워드프레스 4.7.3 업데이트가 릴리스되었습니다
워드프레스가 4.7.3으로 업데이트되었습니다. 이번 업데이트에서는 워드프레스 4.7.2 이전 버전에 영향을 미치는 6가지 보안 업데이트 문제가 해결되었다고 합니다. 4.7.2나 이전 버전이 설치되어 있다면 반드시 업데이트하시기 바랍니다.
이번 버전에서 문제가 해결된 보안 문제 목록:
- 미디어 파일 메타데이터를 통한 XSS(Cross-site scripting: 교차 사이트 스크립팅)
- 컨트롤 문자가 Redirect URL 유효성 검사를 속일 수 있는 문제
- 플러그인 삭제 기능을 사용하여 의도하지 않은 파일이 삭제될 수 있는 문제
- YouTube 삽입 시 비디오 URL을 통한 XSS(교차 사이트 스크립팅)
- 분류 용어 이름을 통한 XSS 문제
- 과도한 서버 리소스 사용을 야기할 수 있는 CSRF(Cross-site request forgery: 교차 사이트 요청 위조)
위의 보안 취약점 문제 이외에도 워드프레스 4.7.3에서는 39가지 Maintenance 수정이 이루어졌습니다. 자세한 내용은 WordPress Codex 페이지를 참고해보시기 바랍니다.
가끔 워드프레스 사이트 업데이트를 소홀히 하다가 사이트가 해킹당하거나 멀웨어에 감염되는 사례를 목격하기도 합니다. 특히 멀웨어에 감염될 경우 구글 검색 엔진에서 차단당하고 구글 크롬에 "다음 사이트에 멀웨어가 있습니다" 경고가 표시되어 막대한 피해를 입게 됩니다.
물론 해커가 마음먹고 해킹한다면 당할 도리가 없겠지만, 항상 최신 버전으로 유지하면 봇을 통한 자동 해킹 시도를 막는 데 중요한 역할을 합니다.
참고로 워드프레스 4.7.2 버전에서는 PHP 7.1이 제대로 작동하지 않았지만 워드프레스 4.7.3에서는 PHP 7.1이 제대로 작동하는 것을 확인할 수 있었습니다. 요즘은 PHP 7이 대세인 것 같습니다. 이 블로그가 호스팅되고 있는 Bluehost에서도 이제 PHP 7.0/PHP 7.1을 적용할 수 있습니다(참고).
현재 이 블로그는 PHP 7.0이 적용되어 있는데, PHP 7.1을 적용하니 일부 플러그인, 특히 W3 Total Cache가 문제를 일으키네요. 구글 검색을 해 보니 W3 Total Cache에서 이 문제가 발생한다는 글이 있네요.
