1백만 개 이상 사이트에 설치된 Page Builder by SiteOrigin 플러그인 보안 업데이트

100만 개 이상의 사이트에 설치되어 사용되고 있는 워드프레스 인기 페이지 빌더인 Page Builder by SiteOrigin 플러그인에서 두 가지 보안 취약점이 발견되어 최신 업데이트(2.10.6 버전)에서 문제가 수정되었습니다.

인기 워드프레스 플러그인 Page Builder by SiteOrigin 플러그인 보안 업데이트

인기 워드프레스 플러그인 Page Builder by SiteOrigin 플러그인 보안 업데이트 릴리즈 - 보안 취약점 수정

워드프레스 보안업체인 Wordfence는 2020년 5월 4일에 인기 무료 워드프레스 플러그인 중 하나인 Page Builder by SiteOrigin에서 두 가지 보안 취약점을 발견하여 플러그인 개발자에게 통보하였고 플러그인 개발자가 다음 날인 2020년 5월 5일 발빠르게 패치를 내놓았습니다.

두 결함 모두 공격자들이 사이트 관리자를 대신하여 요청(Request)을 변조하여 관리자의 브라우저에서 악성 코드(Malicious Code)를 실행하도록 허용하는 것과 관련되었습니다. 공격이 성공하기 위해서는 공격자는 사이트 관리자를 속여 관리자가 링크나 첨부파일을 클릭하는 것과 같은 행동을 실행하도록 유도해야 합니다.

이번에 발견된 보안 결함은 전체 사이트 탈(Site Takeover)로 이어질 수 있는 고위험 보안 문제(High-risk Security Issue)입니다. Page Builder by SiteOrigin을 사용하고 있는 경우 즉시 최신 버전으로 업데이트할 것을 권장합니다. 현재 최신 버전은 2.10.16입니다.

  • 설명: Cross-Site Request Forgery to Reflected Cross-Site Scripting
  • 영향을 받는 플러그인: Page Builder by SiteOrigin
  • 플러그인 슬러그: siteorigin-panels
  • 해당 버전: <= 2.10.15
  • CVE ID: Identifier가 제공되면 업데이트될 예정임.
  • CVSS 스코어: 8.8 (High)
  • CVSS 벡터: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
  • 완전히 패치된 버전: 2.10.16

자세한 기술적인 내용은 Wordfence 블로그 글(Vulnerabilities Patched in Page Builder by SiteOrigin Affects Over 1 Million Sites)을 참고해보시기 바랍니다.

최신 버전으로 업데이트해야 하는 이유

워드프레스는 정기적으로 업데이트되면서 보안 취약점이 지속적으로 수정됩니다. 따라서 업데이트를 적시에 하면 안전하게 운영할 수 있습니다. 그리고 테마와 플러그인도 가급적이면 최신 버전으로 유지하는 것이 바람직합니다.

특히, 인기 테마나 플러그인에서 보안 문제가 수정된 업데이트가 나오는 경우, 악의적인 공격자(해커)들이 업데이트가 적용되지 않은 워드프레스 사이트나 블로그를 타겟으로 멀웨어를 만들어 배포할 수 있습니다.

안전하게 워드프레스 운영하기 위해서는 1) 워드프레스, 테마, 플러그인을 최신 버전으로 업데이트하고(권장), 2) 정기적으로 백업을 받아서 PC나 클라우드 스토리지에 저장하는 것이 좋습니다. 그리고 오랫동안 업데이트가 되지 않고 방치되는 플러그인을 사용하지 말고 강력한 비밀번호를 설정하는 등 일반적인 보안 관행도 준수하시기 바랍니다.

최근 베스트셀링 테마인 아바다(Avada)와 400만 개 이상 사이트에 설치되어 사용되고 있는 인기 페이지 빌더인 Elementor도 업데이트되면서 보안 문제가 수정되었습니다.

아바다나 Elementor를 사용하는 경우 반드시 최신 버전으로 업데이트하여 안전하게 워드프레스 블로그를 운영하시기 바랍니다.

참고


2 개 댓글

  1. 안녕하세요 궁금한 부분이 있어 문의 드립니다.
    워드프레스에서 기능이나 플러그인 옵션 등을 선택할 때 무료버전을 선택하고 나중에 유료 버전이나 다른 옵션으로 변경이 가능한가요?
    아니면 처음에 사이트를 제작할 때 선택한 옵션은 후에 변경이 불가한가요?

    응답
    • 옵션은 추후에 변경이 가능합니다.

      참고로 페이지 빌더를 사용하여 페이지를 만드는 경우, 추후에 페이지 빌더를 다른 페이지 빌더로 변경하면 페이지를 다시 만들어야 합니다.

      응답

댓글 남기기