워드프레스 WPS Hide Login 플러그인 보안 업데이트
WPS Hide Login은 로그인 페이지의 URL을 사용자가 원하는 경로로 쉽고 안전하게 변경해주는 플러그인입니다. 코어에서 파일의 이름을 바꾸거나 파일을 변경하지 않고 rewrite 규칙을 추가하지도 않습니다. 이 플러그인은 페이지 요청을 단순히 가로채는 방식으로 작동합니다. 이 플러그인은 현재 40만 개 이상의 사이트에 사용되고 있습니다.
1.5.2.2 이하 버전의 WPS Hide Login 플러그인에 몇 가지 프로텍션 우회(Protection Bypass) 문제가 발생하여 최신 버전에서 수정되었습니다. 이 플러그인을 사용하는 경우 반드시 최신 버전으로 업데이트하시기 바랍니다.
이 플러그인을 사용하면 wp-admin 디렉터리와 wp-login.php 페이지에 접근하지 못하게 되므로 새로 바뀌는 로그인 페이지의 URL을 북마크하거나 기억하고 있어야 합니다.
참고로 초기 보안 플러그인에는 워드프레스 로그인 페이지 경로를 숨기는 기능이 포함되었지만 이러한 '불분명함을 통한 보안(Security through Obscurity, 은둔 보안)' 방식은 실질적인 보호를 제공하지 않고 오히려 시스템을 불안하게 만들 수 있다고 합니다.
이 플러그인을 만든 업체에서 만든 다음 플러그인에서도 보안 취약점이 발견되어 최근 패치되었으므로 이러한 플러그인을 사용하는 경우 최신 버전으로 업데이트해야 안전하게 워드프레스 사이트를 운영할 수 있습니다.
- WPS Child Themes Generator
- WPS Limit Login
- WPS Bidouille
- WPS Cleaner
이외에도 10만 개 이상 사이트에 설치되어 사용되는 Email Subscribers & Newsletters라는 이메일 구독자 & 뉴스레터 플러그인에도 SQL 인젝션 문제가 발생하여 최신 버전에서 수정되었습니다. (워드프레스에서 이메일 마케팅을 수행하려는 경우 이 블로그의 이전 글을 참고해보시기 바랍니다.)
거듭 강조하는 내용이지만, 워드프레스 사이트를 안전하게 운영하기 위해서는 항상 워드프레스, 테마, 플러그인을 최신 버전으로 업데이트하고, 정기적으로 백업을 하여 PC나 클라우드에 보관하시기 바랍니다.
그리고 Wordfence Security나 iThemes Security 같은 보안 플러그인을 설치하면 보안에 도움이 될 수 있습니다. 저는 대부분의 사이트에 iThemes Security 플러그인(무료)을 사용하고 있는데, 나름 괜찮은 것 같습니다.
