얼마나 취약한 WordPress 플러그인이 웹사이트를 위험에 빠뜨리는지 우려하십니까?
아세요? 취약한 플러그인은 WordPress 사이트가 해킹되는 가장 큰 이유입니다. 실제로 WordPress에 대한 공격의 55.9%는 취약한 플러그인 때문입니다.
그렇다면 플러그인 사용을 완전히 중단하시겠습니까? 웹사이트 개발에서 플러그인 없이는 WordPress 사이트를 구축하고 운영하기가 어렵습니다. 플러그인이 사이트에 기능과 더 많은 기능을 추가하기 때문입니다.
다행히 플러그인을 사용하고 사이트를 안전하게 유지하는 방법이 있습니다. 플러그인 개발자는 소프트웨어의 취약점을 발견하면 이를 수정하고 업데이트된 버전을 즉시 출시합니다. 사이트에서 플러그인을 업데이트하면 사이트에서 안전하게 사용할 수 있습니다. 그러나 수백만 명의 WordPress 사용자가 업데이트를 지연하여 사이트를 해커에게 취약하게 만듭니다.
사이트가 해킹되면 해커가 이 사이트를 사용하여 민감한 데이터 도용, 원치 않는 광고 실행, 웹사이트 손상과 같은 모든 종류의 악의적인 활동을 실행할 수 있습니다. 해킹은 비즈니스에 치명적인 결과를 초래할 수 있으며 AdWords 계정 정지, 방문자, 고객 및 수익 손실을 초래할 수 있습니다.
이것이 취약한 플러그인과 보안 문제에 대해 배우는 것이 중요한 이유입니다. 이 기사에서는 WordPress 웹사이트 소유자가 사용하는 가장 취약한 WordPress 플러그인을 보여줍니다.
틀;DR: WordPress 플러그인 취약성으로부터 사이트를 안전하게 유지하려면 새 버전이 제공되는 즉시 업데이트해야 합니다. MalCare 보안 플러그인을 사용하여 중앙 대시보드에서 업데이트를 추적하세요. WordPress 사이트에서 일괄 업데이트를 구현하면 업데이트를 훨씬 쉽게 관리할 수 있습니다.
WordPress 플러그인이 어떻게 취약해질 수 있습니까?
WordPress 개발자 팀이 아니라 타사 개발자가 WordPress 플러그인을 생성한다는 사실을 아는 것이 중요합니다. 대부분의 플러그인은 WordPress 저장소에서 사용할 수 있지만 CodeCanyon과 같은 인기 있는 마켓플레이스나 플러그인 웹사이트에서도 플러그인을 찾을 수 있습니다.
50,000개 이상의 WordPress 플러그인이 존재하며 매일 더 많이 생성됩니다. 개발자는 플러그인, 특히 프리미엄 플러그인을 안전하게 관리하고 유지 관리합니다.
이러한 플러그인은 사용자에게 안전하고 안전한지 확인하는 특정 지침을 준수합니다. 그러나 개발자는 계속해서 제품을 개선하고 때로는 새로운 기능을 출시하는 데 시간이 많이 소요됩니다. 경우에 따라 플러그인 개발 중에 제품을 취약하게 만드는 몇 가지 보안 결함을 간과할 수 있습니다.
해커가 취약점을 발견하면 이를 악용하여 다음과 같은 많은 해킹을 수행할 수 있습니다.
- 방문자를 알 수 없는 다른 사이트로 리디렉션합니다.
- 사이트에 스팸 광고 및 콘텐츠 삽입
- 공격을 강화하기 위해 사이트에 wp-feed.php 멀웨어와 같은 멀웨어를 설치합니다.
- 악의적인 관리자 계정 만들기
- 서버 리소스를 사용하여 DDoS 공격을 시작하고 스팸 이메일을 보냅니다.
이와 같은 해킹 공격은 사이트 속도를 심각하게 저하시켜 SEO 순위를 낮춥니다. 또한 귀하의 비즈니스, 수익 및 평판도 위태롭게 합니다.
취약한 플러그인은 대부분의 웹사이트 해커의 가장 큰 근본 원인이므로 가장 취약한 플러그인과 사용 가능한 수정 사항을 아는 것이 중요합니다.
참고:WordPress 사이트에서 이 플러그인을 사용하는 경우 해킹 공격을 피하기 위해 즉시 사용 가능한 최신 버전으로 업데이트하는 것이 좋습니다.
취약한 플러그인으로 인해 웹사이트가 해킹될 수 있습니다. 공격을 피하고 WordPress 사이트를 보호하려면 항상 플러그인을 정기적으로 업데이트하십시오. 트윗하려면 클릭가장 최근에 공격을 받은 취약한 WordPress 플러그인 8개
NextGen Gallery, Yoast SEO 및 Ninja Forms와 같은 많은 인기 있는 WordPress 플러그인이 과거에 공격을 받았습니다. 여기에서는 가장 최근에 해커가 악용한 취약한 WordPress 플러그인 목록에 중점을 둡니다.
1. 복제기 – WordPress 마이그레이션 플러그인
Duplicator 플러그인은 주로 WordPress 백업에도 사용되는 마이그레이션 플러그인입니다. 사용자는 WordPress 사이트의 백업을 만든 다음 복사본을 다운로드할 수 있습니다. 또한 사이트를 다른 도메인이나 호스트로 복제하거나 마이그레이션할 수 있습니다. 100만 명이 넘는 활성 설치가 있는 꽤 인기 있는 플러그인입니다.
최근 플러그인은 임의 파일 다운로드로 알려진 취약점을 개발했습니다. 이 취약점으로 인해 공격자는 플러그인이 설치된 WordPress 사이트의 콘텐츠를 내보낼 수 있습니다. 해커는 기밀 파일을 다운로드하고 데이터베이스 자격 증명을 훔칠 수도 있습니다. 이를 통해 그들은 사이트에 침입하여 제어하고 공격을 계속할 수 있었습니다.
개발자는 취약점을 감지하고 Duplicator 버전 1.3.28 및 Duplicator Pro 버전 3.8.71에서 중요한 WordPress 보안 업데이트를 신속하게 릴리스했습니다. 2020년 2월.
웹사이트 보안 전문가들은 500,000명 이상의 사용자가 취약한 버전의 플러그인을 사용하고 있으며 아직 새 버전으로 업데이트하지 않았다고 말합니다.
2. ThemeGrill 데모 가져오기
ThemeGrill은 전문가 수준의 사이트를 구축할 수 있는 무료 및 프리미엄 반응형 테마를 제공합니다.
ThemeGrill Demo Importer 플러그인을 사용하면 WordPress 사용자가 ThemeGrill의 공식 테마를 WordPress 대시보드로 직접 가져올 수 있습니다. 사용자는 콘텐츠, 위젯 및 테마 설정을 가져올 수도 있습니다. 이 플러그인은 200,000개가 넘는 활성 설치를 보유하고 있습니다.
그러나 이 플러그인의 취약점으로 인해 해커가 관리자 계정을 제어할 수 있습니다. 해커는 웹사이트를 차단하고 사이트를 완전히 쓸어버릴 수도 있습니다.
ThemeGrill의 개발자는 즉시 버전 1.6.3의 패치를 출시했습니다. 2020년 2월.
3. 프로필 빌더 플러그인
프로필 작성기를 사용하면 고객에게 웹사이트에서 계정을 만들 수 있는 옵션을 제공할 수 있습니다. 사이트에서 프런트 엔드 사용자 로그인 및 등록 양식을 작성할 수 있습니다. 또한 고객이 계정을 개인화할 수 있는 프로필 양식도 있습니다.
플러그인에는 Free, Pro 및 Hobbyist의 세 가지 변형이 있습니다. Pro 및 Hobbyist 버전은 모두 프리미엄 버전입니다. Pro를 사용하면 무제한 WordPress 웹사이트에서 플러그인을 사용할 수 있으며 Hobbyist는 단일 사이트에서 사용할 수 있는 라이선스를 제공합니다.
플러그인의 무료 WordPress 버전에는 50,000개가 넘는 활성 설치가 있는 반면 Pro 및 Hobbyist 버전에는 약 15,000개가 설치되어 있습니다.
2020년 2월에 플러그인의 모든 변종에 영향을 미치는 치명적인 취약점이 발견되었습니다. 플러그인의 버그로 인해 해커가 WordPress 사이트에 무단 관리자 계정을 등록할 수 있었습니다. 이를 통해 해커는 악성 관리자 계정을 만들고 사이트를 완전히 제어할 수 있었습니다.
이 취약점은 3.1.0까지의 모든 플러그인 버전에 영향을 미칩니다. 보안 패치가 버전 3.1.1에서 출시되었습니다.
4. WooCommerce를 위한 유연한 체크아웃 필드
이 WooCommerce용 애드온 플러그인을 사용하면 사용자가 결제 필드를 사용자 지정할 수 있습니다. 즉, 사용자는 결제 페이지에서 기본 필드를 편집하고 대신 자신의 레이블을 추가할 수 있습니다. 플러그인에는 20,000개 이상의 활성 설치가 있습니다.
Flexible Checkout Fields 플러그인은 잘 관리되고 있으며 개발자가 정기적으로 업데이트합니다.
플러그인에는 해커가 적극적으로 악용하기 시작한 취약점이 있습니다. 이 취약점으로 인해 해커는 WordPress 사이트에 악성 코드를 삽입할 수 있었습니다. 이를 통해 악의적인 WP 관리자 계정 생성, 데이터 도용, 관리자 사용자를 자신의 웹사이트에서 잠그는 등 모든 종류의 활동을 수행할 수 있었습니다.
개발자는 버전 2.3.2 및 2.3.3 에서 보안 패치를 신속하게 출시했습니다. 2020년 2월 25일. 그 이후로 플러그인이 여러 번 업데이트되었습니다. 사용 가능한 최신 버전으로 업데이트하는 것이 좋습니다.
5. ThemeREX 애드온
ThemeREX 애드온 플러그인은 ThemeREX에서 만든 다양한 테마의 컴패니언 플러그인으로 설계되었습니다. 이 애드온에는 테마의 기능을 확장하는 여러 기능과 위젯이 있습니다. 플러그인은 약 44,000개의 WordPress 사이트에 설치되어 있습니다.
해커는 플러그인에서 취약점을 발견하고 이 플러그인으로 웹사이트를 공격하기 시작했습니다. 여기에서도 해커는 플러그인의 약점을 악용하여 새 관리자 계정을 만들 수 있습니다.
ThemeREX는 업데이트를 즉시 출시했지만 ThemeREX 애드온을 업데이트하는 것은 조금 더 복잡합니다. 플러그인을 WordPress 저장소에서 사용할 수 없으므로 WordPress 대시보드에서 플러그인에 사용할 수 있는 업데이트를 볼 수 없습니다 . 플러그인 및 테마 업데이트에 대한 정보를 받으려면 ThemeREX 뉴스레터를 구독해야 합니다.
또한 ThemeREX Addon 플러그인은 여러 테마와 함께 번들로 제공됩니다. 많은 사이트 소유자가 ThemeREX 테마의 테마를 설치했을 수 있으며 이 플러그인이 패키지의 일부로 사이트에 자동으로 설치되었다는 사실을 모를 수 있습니다.
ThemeREX 테마를 사용하는 경우 최신 버전으로 업데이트하는 것이 좋습니다. ThemeREX 계정에서 플러그인을 업데이트할 수 있습니다. 그렇게 할 수 없는 경우 ThemeREX 업데이터 플러그인을 설치해야 할 수도 있습니다. 이 플러그인 업데이트에 대한 자세한 내용은 ThemeREX에 문의하세요.
6. 비동기 자바스크립트
Async Javascript 플러그인은 페이지 로딩 시간을 줄여 페이지 속도와 사용자 경험을 향상시킵니다. WordPress 사이트는 PHP, CSS 및 Javascript와 같은 다양한 코딩 언어로 구성되어 있습니다. 이 비동기 자바스크립트 플러그인은 자바스크립트가 사이트에 로드되는 방식을 향상시킵니다. 플러그인에는 100,000개 이상의 활성 설치가 있습니다.
플러그인의 취약점으로 인해 해커가 원격으로 공격을 실행할 수 있습니다. 권장 읽기: 교차 사이트 스크립팅(XSS) 공격 <엠>. 이로 인해 해커가 민감한 정보를 훔치고 피해자 사이트의 모양을 변경하고 사이트 방문자를 속여 멀웨어를 다운로드하거나 개인 데이터를 공개할 가능성이 생겼습니다.
개발자는 존재하는 모든 문제를 수정하고 플러그인을 보호하기 위해 추가 보안 조치를 취했습니다. 이 문서를 작성하는 시점에서 사용 가능한 가장 안전한 버전은 버전 2.20.03.01입니다.
많은 경우 WordPress 개발자는 웹 사이트를 만드는 동안 이 플러그인을 설치하지만 클라이언트는 사이트에 플러그인이 있는지 인식하지 못할 수 있습니다. 하지만 운 좋게도 이 플러그인은 WordPress 저장소에서 사용할 수 있으며 업데이트 알림은 WordPress 대시보드에 나타납니다.
7. 모던 이벤트 캘린더 라이트
이 이벤트 캘린더 플러그인을 사용하면 WordPress 웹사이트에서 이벤트를 쉽게 관리할 수 있습니다! 사이트 소유자가 사이트에 잘 디자인된 이벤트 캘린더를 쉽게 표시할 수 있도록 하는 반응형 및 모바일 친화적인 인터페이스가 있습니다. Modern Events Calendar Lite는 무료로 사용할 수 있으며 40,000개 이상의 활성 설치가 있습니다.
2020년 2월에 플러그인은 해커가 WordPress 사이트에 멀웨어를 주입하여 사이트의 모양을 변경하고 민감한 데이터를 훔치는 등의 추가 공격을 실행할 수 있는 취약점을 경험했습니다.
5.1.6까지의 모든 플러그인 버전이 취약했습니다. 개발자는 즉시 패치를 출시했으며 그 이후로 플러그인을 여러 번 업데이트했습니다.
이 플러그인을 사용하는 경우 가능한 한 빨리 최신 버전으로 업데이트하는 것이 좋습니다.
8. 10Google 지도용 웹 지도 작성기
10Web Map Builder for Google Maps 플러그인은 WordPress 사용자에게 WordPress 웹사이트에 지도를 쉽게 추가할 수 있는 방법을 제공합니다. 강력한 기능과 사용자 지정 기능을 제공하여 20,000개가 넘는 활성 설치로 인기를 얻었습니다.
최근 플러그인 설정 과정에서 취약점이 나타났습니다. 해커가 WordPress 사이트에 악성 스크립트를 삽입할 수 있었습니다. 그들은 스크립트를 사용하여 관리자와 사이트 방문자를 공격할 수 있습니다.
개발자들은 2월에 업데이트된 버전 1.0.64를 출시했습니다. 사이트에 이 플러그인이 설치되어 있으면 최신 버전으로 업데이트하면 주입 취약점이 패치됩니다.
플러그인의 취약점으로 인해 웹사이트가 해킹된 경우 해킹된 WordPress 사이트를 정리하는 방법에 대한 가이드를 읽는 것이 좋습니다.
이로써 가장 최근에 공격을 받은 플러그인을 끝낼 수 있습니다. 이 목록은 완전하지 않습니다. 10년 이상 WordPress로 작업한 경험에서 플러그인은 때때로 WordPress 보안 취약성을 개발하는 경향이 있습니다. 취약한 플러그인으로 인한 사이트 공격을 완화하는 가장 좋은 방법은 새 버전이 출시되는 즉시 업데이트하는 것입니다! WordPress 핵심 설치 및 WordPress 테마도 업데이트해야 합니다.
취약한 플러그인으로 인한 사이트 공격을 완화하는 가장 좋은 방법은 새 버전이 출시되는 즉시 업데이트하는 것입니다! 트윗하려면 클릭이 기사가 마음에 든다면 WordPress 사이트의 취약점에 대해 더 읽고 싶으실 것입니다. 교차 사이트 스크립팅, SQL 삽입, 권한 상승 결함, 요청 위조, 임의 파일 업로드, 보기 등과 같은 웹사이트 보안 위험에 대해 자세히 설명합니다.
최종 생각
취약점은 많은 WordPress 플러그인에서 나타나는 경향이 있지만 대부분의 개발자도 신속하게 조치를 취하고 신속하게 수정합니다. 그때부터 플러그인을 최신 버전으로 즉시 업데이트해야 하는 책임은 사이트 소유자에게 있습니다.
따라서 사이트를 정기적으로 업데이트하면 해커를 차단하고 사이트를 안전하게 보호할 수 있습니다. 그러나 업데이트를 추적하기가 항상 쉬운 것은 아니며 관리가 어려워질 수 있음을 이해합니다. WordPress 사이트를 안전하게 업데이트하는 방법에 대한 가이드를 읽는 것이 좋습니다.
MalCare에서는 특히 여러 WordPress 사이트를 실행하는 경우 업데이트에 직면할 수 있는 어려움을 이해합니다. 따라서 일을 더 쉽게 하기 위해 플러그인 MalCare를 사용하면 중앙 대시보드에 액세스하여 모든 업데이트를 함께 관리할 수 있습니다. 또한 WordPress 보안 플러그인은 해킹 시도로부터 사이트를 보호합니다.
우리의 MalCare 보안 플러그인 지금!