워드프레스 방문자 분석 플러그인 Slimstat Analytics - Stored XSS 취약점 패치
워드프레스 Slimstat Analytics는 워드프레스 사이트에서 방문자 데이터를 수집할 수 있는 플러그인으로 현재 10만 개 이상 사이트에 설치되어 활성화되어 있습니다. 이 플러그인을 사용하여 브라우저, 운영 체제 정보, 페이지 조회수 등 일부 정보를 추적할 수 있습니다.
워드프레스 방문자 분석 플러그인 Slimstat Analytics - Stored XSS 취약점 패치 (2019년 5월)
이 플러그인에서 unauthenticated stored XSS 취약점이 발견되어 최신 버전에서 수정되었습니다. Slimstat을 사용하는 경우 반드시 최신 버전(5.1.1 이상)으로 업데이트하시기 바랍니다. 방문자는 이 취약점을 악용하여 플러그인의 access log 기능에 임의의 JavasScript 코드를 주입할 수 있습니다.
오늘 방문자 수 등 워드프레스에서 방문자 통계를 수집하여 표시할 수 있는 플러그인을 이 블로그의 이전 글에서 소개한 적이 있습니다.
저는 방문자 통계 확인을 위해 주로 구글 애널리틱스를 활용하고 있고, 한 워드프레스 사이트에는 WP Statistics를 설치하여 사용하고 있습니다. WP Statistics는 50만 개 이상 사이트에 설치되어 사용되는 인기 플러그인 중 하나입니다.
이런 방문자 통계 플러그인(WP Statistics 포함)은 보안 취약점에 노출되는 경우가 종종 있는 것 같습니다. 가급적 구글 애널리틱스를 활용하는 고려해보시고, 꼭 사용해야 하는 경우 항상 최신 버전으로 업데이트하는 것을 잊지 마시기 바랍니다. 구글 애널리틱스를 사용하면 다양한 통계를 확인하고 비교할 수 있습니다.
이 블로그의 경우 작년 말에 네이버 유입이 7% 정도였는데, 오늘 확인해보니 지난 30일간 네이버 유입이 9.2%로 이전보다 소폭 늘었습니다.
특이하게 livesearch.kr에서 하루에 20~30명 정도 유입되고 있습니다. livesearch.kr은 자동차보험 통합비교분석 서비스라고 소개하고 있지만 '워드프레스' 키워드로 검색해보니 제 블로그가 상위에 검색이 되고 있네요.
마치며
최근 워드프레스가 5.2 버전으로 업데이트되면서 몇 가지 보안 기능이 추가되었습니다.
거듭 강조하는 내용이지만 워드프레스 사이트를 안전하게 운영하기 위해 항상 워드프레스, 테마, 플러그인을 최신 버전으로 업데이트하고 정기적으로 백업하시기 바랍니다. 업데이트를 소홀히 하면 보안에 문제가 발생하여 멀웨어, 해킹 등에 노출될 수 있습니다.
