호스트나 사이트그라운드 등의 호스팅에서는 public_html 폴더 아래에 워드프레스 설치 파일이 있고, 카페24는 아마 www 폴더 아래에 워드프레스 설치 파일이 있을 것입니다. 이러한 폴더 바깥에 있는 폴더는 건드리지 않는 것이 안전합니다.

      응답

      1. 답변이 늦었습니다.
        알려주셔서 감사합니다. 대시보드 문제는 해결됐습니다.
        운영자님의 링크를통해 할인된 금액으로 구매했습니다. 블루호스트입니다. 블루호스트라서 퍼블릭파일이군요.
        앞으로 작성해주신 글 보면서 구축하겠습니다.
        시간되시면 사이트 방문해주세요 ㅎ
        궁금한사항있으면 또 질문해도 될까요?

      2. 감사합니다~

        질문은 언제든지 환영합니다. 부담 없이 질문을 올려주세요.

        참고로 1) 블루호스트에서 자동으로 설치하는 플러그인(MonsterInsight, JetPack, Opt-in Monster... )은 무거울 수 있으므로 비활성화하는 것을 고려해볼 수 있습니다. 2) GeneratePress, Astra, OcenaWP (모두 무료/유료 버전이 있음) 등과 같이 가벼운 테마를 사용하면 속도가 비교적 괜찮게 나올 것입니다. 이외에 캐시 플러그인, 최적화 플러그인 등을 설치하여 사이트 속도를 최적화할 수 있습니다.

댓글 남기기

* 이메일 정보는 공개되지 않습니다.