워드프레스 Hide My Site 플러그인 보안 취약점

Last Updated: 2024년 10월 01일 댓글

워드프레스 사이트를 리뉴얼하거나 사이트를 새로 만드는 경우 일반인들이 사이트에 접속하지 못하도록 해야 하는 경우가 있습니다. Hide My Site 플러그인을 사용하면 지정된 비밀번호를 입력해야 워드프레스 사이트에 접속할 수 있게 됩니다.

저는 테스트 사이트를 만드는 경우에 이 플러그인을 설치하여 특정 사용자들만 접속할 수 있도록 하고 있습니다.

다른 방법으로 사이트 공사 중 또는 사이트 유지보수 작업 중이라는 화면을 표시하는 Coming Soon 플러그인을 사용할 수 있습니다.

또 다른 방법으로 로그인 사용자만 사이트에 접속할 수 있도록 Force Login과 같은 플러그인을 설치할 수 있습니다.

워드프레스 Hide My Site 플러그인 보안 취약점 발견

케미클라우드(ChemiCloud)라는 가성비 좋은 해외 호스팅의 워드프레스 관리 페이지에서 Hide My Site 2.2 버전이 보안에 취약(Vulnerable)하다는 경고가 표시되었습니다.

보안 경고가 표시되었지만 이용 가능한 업데이트가 없어서 이 플러그인의 홈페이지를 방문해 보니 Hide My Site가 워드프레스 플러그인 저장소에서 제거된 것을 확인할 수 있었습니다.

이 플러그인은 2024년 8월 20일에 다운로드할 수 없도록 폐쇄되었으며 이 패쇄는 일시적인 것이며 전체 검토를 거쳐 문제가 없을 경우 풀어 줄 것 같습니다.

Wordfence 문서 "Hide My Site <= 2.2 - Unauthenticated Information Exposure"에 의하면 "2.2 버전까지의 모든 버전(2.2 이하 모든 버전)에서 이 문제가 존재하며 비밀번호 보호 기능이 켜져 있어도 플러그인이 REST API 접근을 제한하지 않는다고 합니다. 이 때문에 인증받지 않은 사용자도 사이트에 무단 접근이 가능하게 됩니다."

이 보안 취약점의 CVE와 CVSS 점수는 다음과 같습니다.

  • CVE: CVE-2024-5880
  • CVSS: 4.3 (Medium)

Hide My Site 플러그인이 설치되어 있다면 이 플러그인의 보안 취약점이 해결된 후에 워드프레스 플러그인 저장소에서 다운로드받을 수 있도록 바뀌게 되면 그때 다시 설치하는 것을 고려하시기 바랍니다. 대안으로 Coming Soon (사이트 공사 중/메인터넌스 진행 중) 플러그인이나 Force Login 등과 같은 플러그인을 사용할 수 있습니다.

보안 취약점이 있는 플러그인을 사용하는 경우 보안 취약점을 악용한 멀웨어에 감염되거나 사이트가 해킹될 수 있습니다.

워드프레스 보안 강화를 위한 3가지 방법

워드프레스 자체는 보안에 강하고 보안 취약점이 발견되면 빠른 시일 내에 패치가 배포됩니다. 업데이트를 소홀히 하거나 보안 취약점이 존재하는 플러그인 또는 테마를 사용하는 경우에는 보안에 문제가 발생할 수 있습니다.

  1. 최신 버전으로 업데이트: 워드프레스 코어, 테마, 플러그인을 항상 최신 버전으로 업데이트하고 보안 문제가 있는 테마나 플러그인은 사용하지 않습니다.
  2. 정기적인 백업: 사이트를 정기적으로 백업하여 안전한 곳에 백업본을 보관하면 사이트 에러 시 쉽게 복원할 수 있습니다. 카페24, 패스트코멧, 케미클라우드, 클라우드웨이즈 등의 호스팅에서는 자동 백업/복원 기능을 제공합니다.
  3. 보안 플러그인 설치: 보안 플러그인을 설치하면 보안이 강화될 수 있습니다(선택 사항).
  4. 보안 관행 준수: 강력한 비밀번호를 지정하고 아이디와 비밀번호 정보를 타인과 공유하지 않습니다.

사이트가 악성코드에 감염되면 치료하는 것이 쉽지 않을 수 있으므로 미리 대비하여 안전하게 사이트를 운영하시기 바랍니다.

워드프레스 사이트가 멀웨어에 감염되어 제거에 어려움을 겪거나 기타 워드프레스 또는 웹호스팅 문제 해결이 필요한 경우 여기에서 서비스(유료)를 의뢰하실 수 있습니다.

참고


댓글 남기기

Leave a Comment