Advanced Contact form 7 DB 플러그인에 SQL 인젝션 취약점 발견

보안업체인 Sucuri에 의하면 4만 개 이상의 사이트에 설치되어 활성화되어 있는 워드프레스 플러그인인 Advanced Contact form 7 DB에사 SQL 인젝션 취약점(SQL injection vulnerability)이 발견되었다고 합니다.

무료 컨택트 폼 플러그인인 Contact Form 7을 사용할 경우 사용자가 제출한 정보가 DB에 저장되지 않습니다. Advanced Contact form 7 DB 플러그인을 사용하면 Contact Form 7에서 제출한 데이터를 친숙한 인터페이스로 DB에 저장할 수 있습니다.

이 플러그인에서 발견된 SQL 주입 취약점이 1.6.1 릴리즈에서 수정되었지만 구독자(Subscriber) 이상의 계정을 가진 공격자에 의해 악용될 수 있다고 합니다.

Though the bug has been fixed in the 1.6.1 release, it can be exploited by an attacker who has (at minimum) a subscriber account.

이 플러그인을 사용하는 경우 가능한 한 빨리 최신 버전으로 업데이트하시고, 회원 등록을 받는 사이트의 경우 삭제하는 것이 안전할 것 같습니다. 이 플러그인을 삭제할 경우 대체 플러그인으로 Contact Form 7 개발자가 만든 Flamingo라는 플러그인을 사용해볼 수 있습니다.

• Contact Form의 메시지를 관리해주는 Flamingo

Contact Form 7은 500만 개 이상 사이트에 설치되어 사용되는 인기 무료 컨택트 폼 플러그인입니다. 아바다 같은 일부 테마에서는 이 플러그인을 이용한 컨택트 폼 템플릿을 제공하기도 합니다.

심플한 컨택트 폼을 만들기에 Contact Form 7이 좋은 것 같습니다. 하지만 이 플러그인은 예전에 보안 취약점이 발견된 적이 있고 기능을 확장하려면 추가로 Advanced Contact form 7 DB 같은 플러그인을 설치해야 할 수도 있습니다. Contact Form 7의 안전성에 대해 JetPack에서는 다음과 같이 평가하고 있습니다.

We have rated Contact Form 7 as Good (current version safe) which means that we have found vulnerabilities in older versions.

We recommend that you only use the latest version of Contact Form 7.

즉, 최신 버전의 Contact Form 7에 대하여 "Good"(양호)으로 평가하고 있고, 항상 최신 버전만을 사용할 것을 권장하고 있습니다. 간혹 오래된 Contact Form 7 버전을 사용하는 사이트가 있는데, 그럴 경우 위험할 수 있으므로 항상 최신 버전을 사용하시기 바랍니다.

사실 안전한 사이트 운영을 위해 항상 워드프레스와 테마, 그리고 플러그인을 최신 버전으로 유지하는 것이 중요하며, 오랫동안 업데이트되지 않는 플러그인은 삭제하는 것이 좋습니다.

드래그 앤 드롭 방식으로 컨택트 폼을 만들고 싶은 경우 WPForms 같은 플러그인도 고려해볼 수 있습니다. 이 플러그인은 무료 버전과 유료 버전이 제공됩니다.

저는 Quform이라는 유료 플러그인을 사용하고 있는데, 깔끔하면서 기능적인 면에서도 괜찮아 나름대로 만족하고 있습니다. 이 사이트의 서비스 문의 페이지에 현재 Quform에서 만든 컨택트 폼이 적용되어 있습니다.

• Quform 컨택트 폼 플러그인, 단계별로 양식을 입력할 수 있는 다중 페이지 기능 추가

참고:

• 워드프레스 보안