개발자가 플러그인을 업데이트하지 않음: WordPress 사이트 소유자는 항상 WordPress Core 및 추가 기능(테마 및 플러그인)을 업데이트하도록 주의해야 합니다. 방치되면 애드온은 해커가 사이트에 침입하기 위해 악용하는 취약점을 개발합니다. 하지만 얼마 전에 취약점이 발견되었고 플러그인 개발자가 아직 문제를 해결하기 위한 업데이트를 출시하지 않았다면 어떻게 될까요? 그렇다면 귀하와 같은 웹사이트 소유자는 무엇을 합니까? 이 게시물의 목표는 개발자가 업데이트를 출시할 때까지 사이트를 안전하게 유지하기 위한 조치에 대해 논의하는 것입니다.
2016년에 보안 블로그는 인기 있는 캐싱 플러그인인 W3 Total Cache에서 발견된 교차 사이트 스크립팅 취약점을 보고했습니다. W3 Total Cache는 100만 개 이상의 활성 설치가 있는 가장 인기 있는 캐싱 플러그인 중 하나였으며 pearsonified.com 및 mashable.com과 같은 웹사이트와 AT&T의 회사 웹사이트에서도 신뢰를 받았습니다. W3 Total Cache 플러그인이 취약점을 개발한 것은 이번이 처음이 아닙니다. 사실, 과거에 Total Cache는 취약점이 많았고 그 중 일부는 악용되기도 했습니다.
보고서 작성 당시 사용자가 몇 달 동안 개발자와 지속적으로 의사 소통을 시도했지만 큰 성공을 거두지 못한 지원 관련 문제에 대한 불만이 떠돌았습니다. 불만을 품은 한 사용자는 Facebook 그룹에 플러그인이 7개월 이상 업데이트되지 않았다고 게시했습니다. 이 시점에서 교차 사이트 스크립팅 취약점이 W3 Total Cache를 사용하는 웹사이트에 미칠 수 있는 잠재적 피해에 대한 우려는 이해할 수 있습니다.
취약점이 공개된 지 거의 일주일 후, W3 Total Cache는 업데이트를 발표하고 악용 가능한 허점을 패치했습니다. 또한 제품에 새로운 기능을 도입했습니다. 그러나 패치가 출시된 직후 많은 웹사이트 소유자가 업데이트로 인해 사이트가 손상되었다고 보고했습니다. 새 업데이트로 인해 웹 사이트가 중단되는 것은 드문 일이 아니므로 스테이징 환경을 사용하는 것이 좋습니다. 라이브 사이트를 변경하기 전에 준비 사이트에서 업데이트를 테스트할 수 있는 기회를 제공합니다. 업데이트할 때 스테이징 사이트가 중단되면 라이브 사이트를 손상시키지 않고 플러그인 개발자에게 문제를 제기할 수 있습니다. 그리고 W3 Total Cache의 개발자가 패치를 출시하는 데 시간이 걸렸지만 상황이 완전한 재앙으로 이어지지는 않았습니다.
개발자가 플러그인을 업데이트하지 않으면 어떻게 해야 하나요?
워드프레스는 세계에서 가장 인기 있는 웹사이트 구축 플랫폼이며, 그 인기의 가장 큰 이유 중 하나는 사용자가 사이트를 디자인하고 기능을 쉽게 추가할 수 있는 플러그인의 사용입니다. 많은 워드프레스 플러그인은 개발자가 사이드 프로젝트. 취약점이 발견되면 문제를 식별하는 것뿐만 아니라 패치를 개발하는 데에도 많은 시간과 노력이 필요합니다. 때때로 그들은 정기적으로 돌봐야 할 일이 있기 때문에 플러그인 취약점에 즉시 대처할 수 없습니다. 사이드 프로젝트는 우선 순위가 아닙니다. 이로 인해 패치 출시가 지연됩니다.
WordPress는 전 세계에 걸쳐 있는 인터넷 커뮤니티이며 핵심 또는 추가 기능(예:테마 및 플러그인)에서 발견된 취약점에 대한 뉴스가 빠르게 퍼집니다. 즉, 취약한 웹사이트를 항상 경계하는 해커가 몇 시간 내에 웹사이트에 대한 대규모 해킹 시도를 시작할 것입니다. 따라서 플러그인 취약점이 발견되었지만 개발자가 아직 업데이트를 출시하지 않은 경우 사이트에 피해를 주지 않도록 조치를 취하는 것이 중요합니다. 다음과 같은 상황에 처했을 때 취해야 할 조치는 다음과 같습니다.
- 플러그인 비활성화 개발자가 취약점을 수정하기 위해 업데이트를 릴리스할 때까지.
- 프리미엄 플러그인이나 플러그인의 프리미엄 버전이 아닌 경우 wordpress.org의 지원 포럼으로 이동하여 불만 사항을 남겨주세요 거기. 충분한 불만이 있으면 개발자가 패치를 빨리 출시할 수 있기를 바랍니다.
- 보통 업데이트는 취약점 발견 후 48시간 이상 걸립니다. 그러나 시간이 더 오래 걸린다면 개발자에게 연락하여 문제를 알리십시오. 출처, 즉 취약점에 대해 어디서 들었는지 인용하십시오. 플러그인의 공식 웹사이트에는 사이트 어딘가에 '문의하기' 페이지 또는 이메일 주소가 있어야 합니다. 우편물을 쏴라.
- 그동안 대체 플러그인 사용 사이트를 완벽하게 작동하도록 유지하는 데 도움이 됩니다. 플러그인 작동이 중단되면 항상 계획을 세우는 것이 좋습니다.
앞서 언급했듯이 WordPress 플러그인 저장소에는 취미나 사이드 프로젝트로 개발된 많은 플러그인이 있습니다. 무료 제품을 만들기 위해 노력하는 개발자가 언제든지 제품을 포기할 수 있음을 의미합니다. 그렇기 때문에 많은 보안 전문가들은 커뮤니티에서 유명하고 존경받는 개발자가 만든 프리미엄 플러그인만 사용하도록 권장합니다. 빌드 중인 플러그인이나 테마에 대해 돈을 받지 못하는 개발자는 플러그인/테마를 향상하거나 유지 관리하는 데 더 적은 시간을 할애할 가능성이 높습니다. 그들은 계속 바쁘게 지내고 청구서를 지불하는 정규직 직업을 갖고 있을 수 있으므로 금전적 혜택이 없는 제품에 시간을 투자하는 것은 비현실적입니다.
전문가든 아마추어든 WordPress 플러그인에서 취약점이 발생합니다. 버려진 테마/플러그인을 계속 사용하면 유지 보수가 없으므로 업데이트가 없습니다. 오류가 발생하면 플러그인 개발자에게 연락하고 싶지만 개발자 팀에서 플러그인을 포기했기 때문에 지원도 받을 수 없습니다. 대체 플러그인이나 테마로 전환하려면 다시 시간과 노력을 투자해야 하지만 이것이 실행 가능한 유일한 옵션이기 때문에 사용자는 빡빡한 상황에 놓이게 됩니다. 좋은 웹사이트 보안 관행은 사용자가 플러그인을 선택하는 방법에 대한 몇 가지 프로토콜을 따르도록 권장합니다. 여기에 나열했습니다.
- 유명한 개발자가 개발한 플러그인 선택 제작자가 포기한 플러그인을 사용하는 상황을 피하기 위해.
- 플러그인이 정기적으로 업데이트되고 있는지 확인하세요. 이는 개발자가 해커가 사이트에 침입하는 데 사용할 수 있는 취약점을 수정하고 있음을 의미합니다. WordPress 저장소로 이동하여 마지막 업데이트가 언제 이루어졌는지 확인하세요.
- 프리미엄 플러그인 사용 무료 대신. 플러그인의 무료 버전이 있으면 기본 기능을 테스트하는 데 사용하지만 프리미엄 버전으로 업그레이드하는 것이 좋습니다. 앞서 논의한 바와 같이 무료 플러그인을 포기하거나 중요한 업데이트를 출시하는 데 너무 많은 시간이 소요될 수 있습니다.
이 게시물이 개발자가 플러그인을 업데이트하지 않을 때 조치를 취하는 데 도움이 되기를 바랍니다. 읽어주셔서 감사합니다. 질문이 있으시면 언제든지 저희에게 편지를 보내주십시오.