워드프레스 , Techcrunch, The New Yorker, Sony 및 MTV와 같은 10억 개 이상의 웹 사이트를 지원하는 거대 CMS는 웹 사이트 보안과 관련하여 취약점이 전혀 없습니다. 최근에 가장 인기 있는 플러그인 중 하나인 WP Statistics가 결함이 있는 것으로 간주되어 거의 300,000개의 웹사이트가 온라인에서 공격자의 악용에 노출되었습니다.

플러그인 WP Statistics는 최근 SQL Injection 결함에 취약한 것으로 밝혀졌습니다. 구독자 계정만큼의 원격 공격자가 웹사이트 데이터베이스에서 민감한 정보를 훔쳐 웹사이트에 대한 무단 액세스를 얻을 수 있는 악용. 취약점은 '심각'으로 명명되었습니다.

기술적 세부사항

SQL 인젝션은 해커가 데이터베이스 콘텐츠를 훔칠 목적으로 사용자 입력에 SQL(Structured Query Language) 코드를 삽입하는 웹 애플리케이션 오류를 말합니다. 취약점은 wp_statistics_searchengine_query()를 포함한 WP 통계 플러그인의 여러 기능에 있습니다. .

관리자는 위의 단축코드를 호출하기만 하면 방문 횟수에 대한 자세한 정보를 얻을 수 있습니다. 단축 코드의 일부 속성이 중요한 기능에 대한 매개변수로 전달되는 동안 이러한 기능에 대한 입력을 삭제하는 것이 필수적입니다. 그러나 반대로 함수 wp_statistics_searchengine_query() 핵심 기능인 wp_ajax_parse_media_shortcode() 덕분에 WordPress의 AJAX 기능을 통해 액세스할 수 있습니다. .

이 문제는 소프트웨어가 양식 쿼리에 삽입된 후 데이터를 적절하게 삭제하지 못하기 때문에 발생합니다. WordPress를 사용하면 개발자가 단축 코드를 사용하여 페이지에 삽입할 수 있는 콘텐츠를 만들 수 있습니다. 이것은 다음 WP Statistics 단축 코드에서 문제가 됩니다.

[짧은 코드 atts_1=”테스트” atts_2=”테스트”]

즉시 업데이트

플러그인은 WordPress 기반 웹사이트에 다양한 기능을 제공합니다. 이러한 취약성은 더 큰 문제를 상징합니다. 빠른 릴리스를 만들고 시장에서 기능을 먼저 제공하기 위해 종종 애플리케이션의 보안 측면을 절충하게 됩니다. 오늘날 WordPress 보안은 심각한 문제입니다.

유일한 수정은 최신 버전으로 즉시 업데이트하는 것입니다. WordPress 웹사이트를 보호하고 잠재적 위협에 대해 감사하려면 Astra WordPress Security를 ​​방문하세요.