워드프레스 4.8.2 보안 및 유지보수 릴리스 공개
우리나라 시각으로 9월 20일(수요일) 이른 아침에 워드프레스가 4.8.2로 업데이트되었습니다.
이번 업데이트에는 9가지 보안 문제가 해결되었고 몇 가지 버그가 수정되었다고 합니다. 아마 대부분의 사이트에서 자동으로 새로운 버전으로 업데이트되었을 것입니다. 자동으로 업데이트가 안 된 경우에는 보안을 위해 가급적 최신 버전으로 업데이트하시기 바랍니다.
4.8.2에서 해결된 보안 문제는 다음과 같습니다.
- $wpdb->prepare()가 잠재적인 SQL 삽입(SQLi)을 야기할 수 있는 예상치 못한 위험한 쿼리를 생성할 수 있습니다. 워드프레스 코어는 이 문제에 직접적으로 취약하지 않지만 플러그인과 테마가 실수로 취약점에 노출되지 않도록 강화했습니다.
- XSS(Cross-site scripting: 교차 사이트 스크립팅) 취약점이 oEmbed discovery에서 발견되었습니다.
- XSS 취약점이 비주얼 편집기에서 발견되었습니다.
- Path traversal vulnerability(경로 통과 취약점?)이 파일 unzipping 코드에서 발견되었습니다.
- XSS 취약점이 플러그인 편집기에서 발견되었습니다.
- 오픈 리디렉트(open redirect)가 사용자 및 용어 편집 화면에서 발견되었습니다.
- Path traversal vulnerability가 사용자 정의하기(Customizer)에서 발견되었습니다.
- XSS 취약점이 템플릿 이름에서 발견되었습니다.
- XSS 취약점이 링크 모달에서 발견되었습니다.
자세한 내용은 WordPress Codex 문서에서 확인할 수 있습니다.
워드프레스는 보안 취약점이 발견되면 수시로 업데이트를 통해 해결하기 때문에 워드프레스 자체는 보안에 강하지만 업데이트를 소홀히 하거나 잘못된 플러그인이나 테마를 사용할 경우 보안에 취약해질 수 있습니다.
최근에 인기 워드프레스 플러그인 중 하나인 Display Widgets에 악성코드가 포함되어 플로그인 목록에서 제거되었습니다. Display Widgets을 사용 중이라면 삭제하시고 다른 대체 플러그인을 사용하시기 바랍니다(참고).