워드프레스 WP Live Chat Support 플러그인 보안 문제

해외 보안업체 Sucuri에 의하면 워드프레스 WP Live Chat Support 플러그인에 Unauthenticated Persistent Cross-Site Scripting(XSS) 취약점이 발견되었다고 합니다. 이 취약점은 8.0.27 버전에서 수정되었으므로 이 플러그인을 사용하는 경우 반드시 최신 버전으로 업데이트하시기 바랍니다.

이 취약점은 워드프레스 플러그인 세계에서 잘 알려진 공격 벡터(attack vector)인 보호되지 않은 admin_init 후크(unprotected admin_init hook)로 인해 악용될 수 있다고 합니다.

워드프레스 WP Live Chat Support 플러그인 보안 문제 2
Unprotected admin_init 후크 (출처: Sucuri)

워드프레스 라이브 채팅 플러그인

WP Live Chat Support는 현재 6만 개 이상의 사이트에 설치되어 사용되고 있는 라이브 채팅 플러그인입니다. 이 플러그인을 2년 전에 설치하여 테스트해본 적이 있습니다. 라이브 채팅 특성상 서버에 많은 부담을 주는 것 같습니다.

무료 버전은 아무래도 기능이 제한되어 있습니다. Live Chat Unlimited라는 유료 플러그인을 사용하면 100명의 사용자가 동시에 채팅이 가능하고 다국어 번역 플러그인인 WPML도 지원하고, 페이지 성능에 영향을 미치지 않습니다.

우커머스 쇼핑몰을 운영하는 경우 YITH의 Live Chat 플러그인을 이용해볼 수 있습니다. 이 플러그인은 무료 버전과 유료 버전이 있으므로 무료 버전으로 테스트해볼 수 있습니다.

WP Live Chat Support 우커머스 쇼핑몰 라이브 채팅 지원
WP Live Chat Support 스크린샷

보다 효과적으로 고객 상담을 처리해야 하는 기업은 인공지능 챗봇을 이용한 라이브 채팅 시스템을 고려해볼 수 있습니다. 고객센터 인력을 줄여서 비용과 시간을 절감하고 고객 만족도도 높일 수 있을 것입니다.

마치며

워드프레스는 보안에 강하지만 업데이트를 소홀히 하거나 잘못된 플러그인을 사용하는 경우 보안에 구멍이 생길 수 있습니다. 워드프레스 코어, 테마, 플러그인을 항상 최신 버전으로 유지하시기 바랍니다.

웹호스팅 업체에서 백업/복원 기능을 제공하더라도 백업본을 만들어 하드 디스크 등에 저장해놓는 것이 안전합니다. 최근에는 국내의 유명 웹호스팅 업체 중 하나인 가비아가 해킹 공격을 당해 개인정보가 유출되었다고 합니다. 가비아를 이용하는 경우 개인정보가 유출되지 않았는지 확인해보시기 바랍니다("웹호스팅 업체 가비아, 해킹으로 개인정보 유출" 참고).

참고:

워드프레스가 최근 5.2로 업데이트되면서 보안 기능이 더욱 강화되었습니다. 그러므로 가급적 WordPress 5.2 버전으로 사이트를 업데이트하시기 바랍니다.


댓글 남기기

* 이메일 주소는 공개되지 않습니다.