WordPress 취약점 보고서: 2021년 10월, 2부
게시 됨: 2021-10-13취약한 플러그인과 테마는 WordPress 웹사이트가 해킹되는 #1 이유입니다. WPScan이 제공하는 주간 WordPress 취약성 보고서는 최근 WordPress 플러그인, 테마 및 핵심 취약성과 웹사이트에서 취약한 플러그인 또는 테마 중 하나를 실행하는 경우 수행할 작업을 다룹니다.
각 취약점의 심각도는 낮음 , 보통 , 높음 또는 치명적 입니다. 취약성에 대한 책임 있는 공개 및 보고는 WordPress 커뮤니티를 안전하게 유지하는 데 필수적인 부분입니다.
이 게시물을 친구들과 공유하여 소문을 퍼뜨리고 WordPress를 모두에게 더 안전하게 만들 수 있도록 도와주세요.
WordPress 핵심 취약점
최신 버전의 WordPress 코어는 보안 및 유지 관리 릴리스로 릴리스된 5.8.1입니다. 모범 사례로 항상 최신 버전의 WordPress 코어를 실행하십시오!
WordPress 플러그인 취약점
이 섹션에서는 최신 WordPress 플러그인 취약점이 공개되었습니다. 각 플러그인 목록에는 취약점 유형, 패치된 경우 버전 번호 및 심각도 등급이 포함됩니다.
1. 간편한 PayPal 지금 구매 버튼
플러그인: 간편한 PayPal 지금 구매 버튼
취약점 : 저장된 교차 사이트 스크립팅에 대한 CSRF
버전: 1.7.3에서 패치됨
심각도 점수 : 높음
2. 간편한 이벤트
플러그인: 간편한 이벤트
취약점 : Admin+ 저장된 교차 사이트 스크립팅
버전: 2.2.24에서 패치됨
심각도 점수 : 낮음
3. BP 더 나은 메시지
플러그인: BP Better Messages
취약점 : 반사된 교차 사이트 스크립팅
버전: 1.9.9.41에서 패치 됨
심각도 점수 : 높음
플러그인: BP Better Messages
취약점 : 다중 CSRF
버전: 1.9.9.41에서 패치 됨
심각도 점수 : 보통
4. Themify 빌더
플러그인: Themify 빌더
취약점 : 반사된 교차 사이트 스크립팅
버전: 5.3.2에서 패치됨
심각도 점수 : 높음
5. 먼 미래 만기 헤더
플러그인: Far Future 만료 헤더
취약점 : CSRF를 통한 플러그인 설정 업데이트
버전: 1.5에서 패치됨
심각도 점수 : 보통
6. 이미지 소스 제어
플러그인: 이미지 소스 제어
취약점 : 기여자 + 임의 포스트 메타 값 변경
버전: 2.3.1에서 패치됨
심각도 점수 : 보통
7. 로고 슬라이더 및 쇼케이스
플러그인: 로고 슬라이더 및 쇼케이스
취약점 : 에디터 플러그인 설정 업데이트
버전: 1.3.37에서 패치 됨
심각도 점수 : 낮음
8. WooCommerce를 위한 Cardinity 결제 게이트웨이
플러그인: WooCommerce용 Cardinity 결제 게이트웨이
취약점 : 반사된 교차 사이트 스크립팅
버전: 3.0.7에서 패치됨
심각도 점수 : 높음
9. Sonaar의 음악, 라디오 및 팟캐스트용 MP3 오디오 플레이어
플러그인: Sonaar의 음악, 라디오 및 팟캐스트용 MP3 오디오 플레이어
취약점 : 다중 Admin+ 크로스 사이트 스크립팅
버전: 2.4.2에서 패치됨
심각도 점수 : 낮음
10. 페이팔 기부
플러그인: 페이팔 기부
취약점 : CSRF에서 임의의 포스트 삭제까지
버전: 1.3.1에서 패치됨
심각도 점수 : 보통
플러그인: 페이팔 기부
취약점 : 저장된 교차 사이트 스크립팅에 대한 CSRF
버전: 1.3.1에서 패치됨
심각도 점수 : 높음
11. Dazzler의 건설 및 유지 관리 모드 출시 예정
플러그인: Dazzler의 건설 및 유지 관리 모드 출시 예정
취약점 : Admin+ 저장된 교차 사이트 스크립팅
버전: 1.6.7에서 패치됨
심각도 점수 : 낮음
12. 워드프레스 번역 – 구글 언어 번역기
플러그인: 워드프레스 번역 – Google 언어 번역기
취약점 : Admin+ 저장된 교차 사이트 스크립팅
버전: 6.0.12에서 패치 됨
심각도 점수 : 낮음
13. Booking.com 제품 도우미
플러그인: Booking.com 제품 도우미
취약점 : Admin+ 저장된 교차 사이트 스크립팅
버전에서 패치됨 : 알려진 수정 사항 없음 – 플러그인 종료 됨
심각도 점수 : 낮음
14. Booking.com 배너 생성기
플러그인: Booking.com 배너 생성기
취약점 : Admin+ 저장된 교차 사이트 스크립팅
버전에서 패치됨 : 알려진 수정 사항 없음 – 플러그인 종료 됨
심각도 점수 : 낮음
15. 간단한 다운로드 모니터
플러그인: 단순 다운로드 모니터
취약점 : 무단 로그 재설정
버전: 3.9.6에서 패치됨
심각도 점수 : 보통
플러그인: 단순 다운로드 모니터
취약점 : 임의의 썸네일 제거
버전: 3.9.6에서 패치됨
심각도 점수 : 보통
플러그인: 단순 다운로드 모니터
취약점 : 인증되지 않은 로그 접근
버전: 3.9.6에서 패치됨
심각도 점수 : 보통
플러그인: 단순 다운로드 모니터
취약점 : 반사된 교차 사이트 스크립팅
버전: 3.9.5에서 패치됨
심각도 점수 : 높음
플러그인: 단순 다운로드 모니터
취약점 : 파일 썸네일을 통한 Contributor+ Stored Cross-Site Scripting
버전: 3.9.5에서 패치됨
심각도 점수 : 높음
16. 양방향 채팅
플러그인: 양방향 채팅
취약점 : 다중 CSRF
버전: 3.1.5에서 패치됨
심각도 점수 : 보통
플러그인: 양방향 채팅
취약점 : Admin+ 로컬 파일 포함
버전: 3.1.5에서 패치됨
심각도 점수 : 낮음
17. WP-리콜
플러그인: WP-리콜
취약점 : 반사된 교차 사이트 스크립팅
버전: 16.24.48에서 패치 됨
심각도 점수 : 높음
18. JobSearch WP 구인 게시판
플러그인: JobSearch WP 구인 게시판
취약점 : 구독자+ 임의 블로그 옵션 업데이트
버전: 1.8.2에서 패치됨
심각도 점수 : 높음
플러그인: JobSearch WP 구인 게시판
취약점 : 인증되지 않은 플러그인 설정 업데이트
버전: 1.8.2에서 패치됨
심각도 점수 : 보통
플러그인: JobSearch WP 구인 게시판
취약점 : 가입자 + 일정 호출 추가/업데이트
버전: 1.8.2에서 패치됨
심각도 점수 : 보통
19. TheCartPress 전자 상거래 쇼핑 카트
플러그인: TheCartPress 전자 상거래 쇼핑 카트
취약점 : 저장된 교차 사이트 스크립팅에 대한 CSRF
버전에서 패치됨 : 알려진 수정 사항 없음 – 플러그인 종료 됨
심각도 점수 : 높음
20. MS스토어 API
플러그인: MSStore API
취약점 : 인증되지 않은 PHP 파일 업로드
버전에서 패치됨 : 알려진 수정 사항 없음 – 플러그인 종료 됨
심각도 점수 : 치명적
21. 미디어 파일 이름 바꾸기 - 자동 및 수동 이름 바꾸기
플러그인: 미디어 파일 이름 바꾸기 – 자동 및 수동 이름 바꾸기
취약점 : CSRF를 통한 미디어 타이틀/파일명/잠금 상태 업데이트
버전: 5.2.7에서 패치됨
심각도 점수 : 보통
22. 배치 고양이
플러그인: 배치 고양이
취약점 : 구독자+ 임의 카테고리 게시물에 추가/설정/삭제
버전에서 패치됨 : 알려진 수정 사항 없음 – 플러그인 종료 됨
심각도 점수 : 보통
23. q번역 X
플러그인: qTranslate X
취약점 : 다중 Admin+ 저장된 교차 사이트 스크립팅
버전에서 패치됨 : 알려진 수정 사항 없음 – 플러그인 종료 됨
심각도 점수 : 낮음
24. 세계 여행 정보
플러그인: 세계 여행 정보
취약점 : 반사된 교차 사이트 스크립팅
버전에서 패치됨 : 알려진 수정 사항 없음 – 플러그인 종료 됨
심각도 점수 : 높음
25. WP 서베이 플러스
플러그인: WP Survey Plus
취약점 : 가입자 + AJAX 호출
버전에서 패치됨 : 알려진 수정 사항 없음 – 플러그인 종료 됨
심각도 점수 : 높음
26. WP 사이트맵 페이지
플러그인: WP 사이트맵 페이지
취약점 : Admin+ 저장된 교차 사이트 스크립팅
버전에서 패치됨 : 알려진 수정 사항 없음
심각도 점수 : 낮음
27. WP 배너라이즈 2.0.0
플러그인: WP 배너라이즈 2.0.0
취약점 : 인증된 SQL 주입
버전에서 패치됨 : 알려진 수정 사항 없음 – 플러그인 종료 됨
심각도 점수 : 높음
28. 지니 WP 파비콘
플러그인: 지니 WP 파비콘
취약점 : CSRF를 통한 임의의 파비콘 변경
버전에서 패치됨 : 알려진 수정 사항 없음 – 플러그인 종료 됨
심각도 점수 : 보통
29. 피닉스 미디어 이름 변경
플러그인: 피닉스 미디어 이름 바꾸기
취약점 : 작성자 임의 미디어 파일 이름 변경
버전: 3.4.4에서 패치됨
심각도 점수 : 보통
30. 방문자 트래픽 실시간 통계
플러그인: 방문자 트래픽 실시간 통계
취약점 : 구독자+ SQL 인젝션
버전: 3.9에서 패치됨
심각도 점수 : 높음
31. AddToAny 공유 버튼
플러그인: AddToAny 공유 버튼
취약점 : Admin+ 저장된 교차 사이트 스크립팅
버전: 1.7.48에서 패치 됨
심각도 점수 : 낮음
32. 강력한 폼 빌더
플러그인: 강력한 Form Builder
취약점 : Admin+ 저장된 교차 사이트 스크립팅
버전: 5.0.07에서 패치 됨
심각도 점수 : 낮음
33. 방탄 보안
플러그인: 방탄 보안
취약점 : 민감한 정보 노출
버전: 5.2에서 패치됨
심각도 점수 : 보통
34. WP 전체 내보내기
플러그인: WP 모든 내보내기
취약점 : Admin+ 저장된 교차 사이트 스크립팅
버전: 1.3.1에서 패치됨
심각도 점수 : 낮음
35. 404 오류 페이지를 로그가 있는 홈페이지 또는 사용자 정의 페이지로 리디렉션
플러그인: 404 오류 페이지를 로그가 있는 홈페이지 또는 사용자 정의 페이지로 리디렉션
취약점 : CSRF를 통한 로그 삭제
버전: 1.7.9에서 패치됨
심각도 점수 : 보통
36. 데모 가져오기 도구에 액세스
플러그인: 데모 가져오기 도구 액세스
취약점 : 가입자 + 임의 파일 업로드
버전: 1.0.7에서 패치됨
심각도 점수 : 높음
37. 모니터 다운로드
플러그인: 모니터 다운로드
취약점 : 인증되지 않은 로그 다운로드
버전: 1.9.7에서 패치됨
심각도 점수 : 보통
플러그인: 모니터 다운로드
취약점 : 반사된 교차 사이트 스크립팅(XSS)
버전: 1.7.1에서 패치됨
심각도 점수 : 보통
플러그인: 모니터 다운로드
취약점 : 인증된 디렉터리 목록
버전: 1.6.4에서 패치됨
심각도 점수 : 보통
플러그인: 모니터 다운로드
취약점 : 다중 반사 교차 사이트 스크립팅
버전: 3.3.6.2에서 패치 됨
심각도 점수 : 보통
38. 무제한 팝업
플러그인: 무제한 팝업
취약점 : Author+ SQL Injection
버전에서 패치됨 : 알려진 수정 사항 없음 – 플러그인 종료 됨
심각도 점수 : 높음
39. 슈라이카스텐
플러그인: 슈라이카스텐
취약점 : Author+ SQL 주입
버전에서 패치됨 : 알려진 수정 사항 없음 – 플러그인 종료 됨
심각도 점수 : 높음
40. 포스트 콘텐츠 XMLRPC
플러그인: 포스트 콘텐츠 XMLRPC
취약점 : Author+ SQL 주입
버전에서 패치됨 : 알려진 수정 사항 없음 – 플러그인 종료 됨
심각도 점수 : 높음
41. 와우 폼
플러그인: Wow Forms
취약점 : Author+ SQL 주입
버전에서 패치됨 : 알려진 수정 사항 없음 – 플러그인 종료 됨
심각도 점수 : 높음
42. 자동 하이퍼링크
플러그인: G 자동 하이퍼링크
취약점 : Author+ SQL Injection
버전에서 패치됨 : 알려진 수정 사항 없음 – 플러그인 종료 됨
심각도 점수 : 보통
43. 카멜레온 CSS
플러그인: 카멜레온 CSS
취약점 : 구독자+ SQL 인젝션
버전에서 패치됨 : 알려진 수정 사항 없음 – 플러그인 종료 됨
심각도 점수 : 치명적
44. 스파이더 카탈로그
플러그인: 스파이더 카탈로그
취약점 : Author+ SQL Injection
버전에서 패치됨 : 알려진 수정 사항 없음 – 플러그인 종료 됨
심각도 점수 : 보통
45. 지원 보드
플러그인: 지원 보드
취약점 : Agent+ 저장된 Cross-Site Scripting
버전: 3.3.5에서 패치됨
심각도 점수 : 보통
46. 에이지 게이트
플러그인: 에이지 게이트
취약점 : 인증된 저장된 교차 사이트 스크립팅
버전: 2.16.4에서 패치됨
심각도 점수 : 보통
47. 인라인 관련 게시물
플러그인: 인라인 관련 게시물
취약점 : Admin+ 사이트 간 스크립팅
버전: 3.0.5에서 패치됨
심각도 점수 : 낮음
취약한 플러그인 및 테마로부터 WordPress 웹사이트를 보호하는 방법
이 보고서에서 볼 수 있듯이 매주 많은 새로운 WordPress 플러그인 및 테마 취약점이 공개됩니다. 보고된 모든 취약점 공개를 파악하는 것이 어려울 수 있다는 것을 알고 있으므로 iThemes Security Pro 플러그인을 사용하면 사이트에서 알려진 취약점이 있는 테마, 플러그인 또는 WordPress 코어 버전을 실행하고 있지 않은지 쉽게 확인할 수 있습니다.
1. 알려진 웹사이트 취약점 검색
iThemes Security Pro 플러그인은 WordPress 사이트가 해킹되는 #1 이유인 오래된 플러그인과 알려진 취약점이 있는 테마를 검색합니다.
2. 안전한 버전으로 자동 업데이트
iThemes Security Pro의 버전 관리 기능은 사이트 스캔과 통합되어 사이트를 보호합니다. 취약한 테마, 플러그인 및 WordPress 핵심 버전은 자동으로 업데이트됩니다.
3. 파일 변경 사항 모니터링
보안 침해를 신속하게 감지하는 핵심은 웹사이트의 파일 변경 사항을 모니터링하는 것입니다. iThemes Security Pro의 파일 변경 감지 기능은 웹사이트의 파일을 스캔하고 웹사이트에 변경 사항이 발생하면 알려줍니다.
연중무휴 웹사이트 모니터링으로 iThemes Security Pro 받기
WordPress 보안 플러그인인 iThemes Security Pro는 일반적인 WordPress 보안 취약성으로부터 웹사이트를 보호하고 보호하는 50가지 이상의 방법을 제공합니다. WordPress, 이중 인증, 무차별 대입 보호, 강력한 암호 적용 등을 사용하여 웹 사이트에 보안 계층을 추가할 수 있습니다.