인기 워드프레스 플러그인 중 하나인 Ocean Extra에서 비인증 공격자가 일부 워드프레스 설정을 변경하고 CSS 코드를 주입하도록 허용할 수 있는 설정 변경 및 CSS 주입 취약점이 발견되어 1.5.9 버전에서 문제가 수정되었습니다.
Ocean Extra에서 취약점 수정됨
이 플러그인을 사용하는 경우 즉시 최신 버전으로 업데이트하시기 바랍니다. Ocean Extra는 유명한 OceanWP 테마에 추가 기능을 제공하는 플러그인으로 현재 40만 개 이상의 사이트에 설치되어 활성화되어 있습니다.
이번에 발견된 취약점은 1.5.8 이하 버전에 존재하며 취약점이 있는 코드는 includes/wizard/wizard.php 스크립트에 위치하고 있습니다.
add_action('admin_init', array($this, 'ocean_wizard_setup'), 99);몇 달 전에도 무단 사용자(비인증 사용자)가 admin_init를 트리거할 수 있는 제로데이 취약점이 워드프레스 Easy WP SMTP 플러그인에서 발견되어 패치된 적이 있습니다.
OceanWP는 다목적 테마이면서 가볍고 빠른 워드프레스 테마로서 현재까지 150만 회 이상 다운로드되어 많은 사이트에 사용되고 있습니다. 개인적으로는 OceanWP는 초보자가 사용하기에 조금 어렵다는 인상을 받았습니다.
WP Statistics 플러그인에서 Unauthenticated Stored XSS 취약점 수정됨
참고로 보안업체인 Sucuri에 의하면 인기 워드프레스 플러그인 중 하나인 WP Statistics에서 특정 구성에서 Unauthenticated Stored XSS 보안 취약점이 발견되어 최신 버전에서 수정되었습니다. 이 취약점은 12.6.7 이전 버전에서 존재하므로 반드시 최신 버전(현재 최신 버전은 12.6.7임)으로 업데이트하시기 바랍니다.
이 플러그인은 50만 개 이상의 워드프레스 사이트에 설치되어 사용되고 있으며 방문자 유입 경로 등을 쉽게 확인할 수 있습니다.
개인적으로는 구글 애널리틱스를 사용하여 방문자 통계를 확인하고 있습니다. 구글 애널리틱스를 활용하면 다양한 통계를 얻을 수 있습니다. 이 블로그에서 네이버 유입이 거의 제로가 되었다가 조금씩 회복되어 지금은 10%까지 증가했습니다.
네이버 유입이 조금 상승했지만 여전히 구글 유입이 절대적이고 페이스북 등 소셜 네트워크 유입은 거의 없는 상태입니다.
마치며
항상 워드프레스, 테마, 플러그인을 최신 버전으로 업데이트하여 안전하게 사이트를 운영하시기 바랍니다. 그리고 만약의 사태에 대비하여 정기적인 백업을 받아 PC나 클라우드에 저장하는 것이 좋습니다.
그리고 Wordfence Security나 iThemes Security 같은 보안 플러그인을 설치하면 보안 강화에 도움이 됩니다.
댓글 남기기