워드프레스 UpdraftPlus 플러그인 강제 업데이트
UpdraftPlus는 300만 개가 넘는 사이트에 설치되어 사용되고 있는 인기 워드프레스 백업, 복원 플러그인입니다. 최근 이 플러그인에서 심각한 보안 취약점이 발견되어 보안 문제가 수정된 업데이트를 내놓았습니다. 하지만 워드프레스에서는 이례적으로 모든 사이트에서 UpdraftPlus 플러그인을 강제로 업데이트하는 조치를 취했습니다.
워드프레스 UpdraftPlus 플러그인에서 비관리자(예: 구독자)가 백업 파일에 접근할 수 있는 심각한 취약점 발견
지난 2월 15일, 심각한 위험의 보안 취약점이 수정된 UpdraftPlus 플러그인 버전 1.22.3 업데이트가 공개되었습니다.
Thanks to Marc-Alexandre Montpas of Automattic for this report (CVE: CVE-2022-23303). All versions of UpdraftPlus from March 2019 onwards have contained a vulnerability caused by a missing permissions-level check, allowing untrusted users access to backups. If your site does not have non-admin users, or if your non-admin users are all trusted (and your site does not allow users to sign up themselves), then you are not vulnerable (but we always recommend updating to the latest version in any case).
위의 내용은 UpdraftPlus 플러그인 변경 로그에 수록된 것으로 "2019년 3월 이후의 모든 UpdraftPlus 버전에는 권한 레벨 체크가 누락되어 야기되는 취약점이 포함되어 신뢰할 수 없는 사용자들이 백업본에 접근할 수 있다"고 합니다. 회원 가입 기능이 없고 신뢰할 수 있는 사용자만 있는 사이트인 경우에는 이번 취약점의 영향을 받지 않습니다.
이 취약점이 패치되지 않은 사이트에서는 구독자가 UpdraftPlus 백업 파일을 다운로드할 수 있어, 민감한 콘텐츠를 탈취당할 수 있습니다.
워드프레스에서 강제로 UpdraftPlus 플러그인을 업데이트하는 조치 단행
WordPress는 이례적으로 모든 사이트의 UpdraftPlus 플러그인을 강제로 업데이트하는 조치를 취했습니다. 이 플러그인은 300만 개나 되는 사이트에 설치되어 있기 때문에 이 보안 취약점이 악용된다면 심각한 결과를 야기할 수 있기 때문에 이 같은 조치를 단행한 것 같습니다.
워드프레스 플러그인이나 테마에 보안 취약점이 발견되면 먼저 개발자에게 해당 사항이 보고됩니다. 그러면 플러그인/테마 개발자가 보안 문제를 수정한 업데이트를 내놓게 됩니다. 업데이트가 공개될 경우 사용자들이 업데이트를 설치할 수 있도록 일정 시간을 준 후에 보안 문제에 대한 자세한 정보를 공개합니다.
보안 문제에 대한 자세한 정보가 공개되면, 해당 테마나 플러그인의 취약점을 패치하지 않은 사이트를 대상으로 한 악성코드(멀웨어)가 만들어져 배포될 수 있습니다.
그러므로 워드프레스 코어, 테마 및 플러그인을 최신 버전으로 업데이트하여 운영하는 것이 안전합니다. 그리고 오랫동안 업데이트가 안되고 방치는 테마나 플러그인은 사용하지 않는 것이 좋습니다. 업데이트를 소홀히 할 경우 사이트가 해킹 당하거나 악성코드에 감염될 수 있습니다.
이번 UpdraftPlus 업데이트는 강제로 모든 사이트에 적용되는 조치가 취해졌다고 하므로 대부분 사이트에 업데이트가 되었을 것입니다. 이 플러그인을 사용하고 있지만 최신 버전이 아닌 경우에는 반드시 최신 버전으로 업데이트하시기 바랍니다.
워드프레스 백업/복원 플러그인 UpdraftPlus
웹호스팅에서 자동 백업/복원 기능을 제공하는 경우 호스팅 업체를 통해 백업본을 다운로드할 수 있습니다. 호스팅 업체에서 자동 백업 기능을 제공하지 않는 경우 UpdraftPlus와 같은 플러그인을 사용하면 편리합니다.
이 플러그인을 사용하여 백업을 하려면 충분한 공간이 있어야 합니다. 공간이 충분하지 않은 경우에는 FTP를 통해 수시로 데이터를 다운로드하고 이 플러그인을 사용하여 DB(데이터베이스)를 백업할 수 있습니다.
백업본을 정기적으로 PC로 다운로드하여 보관하면 예상치 못한 사고가 발생하더라도 사이트 복구가 가능합니다. 중요한 사이트인 경우 반드시 백업 파일(데이터와 DB)을 컴퓨터나 클라우드에 보관하는 것이 안전합니다. 특히, PHP 버전이 낮거나 기타의 이유로 워드프레스, 테마, 플러그인을 업데이트하지 못하는 사이트는 정기적으로 전체 백업을 받아 놓을 것을 권장합니다.
멀티사이트인 경우에는 이 플러그인의 무료 버전으로는 백업/복원할 수 없고 프리미엄 버전을 사용해야 합니다. 대신, Backup Guard에서 제공하는 무료 플러그인을 사용하여 멀티사이트를 백업할 수 있습니다.
하지만 멀티사이트 규모가 큰 경우에는 Backup Guard 백업 플러그인으로 백업이 잘 안 되는 경우가 있습니다. 저는 Backup Guard로는 백업이 실패하여 UpdraftPlus 프리미엄 버전을 사용하여 백업하고 있습니다. 멀티사이트 백업/복원이나 사이트 주소가 다른 곳에서의 복원 등 특수한 경우가 아니면 무료 버전으로도 충분합니다.
참고
