잠재적으로 취약한 플러그인을 사용하고 있는 수천 개의 WordPress 사이트: 사이트를 안전하게 유지하는 방법은 다음과 같습니다.
게시 됨: 2024-05-062024년 3월, WordPress 플러그인 WordPress Automatic에서 심각한 취약점이 발견되었습니다. Code Canyon 마켓플레이스에서 사용할 수 있는 WordPress Automatic은 외부 소스에서 기사, 비디오, 제품, 이미지 및 기타 유형의 콘텐츠를 검색하고 해당 콘텐츠를 웹 사이트에 자동으로 다시 게시하는 자동 콘텐츠 스크레이퍼입니다.
연구 회사인 Patchstack은 악의적인 공격자가 SQL 주입 공격을 사용하여 취약한 웹 사이트를 완전히 제어할 수 있는 취약점을 발견했습니다. 전자 담배 상점부터 개인 블로그까지 모든 유형의 웹사이트가 패치되지 않은 플러그인 버전을 사용하는 경우 공격에 취약했습니다.
플러그인이 즉시 패치되었지만 일부 웹사이트 소유자는 문제의 심각성을 인식하지 못해 패치를 설치하지 않았습니다. WordPress 자동 플러그인에 대한 최근 사용자 리뷰에 따르면 이 취약점으로 인해 최소한 몇 개의 웹사이트가 완전히 손실된 것으로 나타났습니다.
어떤 웹사이트도 해킹으로부터 완전히 면역되지는 않습니다. 전 세계 웹사이트의 43%를 차지하는 WordPress는 악의적인 공격자의 주요 표적입니다.
하지만 좋은 소식은 다음과 같습니다. 웹사이트가 해킹당하는 경우 일반적으로 해커가 해당 사이트를 구체적으로 표적으로 삼았기 때문이 아닙니다. 자동화된 스캐너를 사용하여 발견된 취약한 WordPress 테마 또는 플러그인을 실행하고 있기 때문에 웹사이트가 해킹당하는 경우가 더 많습니다.
즉, 귀하의 사이트에 스캐너로 쉽게 발견되고 자동화된 수단으로 악용되는 알려진 취약점이 없으면 일반적으로 해커는 계속해서 이동할 것입니다.
이를 염두에 두고 몇 가지 상식적인 보안 관행을 따르면 WordPress 사이트를 상당히 안전하게 유지할 수 있습니다. 이 가이드에서는 안전하지 않은 플러그인으로 인해 사이트가 갑작스럽게 종료되는 위험을 최소화하기 위해 수행해야 할 작업을 정확하게 설명합니다.
테마와 플러그인을 즉시 업데이트하세요
WordPress에 로그인하면 사이트 테마나 플러그인에 대한 업데이트가 있으면 항상 사이드바에 알림이 표시됩니다. 어떤 경우에는 업데이트가 보류 중인 플러그인이 페이지 상단에 메시지를 표시하기도 합니다. 사이트에 플러그인 수가 많은 경우 로그인할 때마다 거의 업데이트 알림이 표시될 수 있으며 때로는 해당 업데이트를 다운로드하고 설치하는 일을 미루는 경향이 있을 수 있습니다. 하지만 업데이트에 중요한 보안 문제에 대한 수정 사항이 언제 포함될 수 있는지 알 수 없기 때문에 위험을 감수해야 합니다.
WordPress 자동 플러그인은 제작자가 보안 결함에 대해 통보 받자마자 즉시 업데이트되었습니다. 그러나 비공개 계약에 따라 패치스택이 결함을 공개할 때까지 플러그인 작성자가 결함에 대해 논의하는 것을 막은 것으로 알려졌습니다. 이러한 이유로 일부 사용자는 업데이트를 무시했습니다.
전체 사이트 및 데이터베이스 백업 유지
웹 호스트가 완전 자동 웹사이트 및 데이터베이스 백업을 제공하는 것이 점점 일반화되고 있으며 이는 보안에 매우 좋습니다. 웹사이트가 해킹당한 경우 백업이 가능하다는 것은 사이트를 이전 상태로 복원할 수 있다는 것을 의미합니다. 때로는 클릭 한 번으로 가능합니다. 호스트가 이 서비스를 제공하지 않는 경우 여러 WordPress 플러그인이 해당 작업을 수행할 수 있습니다. 하지만 여러 다른 시점의 백업 라이브러리를 유지하는 것이 중요합니다. 귀하의 웹사이트가 해킹된 경우, 이를 깨닫는 데 시간이 좀 걸릴 수 있습니다.
보안 플러그인 실행을 고려해보세요
귀하의 웹사이트가 귀하의 사업이라면 어떤 종류의 보안 솔루션을 보유하지 않을 변명의 여지가 없습니다. 보안 플러그인은 자동으로 액세스 시도를 모니터링하고 악의적인 사용자를 차단할 수 있습니다. 일부 콘텐츠 전달 네트워크도 이 서비스를 제공합니다. 보안 플러그인은 사이트의 파일과 원시 코드를 모니터링하고 예기치 않게 변경된 사항이 있으면 알려줄 수도 있습니다. 새 파일이 갑자기 서버에 나타나기 시작하면 사이트가 해킹되었을 가능성이 높습니다.
신뢰할 수 있는 소스로부터 테마와 플러그인을 받으세요
WordPress 저장소는 항상 귀하의 사이트에 대한 테마와 플러그인을 찾을 수 있는 가장 신뢰할 수 있는 장소입니다. WordPress.org 웹사이트의 모든 내용은 무료이며 오픈 소스이므로 WordPress 자원 봉사자로 구성된 대규모 커뮤니티에서 모든 플러그인과 테마를 모니터링합니다. 그러나 대부분의 경우 무료 테마나 플러그인에서 사용할 수 없는 기능이 필요할 수 있으며, 이 경우 프리미엄 소프트웨어 비용을 지불해야 합니다. 누군가가 코드를 감사하고 안전하다고 선언했는지 확인하세요.
사용하지 않는 테마 및 플러그인 제거
WordPress 웹사이트에 설치된 모든 테마와 모든 플러그인은 잠재적인 보안 허점으로 취급되어야 합니다. 해커가 하는 일이 바로 그것이기 때문입니다. 그들은 존재하는 WordPress 코드의 모든 부분을 지속적으로 조사하고 악용할 취약점을 찾고 있습니다. 사이트에서 테마나 플러그인을 제거할 때마다 잠재적인 진입점이 제거되는 것입니다. 사이트의 플러그인과 테마를 살펴보고 사용하지 않는 항목을 모두 제거하세요. 활성 플러그인을 살펴보고 해당 플러그인이 모두 필요한지 확인하는 것도 좋은 생각입니다.
버려진 플러그인의 대체품 찾기
특정 플러그인에 대한 업데이트 알림을 마지막으로 본 지 꽤 오래 되었나요? 그렇다면 플러그인의 변경 로그를 확인하여 마지막 업데이트 시기를 확인할 수 있습니다. 플러그인의 기능이 매우 단순하지 않은 이상, 1년 이상 업데이트되지 않은 경우 작성자가 해당 플러그인을 포기한 것으로 간주해야 합니다. 이 경우 동일한 기능을 제공하고 계속 업데이트되고 있는 플러그인을 검색해야 합니다. 보안 허점이 발견되기 전까지 오래된 플러그인에 오랫동안 숨어 있을 수 있습니다. 허점이 있는 플러그인을 작성자가 더 이상 업데이트하지 않으면 취약점은 결코 수정되지 않습니다.
오래된 플러그인과 테마를 감사할 개발자를 고용하세요
귀하의 웹사이트에 개발자가 포기하고 더 이상 업데이트되지 않는 중요한 플러그인이 있다고 가정해 보겠습니다. 이 경우 플러그인이 안전하고 취약점이 없는지 확인하는 것은 귀하의 책임입니다. 이 경우 개발자를 고용하고 그 사람이 플러그인을 감사하도록 하는 것이 매우 좋은 생각이 될 것입니다. 플러그인을 유지하는 데는 대체 플러그인을 찾을 때까지 지속적인 비용이 소요될 수 있습니다.