WP Time Capsule은 WordPress 백업 및 준비와 관련하여 상당히 인기 있는 WordPress 플러그인입니다. 클릭 한 번으로 백업 및 스테이징의 복잡한 프로세스를 바꿔놓았습니다.
그러나 WordPress 플러그인의 취약한 보안 특성을 감안할 때 취약점 공개는 예상하지 못한 일이 아닙니다. 확실히 WP Time Capsule 플러그인도 예외는 아닙니다. 실제로 1월 8일 이 인기 있는 플러그인에서 심각한 인증 우회 취약점이 발견되었습니다.
이 폭로는 20,000명 이상의 활성 플러그인 사용자를 위험에 빠뜨렸습니다. 플러그인 개발팀이 같은 날 취약점을 수정하고 패치된 버전 1.21.16을 출시했지만, 구버전을 사용하는 사람이라면 누구나 위협을 받을 수 있습니다.
1.21.16 이전 버전을 사용 중이라면 빠르게 업데이트하세요.
현재까지 익스플로잇 소식은 없습니다. 하지만 취약한 버전을 계속 사용하다 보면 잘못될 수 있는 부분이 많이 있습니다.
이 블로그 게시물을 통해 WordPress의 인증 우회의 기본 사항을 안내하고 인증 우회란 무엇이며 웹사이트에 미치는 영향과 같은 질문에 답할 것입니다. 위협을 확인하기 위해 구현할 수 있는 보안 수정 사항도 알려드립니다.
여기에서 시작합니다.
WordPress에서 인증 우회란 무엇입니까?
로그인 페이지를 채우는 것은 아마도 사이트 또는 해당 문제에 대한 다른 소프트웨어의 내부 정보에 액세스하기 위해 취하는 첫 번째 단계일 것입니다. 누군가가 적절한 인증 없이 귀하의 사이트, 관리자 패널, 사용자 계정 등에 액세스하는 것을 "인증 우회"라고 합니다.
OWASP는 인증 우회를 다음과 같이 정의합니다.
귀하의 웹사이트에 어떤 영향을 미칩니까?
물론 웹사이트의 내부 콘텐츠에 불법적으로 액세스하는 사람은 나쁜 것입니다. 그러나 인증 우회의 결과는 훨씬 불리할 수 있습니다. 다음 세그먼트에 알려진 결과 중 일부를 나열합니다.
- 관리자 액세스 권한이 있는 공격자가 웹사이트 설정을 조작할 수 있음
- 공격자는 사이트의 콘텐츠를 악용하거나 기밀 정보를 오용할 수 있습니다.
- 해커는 웹사이트에 웹 셸을 업로드할 수 있습니다.
이 블로그 게시물의 범위를 벗어나는 다른 기술적 결과가 있습니다.
무엇을 해야 합니까?
업데이트.
이미 언급했듯이 WP Time Capsule 개발 팀은 업데이트된 버전 1.21.16의 취약점을 패치했습니다.
이 버전으로 업데이트하는 것이 가장 현명하고 논리적인 조치입니다.
업데이트 외에도 다음 예방 조치를 구현하면 WordPress 사이트를 추가로 보호하는 데 도움이 됩니다.
- 클라이언트 측 웹 브라우저 스크립트에서 인증 스키마를 노출하지 마십시오.
- 서버 측에서 모든 사용자 입력 확인
- 브라우저와 서버 간에 암호화된 데이터 전송 메커니즘을 설정합니다.
- 주기적인 재인증 및 세션 시간 초과를 용이하게 하는 플러그인을 설치합니다.
- 암호화된 채널을 통해 모든 쿠키와 세션 데이터를 보냅니다.
드디어…
웹사이트에서 취약한 플러그인을 사용하는 것이 해킹을 당하는 가장 일반적인 이유라는 것을 알고 있습니다. WP Time Capsule의 모든 사용자는 가능한 한 빨리 안전한 버전으로 이동하도록 요청합니다.
또한 전용 보안 솔루션으로 웹사이트를 보호하는 것이 항상 권장됩니다.
질문이 있으시면 아래에 댓글을 남겨주시면 저희 팀에서 연락을 드릴 것입니다.