WP Database Backup 플러그인에서 OS 커맨드 인젝션 취약점 수정

0

WP Database Backup은 7만 개 이상의 사이트에서 사용되고 있는 워드프레스 플러그인으로 클릭 몇 번으로 데이터베이스를 백업하고 복원할 수 있습니다. 이 플러그인에서 최근 보안 취약점이 발견되어 패치되었습니다. WP Database Backup을 사용하는 경우 반드시 최신 버전으로 업데이트하시기 바랍니다.

지난 4월 말경에 이름을 밝히지 않은 보안 전문가가 WP Database Backup에 존재하는 취약점에 대한 상세한 정보를 공개했습니다. 플러그인 개발자에게 알려서 먼저 취약점을 수정하도록 해야 하지만, 이런 무책임한 행동 때문에 취약점에 대한 자세한 사항이 일반인에게 공개되어 악의적인 공격자가 취약점을 악용할 수 있게 되었습니다.

워드프레스 데이터베이스 백업

WP Database Backup 플러그인의 패치되지 않은 버전을 사용할 경우 OS 커맨드 인젝션 취약점(OS Command Injection Vulnerability)이 악용될 수 있습니다. 악의적인 해커가 운영 체제(OS) 커맨드를 임의로 삽입하여 DB 백업 시에 해당 명령어가 실행될 수 있습니다. 주입된 명령어는 수동으로 제거하기 전까지는 지속되고 백업을 실시할 때마다 실행됩니다.

보통 플러그인에 취약점이 발견되면 플러그인 개발자에게 통보되어 취약점을 먼저 해결하도록 조치하고, 심각한 문제인 경우 취약점이 수정되기 전까지 플러그인이 WordPress.org 플러그인 저장소에서 제거되기도 합니다.

하지만 매우 드물기는 하지만 간혹 자기 자랑을 하고 싶은(?) 보안 전문가들이 무책임하게 특정 플러그인에 존재하는 취약점을 인터넷상에 공개하기도 합니다. 그런 경우 악의적인 공격자에 의해 악용될 경우 문제가 될 수 있습니다.

WP Database Backup 같은 플러그인을 사용하면 phpMyAdmin 등에 접속하지 않아도 쉽게 DB를 백업할 수 있습니다. 저는 일부 사이트에 UpdraftPlus WordPress Backup 플러그인을 설치하여 DB와 데이터를 모두 백업하고 있습니다.

백업 플러그인을 데이터를 백업할 경우 파일을 압축하는 데 공간이 필요하고, 백업본 공간이 필요하므로 이론상 실제 데이터 크기보다 2배의 여유 공간이 있어야 합니다. 실제로는 이보다 작아도 되지만 충분한 여유 공간이 있는 경우에 UpdraftPlus 같은 플러그인을 사용하는 것이 좋습니다.

조금 번거롭더라도 phpMyAdmin이나 SSH에 접속하여 DB를 백업할 수도 있습니다.

참고:

댓글 남기기

Please enter your comment!
Please enter your name here