취약한 플러그인:
- Elementor용 궁극의 애드온
- Beaver Builder용 궁극의 애드온
심각도: 10
악용 수준: 매우 쉬움
공개된 취약점: 2019년 11월 12일
패치 출시일: 2019년 11월 12일
패치된 버전:
- Beaver Builder용 Ultimate Addons – 1.2.4.1
- Elementor용 Ultimate 애드온 – 1.20.1
Ultimate Addons는 WordPress 웹사이트에 애드온 번들에 대한 액세스를 제공하는 인기 있는 프리미엄 플러그인입니다. 특히 기술에 정통하지 않은 사람들을 위해 웹사이트 제작과 디자인이 훨씬 쉬워졌습니다.
플러그인은 전문 개발자인 Brainstorm Force가 제작했습니다. 수천 개의 웹사이트에서 사용 중인 수십 개의 플러그인이 있습니다. Ultimate Addons 플러그인은 Elementor 및 Beaver Builder에서 사용할 수 있으며 수십만 개의 활성 설치가 있습니다.
어제 정기 보안 감사 중에 보안 연구원은 플러그인의 취약점을 발견하고 놀랐습니다. 주요 취약점입니다. 해커가 모든 WordPress 웹사이트에 대한 관리자 액세스 권한을 얻을 수 있음 플러그인이 설치된 것입니다. 이는 해커가 웹사이트를 완전히 제어할 수 있음을 의미합니다. 플러그인을 사용 중이고 favicon.ico 악성코드와 같은 악성 파일을 생성하여 사이트를 손상시킬 수 있는 경우.
취약점을 가장 먼저 발견한 우리는 자체 실사를 수행하고 Ultimate Addons 팀에 연락하여 발견한 취약점에 대해 알렸습니다.
Team Brainstorm은 취약성을 수정하는 데 신속했습니다. 그들은 7시간 이내에 패치를 출시하고 모든 고객에게 알렸습니다.
이 취약점의 영향을 받습니까?
Ultimate Addons 플러그인을 사용 중이라면 즉시 최신 버전으로 업데이트하시기 바랍니다! 취약한 버전은 1.0입니다. 2019년 12월 11일에 출시된 최신 버전으로 업데이트해야 합니다.
- Beaver Builder용 Ultimate Addons의 경우 보안 버전은 1.2.4.1입니다.
- Elementor용 Ultimate Addons의 경우 보안 버전은 1.20.1입니다.
웹사이트에서 이전 버전을 사용하는 경우 사이트가 해커에게 취약해집니다.
우리는 이미 이 취약점이 악용되고 있음을 감지했습니다. 웹사이트가 악용되었는지 확인하려면 MalCare 보안 플러그인을 사용하세요. 사이트를 스캔하고 사이트에서 의심스럽거나 해킹 활동을 감지합니다.
취약점 세부정보
어제 우리 팀은 웹 사이트에서 비정상적인 활동을 보았습니다. 이로 인해 우리 팀은 몇몇 사이트에서 악용되고 있던 취약점을 발견하게 되었습니다.
우리가 발견한 취약점은 웹사이트에 플러그인을 설치하자마자 발생합니다. 해커가 WordPress 웹사이트 사용자의 이메일 ID를 알고 있는 경우 특별 요청을 작성하고 관리자 제어 권한을 얻을 수 있습니다.
취약점을 악용하려면 해커가 사이트 관리자의 이메일 ID를 사용해야 합니다. 대부분의 경우 이 정보는 상당히 쉽게 검색할 수 있습니다. 일부 호스팅 제공업체에서는 웹사이트의 관리자 이메일 ID를 쉽게 찾을 수도 있습니다. 따라서 잠재적인 피해를 최소화하기 위해 호스팅 제공업체에 연락하여 발견 사실을 알렸습니다.
취약점 영향:위험 요소는 무엇입니까?
해커가 이 취약점을 발견하면 수십만 개의 WordPress 사이트가 해킹될 위험이 있습니다!
해커가 관리자 액세스 권한을 얻은 경우 웹사이트를 어떤 용도로 사용할지 알 수 없습니다.
와 같이 실행할 수 있는 일반적인 WordPress 사이트 해킹 목록이 많이 있습니다.- 데이터 도용,
- 방문자를 스팸 사이트로 리디렉션,
- 불법 약물 및 위조 제품 판매,
- 귀하의 사이트를 사용하여 더 큰 사이트에 대한 공격 실행,
- 검은 모자 SEO 기술을 사용하여 자체 제품 순위 지정(권장 읽기:Japenese 키워드 해킹) 등
- 페이지에서 스팸성 웹사이트로 스팸 링크 삽입
해킹을 당하면 귀하의 사이트와 비즈니스에 매우 해롭습니다. 또한 복구 비용이 매우 빠르게 치솟을 수 있습니다!
중요:즉시 플러그인 업데이트!
WordPress 사이트에서 Elementor Ultimate Addons 또는 Ultimate Beaver Builder 플러그인을 사용하는 경우 지금 업데이트해야 합니다. wp-admin 대시보드에서 이 작업을 수행할 수 있습니다.
어떤 이유로 wp-admin 대시보드에서 업데이트할 수 없는 경우 MalCare 보안 플러그인을 설치하는 것이 좋습니다. 독립적인 MalCare 대시보드에서 웹사이트의 플러그인을 업데이트하거나 완전히 삭제할 수 있습니다.
플러그인을 수동으로 업데이트하려면 다음과 같이 하십시오.
- Beaver Builder용 Ultimate Addons의 최신 버전을 다운로드하거나 Elementor용 Ultimate Addons에 로그인하여 최신 버전을 다운로드하십시오.
- 웹사이트에서 이전 버전을 제거합니다. 즉, 플러그인을 비활성화하고 삭제해야 합니다. (데이터는 손실되지 않습니다.)
- 다음으로, 방금 다운로드한 Ultimate Addons의 최신 버전을 업로드하고 설치하세요.
WordPress 웹사이트가 이미 해킹당했습니까?
이미 해킹을 당했거나 해킹이 의심되는 경우 MalCare의 멀웨어 탐지 및 제거 서비스를 즉시 활용하는 것이 좋습니다. MalCare Security 플러그인을 설치하면 웹사이트에 대한 철저한 검사가 실행됩니다. 맬웨어가 발견되면 알림이 표시됩니다. 자동 정리 기능으로 해킹을 즉시 정리할 수 있습니다.
자동화된 프로세스는 몇 분 안에 해킹된 사이트를 정리합니다. 이를 게시하면 MalCare는 앞으로도 이와 같은 해킹에 대한 보호 기능을 계속 제공할 것입니다.
추천 읽기:WordPress 테마 해킹을 정리하는 방법.
뉴스를 긁어모은 또 다른 맬웨어는 WP-VCD 맬웨어입니다. 다음은 WP-VCD 멀웨어를 제거하는 방법에 대한 안내입니다.
보안은 지속적인 노력이며 정기적으로 모니터링해야 합니다. 보안에 대한 추가 업데이트를 보려면 MalCare를 팔로우하세요.