워드프레스 보안 전문업체인 Wordfence가 지난 8월에 100만 개 이상 사이트에 설치된 인기 워드프레스 플러그인인 Gutenberg Template Library & Redux Framework에서 두 가지 취약점을 발견하여 플러그인 게시자에 의해 해당 보안 문제가 수정되었습니다. 이 플러그인을 사용하는 경우 반드시 최신 버전으로 업데이트하시기 바랍니다.
워드프레스 Gutenberg Template Library & Redux Framework 플러그인
워드프레스 5.0 버전부터 기본 편집기로 구텐베르크(블록 에디터)가 도입되었습니다. 워드프레스가 버전 업을 계속하면서 구텐베르크가 초기의 우려와 달리 이제는 많이 안정화되었고 속도도 향상되었습니다.
아바다, 엔폴드, 뉴스페이퍼 등 일부 테마에서는 자체 페이지 빌더를 사용하고 있고, 페이지 빌더 플러그인으로는 유명한 엘리멘터가 인기를 얻고 있습니다. 페이지 빌더를 사용하면 코딩 지식이 없어도 수월하게 원하는 레이아웃의 사이트를 만들 수 있다는 장점이 있습니다.
페이지 빌더 없이 구텐베르크만으로 사이트를 만드는 경우 Gutenberg Template Library & Redux Framework와 같은 플러그인을 사용하면 사전 제작된 템플릿을 로드하여 보다 수월하게 페이지를 만들 수 있습니다.
페이지 빌더를 사용하는 경우 페이지 빌더를 바꾸면 페이지를 새로 만들어야 하지만, 이 플러그인에서 제공하는 템플릿을 로드하여 페이지를 만들면 테마를 변경해도 페이지 콘텐츠가 유지됩니다. 다만, 위의 영상에서 볼 수 있듯이 테마에서 제공하는 페이지 템플릿의 영향을 받아서 레이아웃이 테마마다 약간 차이가 날 수 있습니다.
호환 워드프레스 테마
이 플러그인은 다음 워드프레스 테마와 호환됩니다. (2021년 9월 2일 기준)
- Astra 테마와 Astra Pro 애드온 플러그인 – 커스텀 레이아웃 (for Layouts, Headers, Footers, Hooks)
- GeneratePress 테마와 GP Premium 애드온 플러그인 – Elements (Layouts, 헤더, 후크용)
- OceanWP 테마와 Ocean Extra 무료 애드온 플러그인 – My Library (for Layouts, Hooks etc.)
- Kava Pro 테마/ CrocoBlock Service 및 JetThemeCore 플러그인 – My Library (레이아웃, 페이지, 헤더, 푸터, 싱글, 아카이브용)
- Genesis Framework 및 Genesis 차일드 테마 — Blox Lit및 Blox (Pro) 플러그인을 통해 – Global Content Blocks (섹션, 훅용)
- Page Builder Framework with WPBF Premium 애드온 플러그인 – 커스텀 섹션 (섹션, 레이아웃, 후크 등)
- Customify 및 Customify Pro 애드온 플러그인 – 후크 (레이아웃, 섹션, 후크 등)
- Suki 및 Suki Pro 애드온 플러그인 – 커스텀 블럭 (레이아웃, 섹션, 후크 등)
- Neve 및 Neve Pro 애드온 플러그인 – 커스텀 레이아웃 (레이아웃, 섹션, 후크 등)
- Woostify 및 Woostify Pro 애드온 플러그인 – 헤더 푸터 빌더(Elementor theming 영역 – 헤더/푸터)
- Avada 테마 및 Avada Fusion 빌더 – 라이브러리(템플릿, 페이지, 레이아웃, 열, 행)
- Divi 테마 및 Divi 빌더 – 라이브러리(템플릿 등)
- Extra 테마 및 Divi 빌더 – 라이브러리(템플릿 등) – 카테고리 템플릿(레이아웃, 템플릿 등)
100만 개 이상 사이트에 설치된 Gutenberg Template Library & Redux Framework 보안 취약점 해결
현재 100만 개가 넘는 워드프레스 사이트에 설치된 Gutenberg Template Library & Redux Framework 플러그인에서 두 가지 보안 취약점이 발견되어 최근 문제가 수정되었습니다.
2021년 8월 3일, Wordfence의 Threat Intelligence 팀은 이 플러그인에서 두 가지 보안 문제를 발견했습니다. 워드프레스 플러그인이나 테마에 보안 문제가 발견되면 곧바로 일반인에게 공개되지는 않습니다. 먼저는 플러그인 개발자에게 문제를 통보하여 문제를 수정할 시간을 줍니다.
만약 플러그인 개발자가 보안 취약점에 대한 정보를 제공받고도 아무런 조치를 취하지 않거나 문제를 수정하지 못하게 되면 해당 플러그인은 워드프레스 저장소에서 제거될 수도 있습니다.
이런 과정을 거치지 않고 곧바로 일반인에게 보안 취약점이 공개될 경우 악의적인 해커에 의해 해당 취약점이 악용될 소지가 있습니다. 실제로 몇 년 전에 한 보안업체에서 자신들을 홍보할 목적으로 절차를 따르지 않고 보안 취약점을 자신들의 블로그를 통해 공개하다 물의를 일으킨 적이 있습니다.
Gutenberg Template Library & Redux Framework에서는 1) 권한이 낮은 사용자(예: 외부 필진)가 임의 플러그인을 설치, 활성화할 수 있도록 허용하고 REST API를 통해 임의의 포스트나 페이지를 삭제할 수 있도록 하는 취약점과 2) 인증을 받지 않은 공격자가 사이트의 구성과 같은 민감할 수 있는 정보에 접근할 수 있도록 하는 취약점이 발견되었습니다.
플러그인 게시자인 Redux.io는 Wordfence의 연락에 즉시 회신을 했고, Wordfence 팀은 같은 날(2021년 8월 3일)에 모든 정보를 제공했습니다. 이후 보안 문제가 패치된 4.2.13 버전이 2021년 8월 11일에 릴리스되었습니다.
8월 11일에 보안 문제가 해결된 업데이트가 공개되었지만, 발견된 취약점에 대한 자세한 정보는 어제 Wordfence 블로그를 통해 게시되었습니다. 이는 업데이트된 버전이 나온 후에 사용자들이 업데이트할 수 있는 시간을 주기 위한 것입니다.
워드프레스 사이트를 안전하게 운영하는 방법
100만 개가 넘는 사이트에 이 플러그인이 설치되어 있으므로 이런 인기 플러그인이나 테마에서 보안 취약점이 발견되고 해당 취약점에 대한 정보가 공개될 경우 악의적인 해커들이 이를 악용한 악성코드(멀웨어)를 만들어 배포할 수 있습니다. 그러므로 이 플러그인을 사용하는 경우 반드시 최신 버전으로 업데이트해야 안전하게 사이트를 운영할 수 있습니다.
항상 강조하는 내용이지만 워드프레스는 보안에 강하지만 잘못된 관행으로 인해 사이트가 해킹 당하거나 악성코드에 감염될 수 있습니다. 다음과 같은 조치가 안전하게 워드프레스 사이트를 운영하는 데 도움이 됩니다.
- 항상 워드프레스 코어, 테마, 플러그인을 최신 버전으로 업데이트합니다.
- 오랫동안 업데이되지 않고 방치된 플러그인은 삭제합니다.
- 보안 플러그인을 설치합니다. (옵션)
- 정기적으로 백업하여 안전한 곳(PC나 클라우드)에 저장합니다. 백업은 웹호스팅에서 제공하는 서비스를 이용하거나 백업 플러그인을 사용할 수 있습니다.
- 강력한 암호를 사용합니다.
- 비밀번호를 타인과 공유하지 않습니다.
제 블로그의 보안 섹션 관련 글을 읽은 적이 있으시다면 위의 내용을 이미 접했을 것이라 생각합니다. 같은 말을 반복하는 것이 내키지 않지만 혹시나 이런 내용을 처음 접하는 분이 계실까 싶어 노파심에 반복적으로 언급하고 있습니다.
위의 내용은 정말 중요합니다. 오랫동안 업데이트를 하지 않다가 멀웨어에 감염되거나 백업본이 없어서 낭패를 보는 분들을 간혹 접합니다. 하지만 다행히도 몇 년 전에 비해서는 해킹이나 악성코드 감염을 호소하는 사용자들이 줄어든 것 같습니다
댓글 남기기