Contact Form 7 플러그인 보안 업데이트
Contact Form 7은 워드프레스에서 방문자나 고객들로부터 문의를 받을 수 있는 무료 컨택트 폼 플러그인으로 현재 500만 개가 넘는 사이트에 사용되고 있습니다. CF7에 최근 보안 취약점이 발견되어 최신 버전에서 업데이트되었습니다. 이 플러그인을 사용하는 경우 반드시 최신 버전으로 업데이트하시기 바랍니다.
Contact Form 7 플러그인
워드프레스에는 다양한 무료 및 유료 폼메일 플러그인이 있습니다. Contact Form 7은 컨택트 폼 플러그인 중에서 가장 많은 사용자들이 이용하는 플러그인입니다. WPForms라는 플러그인이 그 뒤를 잇고 있으며 현재 400만 개 사이트에 설치되어 사용되고 있습니다.
Contact Form 7은 무료로 이용할 수 있고, HTML과 CSS를 사용하여 커스텀이 가능하여 일부 테마에 기본 컨택트 폼 플러그인을 사용되기도 합니다. 베스트셀링 테마인 아바다 (Avada) 테마에서도 얼마 전까지 CF7을 이용한 데모를 제공했습니다. 하지만 최근 자체 문의폼 기능을 추가했습니다. (자체적으로 컨택트 폼 기능을 개발하여 추가하는 테마가 조금씩 늘어나고 있는 것 같습니다.)
Contact Form 7 플러그인 보안 업데이트
워드프레스는 보안에 강하지만 업데이트를 소홀히 하면 보안 문제가 발생할 수 있습니다. 실제로 악성코드에 감염되거나 해킹당하는 사이트의 대부분은 오랫동안 워드프레스와 테마, 플러그인을 업데이트하지 않은 것이 원인일 가능성이 높습니다.
특히 인기 테마나 플러그인에 보안 결함이 발생하여 업데이트가 되는 경우, 업데이트를 하지 않아 패치되지 않은 사이트를 노리는 멀웨어가 배포할 수 있습니다. 그러므로 가능한 한 워드프레스 코어와 플러그인, 테마를 최신 버전으로 업데이트하여 유지하는 것이 안전합니다. 그리고 오랫동안 업데이트가 안 되고 방치되는 플러그인이나 테마는 사용하지 않는 것이 바람직합니다.
또한, 사용하지 않는 테마와 플러그인은 삭제하는 것이 좋습니다. 도구 > 사이트 상태에서는 비활성화된 플러그인과 비활성 상태의 테마를 제거할 것을 권장하고 있습니다.
최근 Contact Form 7에서 보안 취약점이 발견되어 5.3.2 버전에서 수정되었습니다. CF7 개발자에 의하면 Contact Form 7 5.3.1 이하에서 무제한 파일 업로드 취약점(unrestricted file upload vulnerability)이 발견되었다고 합니다.
An unrestricted file upload vulnerability has been found in Contact Form 7 5.3.1 and older versions. Utilizing this vulnerability, a form submitter can bypass Contact Form 7’s filename sanitization, and upload a file which can be executed as a script file on the host server.
출처: Contact Form 7 홈페이지.
이 취약점을 활용하여 양식 제출자가 Contact Form 7의 특정 파일 유형(파일명) 업로드 차단 기능(Filename Sanitization)을 우회하여 호스트 서버에서 스크립트 파일로 실행될 수 있는 파일을 업로드할 수 있습니다.
Contact Form 7 플러그인을 사용하고 있는 경우 반드시 최신 버전으로 업데이트하여 안전하게 사이트를 운영하시기 바랍니다.
