WP Meta and Date Remover 플러그인 보안 취약점

2

7만 명 이상의 사용자가 사용 중인 워드프레스용 WP Meta and Date Remover 플러그인에 XSS 취약점으로 이어질 수 있는 크로스 사이트 요청 위조(Cross Site Request Forgery: CSRF) 문제가 발견되어 최근 패치되었습니다.

보안업체인 Sucuri에 의하면 이 취약점은 사회공학적(Social Engineering) 기법에 의해 악용될 수 있다고 합니다. 즉, 악의적인 공격자가 포스트에 악의적인 링크가 포함된 댓글을 달고, 관리자가 댓글을 승인할 때 해당 링크를 클릭하면 공격을 당하게 됩니다.

이 문제는 버전 1.7.6에서 수정되었으므로 이 플러그인을 사용하는 경우 최신 버전으로 업데이트하시기 바랍니다.

WP Meta and Date Remover 플러그인은 메타 정보와 글쓴이, 날짜를 제거하는 데 사용됩니다. 아바다, 뉴스페이퍼 등 일부 유료 테마에서는 메타 정보의 표시 여부를 설정할 수 있는 옵션이 제공됩니다. 무료 테마에서는 보통 그런 기능이 제공되지 않지만 CSS를 이용하거나 테마 소스 파일을 수정하여 숨길 수 있습니다.

WP Meta and Date Remover에서는 CSS로 제거하는 방법과 PHP를 통해 제거하는 방법 등 2가지 방법을 사용합니다.

이 블로그를 통해 거듭 강조하는 내용이지만 안전한 사이트 운영을 위해 워드프레스와 테마, 플러그인을 항상 최신 버전으로 사용하고, 오랫동안 업데이트되지 않은 플러그인은 사용하지 않는 것이 좋습니다.

어제 워드프레스가 5.2로 업데이트되면서 몇 가지 보안 기능이 추가되었습니다.

최신 워드프레스 버전으로 업데이트하는 것이 안전합니다. 버전 5.2부터 워드프레스의 최소 PHP 요구사항이 5.6.20으로 상향 조정되었으므로, PHP 버전이 이보다 낮은 경우 먼저 PHP 버전을 5.6.20으로 업그레이드한 후에 워드프레스를 업데이트하시기 바랍니다.

일부 호스팅(예: 카페24)을 이용하는 사이트에서는 Site Health Check 페이지(/wp-admin/site-health.php)가 제대로 표시되지 않거나 공백 페이지로 표시될 수 있습니다. 그런 경우 웹호스팅 업체에 연락하여 문제를 상의해보시기 바랍니다.

워드프레스 Site Health 페이지
Site Health 페이지에 워드프레스 구성에 관한 중요한 정보와 보안 및 성능 개선을 위한 권고 사항이 표시된다.

참고:

2 개 댓글

    • 항상 최신 버전으로 업데이트하고, 오래된 플러그인을 사용하지 않는 것이 안전합니다.

      그리고 무엇보다 정기적으로 백업을 해놓으면 만약의 사태가 발생해도 복구가 가능합니다.

댓글 남기기

Please enter your comment!
Please enter your name here