워드프레스 Ninja Forms 플러그인에서 SQL 주입 취약점 발견

Ninja Forms 플러그인에서 SQL 주입 취약점(SQL Injection Vulnerability) 발견

현재 60만 개 이상의 웹사이트에 설치된 워드프레스용 Ninja Forms 플러그인에 영향을 미치는 SQL 주입 취약점(SQL Injection Vulnerability)이 발견되었다고 합니다.

공격자가 피해 사이트에서 계정을 가질 경우에 이 취약점을 이용할 수 있으며 구독자(subscriber) 계정을 가져도 공격이 가능하다고 합니다. 이 문제는 숏코드에서 제공하는 파라미터를 SQL 쿼리에 연결하기 전에 이스케이프하지 않기 때문에 발생합니다.

악의적인 공격자는 이 버그를 이용하여 사이트의 사용자 이름 및 해시된 비밀번호를 유출할 수 있습니다. 일부 구성에서는 워드프레스 비밀 키(secret key)도 유출될 수 있습니다.

현재 Ninja Forms가 2.9.55.2로 긴급 업데이트되었습니다. 2.9.55.2 이상 버전에서는 이 문제가 발생하지 않으므로 플러그인을 최신 버전으로 업데이트하시기 바랍니다.

워드프레스를 안전하게 운영하기 위해서는 1) 항상 최신 버전으로 업데이트하고, 2) 정기적으로 백업하는 것이 중요합니다. 그리고 Wordfence Security, iThemes Security 같은 보안 플러그인을 설치하면 도움이 될 수 있습니다.

저는 BBQ라는 방화벽 플러그인을 설치하여 사용하고 있습니다.

• Wordfence Security를 대체하는 가벼운 워드프레스 방화벽 플러그인 BBQ

여기에서 워드프레스 보안에 관한 더 많은 글을 확인할 수 있습니다.

참고:

• 워드프레스 사이트에서 로그인 시도 횟수를 제한하는 방법