워드프레스 Clearfy 플러그인 보안 취약점

Last Updated: 2024년 07월 23일 댓글

Clearfy는 Autoptimize와 비슷한 워드프레스 최적화 플러그인입니다. 이 블로그에는 현재 Clearfy 플러그인이 사용되고 있습니다. Clearfy 플러그인에 보안 취약점이 발견되어 두 차례 정도 업데이트가 있었지만 아직도 해당 취약점이 수정이 안 되고 있습니다. 그리 심각한 취약점은 아니지만, Clearfy를 이용하고 있다면 사이트를 백업하여 백업본을 PC에 보관하거나 플러그인을 당분간 삭제하는 것을 고려하시기 바랍니다.

워드프레스 Clearfy 플러그인 보안 취약점

워드프레스 사이트 속도가 느리다면 캐시 플러그인과 함께 Clearfy와 같은 최적화 플러그인을 설치하여 세팅하면 속도가 크게 향상될 수 있습니다. Clearfy나 Autoptimize와 같은 플러그인을 사용할 때에는 캐시 플러그인 등과 중복이 되지 않도록 주의를 기울여 설정해야 합니다.

Clearfy가 지난 5월부터 크로스 사이트 요청 변조(CSRF)에 취약한 보안 문제가 발견되어 두 차례 업데이트가 공개되었지만 아직 수정이 안 되고 있습니다.

Wordfence에 의하면 nonce 유효성 검사가 누락되었거나 잘못되어 Cross-Site Request Forgery(사이트 간 요청 변조)에 취약하다고 설명하고 있습니다.

이 취약점으로 인해 인증되지 않은 공격자들이 웹사이트에서 허가되지 않은 작업을 수행할 수 있습니다. 공격자들은 사이트 관리자가 악성 링크를 클릭하는 등의 행동을 하도록 속일 수 있는 경우에 변조된 요청(forged request)을 만들어 수행할 수 있다고 합니다.

워드펜스는 이 사안의 위험도(CVSS)를 4.3 중등급 정도로 평가하고 있습니다.

Patchstack에서는 이 보안 취약점에 대하여 심각도가 낮은 편이고 악용될 가능성이 낮다고 설명하고 있습니다.

이 취약점은 2.2.1에서 발견되었으며 현재 최신 버전은 2.2.3입니다. 플러그인은 6일 전에 업데이트되었고, 현재 최신 버전인 2.2.3에서도 CSRF 취약점이 수정되지 않았습니다.

사용자들은 이 취약점에 대하여 우려를 표시하고 있지만 Clearfy 개발자는 약 일주일 전에 업데이트를 내놓은 이후 별다른 반응을 보이지 않고 있습니다.


Patchstack에서 밝히고 있듯이 이 플러그인이 2.2.3 버전으로 최근 업데이트가 된 후에도 아쉽게도 문제가 지속되고 있습니다.

https://wordpress.org/support/topic/vulnerability-cross-site-request-forgery-csrf-in-clearfy-cache-2-2-1/

저는 Clearfy 유료 버전을 사용하고 있어서 개발자에게 메일을 보내어 플러그인 업데이트가 곧 나올 것인지, 아니면 플러그인을 삭제해야 하는지에 대하여 문의했지만 답변을 듣지 못했습니다.

저는 다른 사이트에서는 Clearfy를 모두 삭제하고 이 사이트에서만 유지하고 있습니다. 만약의 사태에 대비하여 전체 백업을 받아 놓았습니다.

플러그인 개발자는 이 사안을 그다지 심각하지 않은 것으로 인식하고 있는 것 같습니다. 만약 심각한 보안 문제가 발견된다면 WordPress.org에서 플러그인 개발자에게 수정을 요청하고, 일정 기간이 지나도 취약점을 해결하는 업데이트가 이루어지지 않으면 플러그인 저장소에서 제거될 수 있습니다.

보안 문제가 우려된다면 당분간 이 플러그인을 삭제하는 것을 고려하시기 바랍니다.

보안 강화 조치

다음과 같은 조치가 보안 강화에 도움이 될 수 있습니다.

  1. 워드프레스 코어, 테마, 플러그인을 최신 버전으로 업데이트
  2. 정기적인 백업
  3. 보안 플러그인

그리고 하나의 서버에 여러 개의 사이트를 운영하는 경우 한 사이트가 멀웨어에 감염되면 다른 사이트에도 영향을 미칠 수 있습니다.

클라우드웨이즈의 경우 보안에 취약한 워드프레스 버전이나 플러그인이 설치되어 있으면 보안 경고 알림 메일이 전송됩니다.

문제를 해결하지 않으면 사이트 접속이 차단될 수 있습니다. 이를 통해 사이트가 안전하게 운영될 수 있도록 지원합니다.

멀웨어에 감염되는 사이트들은 대부분 오랫동안 업데이트를 하지 않아서 문제가 발생합니다. 업데이트를 적시에 하고 백업을 정기적으로 하고, 강력한 비밀번호를 사용하는 등 보안 관행을 준수하면 사이트를 안전하게 관리할 수 있습니다.

악성코드 감염, 워드프레스 사이트 해킹 등을 비롯하여 워드프레스 또는 웹호스팅 관련 문제로 어려움을 겪는 경우 여기에서 서비스(유료)를 의뢰하실 수 있습니다.

참고


댓글 남기기

Leave a Comment

카카오톡 상담 카톡 서비스 상담