WordPress 취약점 보고서: 2021년 11월, 4부
게시 됨: 2021-11-25취약한 플러그인과 테마는 WordPress 웹사이트가 해킹되는 #1 이유입니다. WPScan이 제공하는 주간 WordPress 취약성 보고서는 최근 WordPress 플러그인, 테마 및 핵심 취약성과 웹사이트에서 취약한 플러그인 또는 테마 중 하나를 실행하는 경우 수행할 작업을 다룹니다.
각 취약점의 심각도는 낮음 , 보통 , 높음 또는 치명적 입니다. 취약성에 대한 책임 있는 공개 및 보고는 WordPress 커뮤니티를 안전하게 유지하는 데 필수적인 부분입니다.
이 게시물을 친구들과 공유하여 소문을 퍼뜨리고 WordPress를 모두에게 더 안전하게 만들 수 있도록 도와주세요.
WordPress 호스팅: GoDaddy 해킹
2021년 11월 21일에 게시된 보안 공개에서 GoDaddy는 해커가 관리되는 WordPress 호스팅 플랫폼에 액세스한 후 최대 120만 명의 활성 및 비활성 고객이 노출되었다고 밝혔습니다.
최근 GoDaddy 해킹에 대한 몇 가지 세부 정보, 고객에게 미치는 영향, GoDaddy의 WordPress 호스팅 고객인 경우 수행할 작업에 대한 권장 사항을 설명하는 게시물을 작성했습니다.
WordPress 핵심 취약점
최신 버전의 WordPress 코어는 5.8.2입니다. 모범 사례로 항상 최신 버전의 WordPress 코어를 실행하십시오!
WordPress 플러그인 취약점
이 섹션에서는 최신 WordPress 플러그인 취약점이 공개되었습니다. 각 플러그인 목록에는 취약점 유형, 패치된 경우 버전 번호 및 심각도 등급이 포함됩니다.
1. 픽셀 캣 라이트
플러그인: Pixel Cat Lite
취약점 : Admin+ 저장된 교차 사이트 스크립팅
버전: 2.6.3에서 패치됨
심각도 점수 : 낮음
플러그인: Pixel Cat Lite
취약점 : 저장된 교차 사이트 스크립팅에 대한 CSRF
버전: 2.6.2에서 패치됨
심각도 점수 : 높음
2. 올인원 갤러리
플러그인: 올인원 갤러리
취약점 : Admin+ 로컬 파일 포함
버전: 2.5.0에서 패치됨
심각도 점수 : 낮음
3. 스톱배드봇
플러그인: StopBadBots
취약점 : 반사된 교차 사이트 스크립팅
버전: 6.67에서 패치됨
심각도 점수 : 치명적
4. 비밀번호 없는 임시 로그인
플러그인: 비밀번호 없이 임시 로그인
취약점 : Subscriber+ 플러그인 설정 업데이트
버전: 1.7.1에서 패치됨
심각도 점수 : 보통
5. 프로필 프레스
플러그인: 프로필프레스
취약점 : 반사된 교차 사이트 스크립팅
버전: 3.2.3에서 패치됨
심각도 점수 : 보통
플러그인: 프로필프레스
취약점 : 반사된 교차 사이트 스크립팅
버전: 3.2.3에서 패치됨
심각도 점수 : 높음
6. 현대 이벤트 캘린더
플러그인: 현대 이벤트 캘린더
취약점 : 인증되지 않은 블라인드 SQL 인젝션
버전: 6.1.5에서 패치됨
심각도 점수 : 높음
플러그인: 현대 이벤트 캘린더
취약점 : 반사된 교차 사이트 스크립팅
버전: 6.1.5에서 패치됨
심각도 점수 : 높음
7. 자동 추천 이미지
플러그인: 자동 추천 이미지
취약점 : 반사된 교차 사이트 스크립팅
버전: 3.9.3에서 패치됨
심각도 점수 : 보통
8. 궁극의 NoFollow
플러그인: Ultimate NoFollow
취약점 : Contributor+ 저장된 교차 사이트 스크립팅
버전에서 패치됨 : 알려진 수정 사항 없음 – 플러그인 종료 됨
심각도 점수 : 보통
9. NEX 양식
플러그인: NEX-Forms
취약점 : 다중 Admin+ 저장된 교차 사이트 스크립팅
버전에서 패치됨 : 알려진 수정 사항 없음 – 플러그인 종료 됨
심각도 점수 : 낮음
10. SEO 부스터
플러그인: SEO 부스터
취약점 : Admin+ SQL 인젝션
버전에서 패치됨 : 알려진 수정 사항 없음 – 플러그인 종료 됨
심각도 점수 : 보통
11. WP 시스템 로그
플러그인: WP 시스템 로그
취약점 : 인증되지 않은 저장된 교차 사이트 스크립팅
버전: 1.0.21에서 패치 됨
심각도 점수 : 치명적
12. 영감을 주는 인용구 회전자
플러그인: 영감을 주는 인용구 회전자
취약점 : Admin+ 저장된 교차 사이트 스크립팅
버전에서 패치됨 : 알려진 수정 사항 없음 – 플러그인 종료 됨
심각도 점수 : 낮음
13. 단일 포스트 수출업자
플러그인: 단일 포스트 내보내기
취약점 : CSRF를 통한 플러그인 설정 업데이트
버전에서 패치됨 : 알려진 수정 사항 없음 – 플러그인 종료 됨
심각도 점수 : 보통
14. 플렉스 로컬 글꼴
플러그인: Flex 로컬 글꼴
취약점 : Admin+ 저장된 교차 사이트 스크립팅
버전에서 패치됨 : 알려진 수정 사항 없음 – 플러그인 종료 됨
심각도 점수 : 낮음
15. WP 관리자 로고 체인저
플러그인: WP 관리자 로고 체인저
취약점 : CSRF를 통한 플러그인 설정 업데이트
버전에서 패치됨 : 알려진 수정 사항 없음 – 플러그인 종료 됨
심각도 점수 : 보통
16. 연락처 양식 고급 데이터베이스
플러그인: 연락처 양식 고급 데이터베이스
취약점 : 승인되지 않은 AJAX 호출
버전에서 패치됨 : 알려진 수정 사항 없음
심각도 점수 : 보통
17. 반짝이는 버튼
플러그인: 빛나는 버튼
취약점 : 인증되지 않은 저장된 교차 사이트 스크립팅
버전에서 패치됨 : 알려진 수정 사항 없음
심각도 점수 : 높음
18. 필터 포트폴리오 갤러리
플러그인: 포트폴리오 갤러리 필터
취약점 : CSRF를 통한 임의 갤러리 삭제
버전에서 패치됨 : 알려진 수정 사항 없음
심각도 점수 : 보통
19. WP 제한
플러그인: WP 제한
취약점 : CSRF를 통한 플러그인 설정 업데이트
버전에서 패치됨 : 알려진 수정 사항 없음
심각도 점수 : 보통
20. 페이지/게시물 콘텐츠 단축 코드
플러그인: 페이지/게시물 콘텐츠 단축 코드
취약점 : 기고자+ 임의의 게시물/페이지 액세스
버전에서 패치됨 : 알려진 수정 사항 없음
심각도 점수 : 보통
21. 포함 페이지 개선
플러그인: 포함 페이지 개선
취약점 : 기고자+ 임의의 게시물/페이지 액세스
버전에서 패치됨 : 알려진 수정 사항 없음
심각도 점수 : 보통
22. 미디어매틱
플러그인: 미디어매틱
취약점 : 구독자+ SQL 인젝션
버전에서 패치됨 : 알려진 수정 사항 없음
심각도 점수 : 높음
23. 포스트 메타데이터 표시
플러그인: 게시물 메타데이터 표시
취약점 : Contributor+ 저장된 교차 사이트 스크립팅
버전에서 패치됨 : 알려진 수정 사항 없음
심각도 점수 : 보통
24. 토탑링크
플러그인: ToTop 링크
취약점 : 인증되지 않은 PHP 개체 주입
버전에서 패치됨 : 알려진 수정 사항 없음
심각도 점수 : 보통
25. 사용자 메타 단축 코드
플러그인: 사용자 메타 단축 코드
취약점 : Contributor+ 무단 사용자 메타데이터 접근
버전에서 패치됨 : 알려진 수정 사항 없음
심각도 점수 : 높음
26. 인용문 모음
플러그인: 지수 컬렉션
취약점 : Admin+ SQL 인젝션
버전에서 패치됨 : 알려진 수정 사항 없음
심각도 점수 : 보통
27. WordPress용 푸시 알림(Lite)
플러그인: WordPress용 푸시 알림(Lite)
취약점 : CSRF를 통한 설정 업데이트
버전: 6.0.1에서 패치됨
심각도 점수 : 보통
28. 스포츠 프레스
플러그인: SportsPress
취약점 : 반사된 교차 사이트 스크립팅
버전: 2.7.9에서 패치됨
심각도 점수 : 높음
29. 로그인/회원가입 팝업
플러그인: 로그인/가입 팝업
취약점 : 반사된 교차 사이트 스크립팅
버전: 2.2에서 패치됨
심각도 점수 : 높음
30. WooCommerce용 이메일 미리보기
플러그인: WooCommerce용 이메일 미리보기
취약점 : 반사된 교차 사이트 스크립팅
버전: 2.0.0에서 패치됨
심각도 점수 : 보통
31. WP 사용자 프론트엔드
플러그인: WP 사용자 프론트엔드
취약점 : WordPress용 멤버십, 프로필, 등록 및 게시물 제출 플러그인
버전: 3.5.25에서 패치 됨
심각도 점수 : 보통
32. Directorist – 비즈니스 디렉토리 플러그인
플러그인: Directorist – 비즈니스 디렉토리 플러그인
취약점 : 원격 파일 업로드에 대한 CSRF
버전: 7.0.6.2에서 패치 됨
심각도 점수 : 치명적
33. 간편 등록 양식
플러그인: 간편한 등록 양식
취약점 : 저장된 교차 사이트 스크립팅에 대한 CSRF
버전에서 패치됨 : 알려진 수정 사항 없음
심각도 점수 : 높음
34. WP 리셋 프로
플러그인: WP 리셋 프로
취약점 : 가입자 + 데이터베이스 재설정
버전: 5.99에서 패치됨
심각도 점수 : 치명적
플러그인: WP 리셋 프로
취약점 : CSRF를 통한 데이터베이스 재설정
버전: 5.99에서 패치됨
심각도 점수 : 치명적
35. 워드프레스 + 마이크로소프트 오피스 365
플러그인: 워드프레스 + 마이크로소프트 오피스 365
취약점 : 인증되지 않은 저장된 교차 사이트 스크립팅
버전: 15.4에서 패치됨
심각도 점수 : 치명적
36. 중복 게시물
플러그인: 중복 게시물
취약점 : 인증된 SQL 주입
버전: 1.2.0에서 패치됨
심각도 점수 : 보통
37. 백업 마이그레이션
플러그인: 백업 마이그레이션
취약점 : Admin+ 저장된 교차 사이트 스크립팅
버전: 1.1.6에서 패치됨
심각도 점수 : 보통
취약한 플러그인 및 테마로부터 WordPress 웹사이트를 보호하는 방법
이 보고서에서 볼 수 있듯이 매주 많은 새로운 WordPress 플러그인 및 테마 취약점이 공개됩니다. 보고된 모든 취약점 공개를 파악하는 것이 어려울 수 있다는 것을 알고 있으므로 iThemes Security Pro 플러그인을 사용하면 사이트에서 알려진 취약점이 있는 테마, 플러그인 또는 WordPress 코어 버전을 실행하고 있지 않은지 쉽게 확인할 수 있습니다.
1. iThemes Security Pro 플러그인 설치
iThemes Security Pro 플러그인은 웹사이트가 해킹당하는 가장 일반적인 방법에 대해 WordPress 사이트를 강화합니다. 사용하기 쉬운 플러그인 하나로 사이트를 보호하는 30가지 이상의 방법이 있습니다.
2. 사이트 스캔을 활성화하여 알려진 취약점 확인
iThemes Security Pro의 버전 관리 기능은 사이트 스캔과 통합되어 사이트를 보호합니다. 취약한 테마, 플러그인 및 WordPress 핵심 버전은 자동으로 업데이트됩니다.
3. 파일 변경 사항 모니터링
보안 침해를 신속하게 감지하는 핵심은 웹사이트의 파일 변경 사항을 모니터링하는 것입니다. iThemes Security Pro의 파일 변경 감지 기능은 웹사이트의 파일을 스캔하고 웹사이트에 변경 사항이 발생하면 알려줍니다.
연중무휴 웹사이트 보안 모니터링으로 iThemes Security Pro 받기
WordPress 보안 플러그인인 iThemes Security Pro는 일반적인 WordPress 보안 취약성으로부터 웹사이트를 보호하고 보호하는 50가지 이상의 방법을 제공합니다. WordPress, 이중 인증, 무차별 대입 보호, 강력한 암호 적용 등을 사용하여 웹 사이트에 보안 계층을 추가할 수 있습니다.