플러그인 이름	1. JS 아카이브 목록
취약점 유형	PHP 객체 주입
CVE 번호	2. CVE-2026-2020
긴급	중간
CVE 게시 날짜	2026-03-11
소스 URL	2. CVE-2026-2020

3. JS 아카이브 목록 플러그인에서의 PHP 객체 주입 (<= 6.1.7) — 모든 워드프레스 소유자와 개발자가 지금 해야 할 일

날짜: 4. 2026년 3월 9일
심각성: 5. 중간 (CVSS 7.5) — CVE-2026-2020

---

6. 최근에 공개된 인기 있는 “JS 아카이브 목록” (jQuery Archive List Widget) 워드프레스 플러그인에서의 취약점 (영향을 받는 버전: ≤ 6.1.7, 6.2.0에서 패치됨)은 기여자 수준의 권한을 가진 인증된 사용자가 shortcode 속성을 통해 PHP 객체 주입을 수행할 수 있게 합니다. 7. 포함됨. 8. 이 유형의 취약점은 원격 코드 실행, 권한 상승, 데이터 유출, 사이트 변조 및 적절한 가젯/POP 체인과 함께 사용될 때 심각한 결과를 초래할 수 있기 때문에 위험합니다.

9. WP­Firewall 팀 — 관리형 워드프레스 방화벽 및 보안 서비스 제공자 — 의 목표는 이 게시물에서 이 취약점이 무엇인지, 공격자가 이를 어떻게 악용할 수 있는지, 악용 탐지 방법, 그리고 관리하는 사이트를 보호하기 위해 지금 취해야 할 정확한 단계에 대한 명확하고 실용적인 지침을 제공하는 것입니다.

10. 이 기사는 실제 워드프레스 보안 전문가의 관점에서 작성되었으며, 악용 세부사항이 아닌 실용적인 수정 및 위험 감소에 중점을 두고 있습니다.

---

요약

• 11. 취약점: JS 아카이브 목록 플러그인 버전 6.1.7까지의 shortcode 속성을 통한 PHP 객체 주입. 7. 포함됨 12. CVE: CVE-2026-2020.
• 13. 필요한 권한: 기여자 (게시 권한이 있는 인증된 사용자)
• 14. 영향: 중간 심각도 (CVSS 7.5) — 적절한 PHP 가젯 체인이 사이트에 존재할 경우 전체 손상으로 이어질 수 있음
• 15. 즉각적인 수정: 플러그인을 6.2.0 버전 이상으로 업데이트
• 16. 즉시 업데이트할 수 없는 경우: 임시 완화 조치 구현 (기여자 접근 제한, 신뢰할 수 없는 사용자에 대한 shortcode 비활성화, 방화벽 규칙 적용 / 가상 패치)
• 17. 권장 사항: 스캔, 강화, 모니터링 및 최소 권한 원칙 적용
• 18. PHP 객체 주입은 신뢰할 수 없는 사용자 입력이 적절한 검증이나 정화 없이 PHP

---

PHP 객체 주입 (POI)란 무엇인가요?

19. 루틴 (또는 기타 역직렬화 메커니즘)으로 전달될 때 발생합니다. 역직렬화() 적절한 검증이나 정화 없이 루틴(또는 기타 역직렬화 메커니즘). unserialize 애플리케이션 환경에서 발견된 동일한 클래스 정의로 PHP 객체를 재생성합니다; 만약 그 클래스 중 어떤 것이 마법 메서드를 정의하고 있다면 __깨우다, __파괴하다 또는 __toString 객체 속성에 대해 안전하지 않은 방식으로 작동할 수 있습니다(예: 파일 시스템 작업, 데이터베이스 쿼리 수행 또는 파일 포함). 공격자는 이러한 동작을 유발하기 위해 직렬화된 페이로드를 조작할 수 있습니다. “팝”(속성 지향 프로그래밍) 가젯 체인이 존재하는 경우 — 사이트에 존재하는 클래스의 마법 메서드 시퀀스 — 공격자는 원격 코드 실행, 파일 수정 또는 권한 상승과 같은 작업을 수행할 수 있습니다.

WordPress 환경에서는 플러그인 또는 테마 클래스가 종종 이러한 가젯의 출처입니다. 따라서 신뢰할 수 없는 사용자 데이터를 역직렬화하거나 사용자 제어 콘텐츠에서 객체를 인스턴스화하는 플러그인은 잠재적인 위험입니다.

---

이 취약점의 작동 방식(높은 수준, 악용되지 않음)

보고된 문제는 JS Archive List 플러그인이 하나의 단축 코드에서 7. 포함됨 속성을 허용하기 때문에 발생합니다. 기여자 권한을 가진 인증된 사용자는 게시물/페이지를 생성하거나 편집하고 단축 코드를 추가할 수 있습니다. 플러그인이 해당 7. 포함됨 속성을 처리하는 방식 — 특히 속성 값을 처리하거나 역직렬화하는 방식 — 는 안전하지 않습니다. 이는 악의적인 기여자가 사용자 제공 데이터에서 객체를 인스턴스화하도록 PHP를 유도하는 특별히 조작된 값을 보낼 수 있게 합니다. 결과적으로 PHP 객체 주입이 발생합니다.

이 취약점을 악용 가능하게 만드는 주요 요소:

• 기여자는 게시물 콘텐츠에 단축 코드를 추가할 수 있습니다. 이는 블로그 기여자에게 정상적인 기능입니다.
• 플러그인은 7. 포함됨 충분한 검증 없이 사용자 입력에서 객체를 역직렬화하거나 인스턴스화하는 방식으로 속성을 처리합니다.
• 사이트의 PHP 클래스 내에 적절한 가젯/POP 체인이 존재하며(종종 테마, 플러그인 또는 플랫폼 코드에 있음) 역직렬화된 객체에 의해 악의적인 작업을 수행하기 위해 호출될 수 있습니다.

이 익스플로잇은 인증된 기여자 접근이 필요하기 때문에 순수하게 인증되지 않은 원격 익스플로잇은 아닙니다. 그러나 기여자 수준의 접근은 다수의 저자 또는 커뮤니티 기반 WordPress 사이트에서 드물지 않으며, 공격자가 관리자 자격 증명보다 더 쉽게 얻을 수 있는 경우가 많습니다(예: 손상된 자격 증명, 약한 비밀번호 또는 사회 공학을 통해).

---

현실적인 공격자 시나리오

• 악의적이거나 손상된 기여자가 조작된 7. 포함됨 속성을 포함한 취약한 단축 코드가 있는 페이지 또는 게시물을 게시합니다. 게시 시 사이트는 단축 코드를 처리하고 객체를 인스턴스화하여 PHP 코드를 디스크에 기록하거나 관리자 사용자를 생성하는 가젯 체인을 트리거합니다.
• 사이트에 대한 기여자 수준의 자격 증명을 구매하거나 다른 방법으로 얻은 공격자는 취약점을 트리거하여 더 높은 권한을 얻습니다.
• 여러 사이트에서의 자동화된 남용: 공격자가 여러 사이트에서 최소한 기여자 수준의 계정을 제어할 수 있다면(예: 가짜 콘텐츠 제출 캠페인을 통해) 대량으로 악용을 시도할 수 있습니다.

---

악용될 경우 잠재적 영향

가젯 체인과 서버 구성의 가용성에 따라, 악용은 다음으로 이어질 수 있습니다:

• 원격 코드 실행(RCE)
• 관리자 계정의 생성 또는 수정
• 전체 사이트 손상(백도어, 악성 리디렉션, 스팸 주입)
• 데이터 유출(민감한 사이트 데이터, 사용자 목록, 이메일 주소)
• 파일 시스템 변조(악의적인 파일 쓰기, 삭제)
• 지속성 메커니즘(예약된 작업, 크론 작업)
• 동일 호스팅 환경 내 다른 사이트로의 측면 이동

RCE가 달성되지 않더라도 공격자는 종종 파일 포함 또는 조작을 사용하여 무결성과 가용성을 저하시킬 수 있습니다.

---

악용 및 의심스러운 징후를 감지하는 방법

WordPress 사이트를 운영하는 경우 다음 지표를 확인하십시오:

• 예상하지 못한 단축 코드가 포함된 새 게시물 또는 페이지 — 특히 7. 포함됨 속성 또는 기타 비정상적인 속성이 있는 단축 코드.
• 신뢰하지 않는 기여자 계정에 의한 콘텐츠 변경.
• 페이지 렌더링 또는 단축 코드 처리와 관련된 오류 로그에서 예상치 못한 PHP 오류 또는 치명적인 메시지.
• wp-content 디렉토리의 새 파일 또는 변경된 파일, 특히 업로드, 테마 또는 플러그인에 추가된 PHP 파일.
• 새 관리자 수준 사용자 또는 기존 사용자 역할 또는 권한의 변경.
• 생성하지 않은 의심스러운 예약 이벤트(wp_cron 항목).
• 서버에서의 비정상적인 외부 네트워크 활동 또는 DNS 조회.
• 패턴이 포함된 직렬화된 페이로드가 있는 데이터베이스 항목 O:\d+:"클래스이름": 또는 C:\d+:{…

이러한 징후 중 다수는 자동 스캐너 및 WAF에 의해 감지될 수 있습니다. 이러한 징후가 보이면 아래의 사고 대응 단계로 진행하십시오.

---

모든 사이트 소유자가 취해야 할 즉각적인 단계(사고 분류)

1. 즉시 업데이트
   가장 간단한 수정 방법은 JS Archive List 플러그인을 버전 6.2.0 이상으로 업데이트하는 것입니다. 이는 이 특정 문제를 해결하기 위해 릴리스된 패치입니다.
2. 즉시 업데이트할 수 없는 경우 다음과 같은 임시 완화 조치를 취하십시오:
   • 업데이트할 수 있을 때까지 플러그인을 제거하거나 비활성화하십시오.
   • 플러그인이 등록한 단축코드를 비활성화하십시오(플러그인 파일을 제어할 수 있는 경우, 단축코드 핸들러를 일시적으로 주석 처리하거나 등록 해제하십시오).
   • 신뢰하지 않는 기여자 수준의 계정을 제거하거나 기여자 권한을 일시적으로 변경하십시오(다음 섹션 참조).
   • 웹 애플리케이션 방화벽(WAF)을 사용하여 직렬화된 객체 패턴이 포함된 요청을 차단하십시오. 7. 포함됨 속성 — 아래에 가이드와 예시 서명을 제공합니다.
3. 사이트 스캔:
   • 전체 사이트 악성 코드 스캔 및 무결성 검사를 수행하십시오(파일을 알려진 좋은 백업 또는 복사본과 비교).
   • 업로드 디렉토리에서 최근에 변경된 파일과 예상치 못한 PHP 파일을 찾으십시오.
   • 비정상적인 활동에 대한 오류 로그를 확인하십시오.
4. 자격 증명 회전:
   • 손상이 의심되는 경우 저자, 기여자 및 관리자에 대해 비밀번호 재설정을 강제하십시오.
   • 영향을 받을 수 있는 경우 키와 비밀(API 키, 애플리케이션 비밀번호)을 교체하십시오.
5. 필요한 경우 복원:
   • 손상의 증거를 발견한 경우 사이트를 격리하고 손상 이전에 생성된 깨끗한 백업에서 복원하는 것을 고려하십시오.
   • 복원 후 사이트를 다시 온라인으로 가져오기 전에 플러그인 패치 및 강화 단계를 적용하십시오(아래 참조).
6. 감시 장치:
   새로운 의심스러운 변경 사항을 면밀히 모니터링하고 추가 악용 시도를 위한 로그를 확인하십시오.

---

WAF / 가상 패칭을 통한 완화(패치할 수 있을 때까지 시도를 차단하는 방법)

WAF를 관리하거나 WP­Firewall을 사용하는 경우, 정상적인 사이트 기능을 허용하면서 악용 시도를 차단하는 임시 규칙을 구현할 수 있습니다.

중요한: 공개 가이드에 악용 페이로드를 포함하지 마십시오. 다음은 안전하고 방어적인 규칙 아이디어입니다 — 패턴을 감지하고 의심스러운 입력을 차단하는 — 악용 페이로드 예시가 아닙니다.

차단하거나 로그할 것을 권장하는 감지 패턴:

• 직렬화된 PHP 객체 패턴이 포함된 요청 본체 또는 POST 매개변수를 차단하십시오:
  • 직렬화된 PHP 객체를 감지하는 정규 표현식: O:\d+:"[^"]+":\d+:{
  • 공격 페이로드에서 일반적으로 사용되는 직렬화된 PHP 문자열을 감지하는 정규 표현식: (O:\d+:|C:\d+:{)
• 다음 중 하나라도 포함된 요청을 차단합니다: 7. 포함됨 매개변수에 직렬화된 패턴 또는 NUL 바이트가 포함되어 있습니다.
• 의심스러운 직렬화된 데이터를 포함하는 기여자 계정에서 게시물을 생성하거나 편집하는 POST 또는 AJAX 요청을 차단합니다.

예제 의사 규칙(귀하의 WAF 관리자가 개념적으로 사용할 수 있도록):

• 요청에 매개변수가 포함된 경우 7. 포함됨 그리고 그 값이 정규 표현식과 일치합니다. O:\d+:"[^"]+":\d+:{, 그러면 요청을 차단하거나 도전(CAPTCHA)합니다.
• 다음에 POST하는 경우 wp-admin/post.php 기여자 역할을 가진 사용자의 요청에는 포함됨= 그리고 직렬화된 객체 정규 표현식과 일치하면, 기록하고 차단합니다.

예제 mod_security 스타일 패턴(의사):

SecRule REQUEST_BODY "@rx (?:O:\d+:"[^\"]+":\d+:\{)" "id:1000013,phase:2,deny,status:403,log,msg:'포함된 속성에서 PHP 직렬화된 객체 차단'"

주의: 조정이 필요합니다. 잘못된 긍정이 발생할 수 있으므로, 먼저 탐지/로그 모드에서 차단하고 거부로 전환하기 전에 모니터링합니다.

WP-Firewall 고객은 직렬화된 페이로드와 특성 패턴을 사용하는 취약한 단축 코드 매개변수를 차단하는 미리 구축된 안전한 가상 패치를 활성화할 수 있습니다. 이 가상 패치는 모든 사이트가 업데이트될 때까지 시간을 벌어줄 것입니다.

---

개발자 안내: 코드에서 이를 수정하는 방법

이 글을 읽고 있는 개발자 또는 플러그인 유지 관리자인 경우, 보안 코딩 원칙과 근본적인 결함을 수정하는 방법에 대한 개요는 다음과 같습니다:

1. 사용자 제어 데이터를 절대 역직렬화하지 마십시오.
   • 호출을 피하십시오 역직렬화() 신뢰할 수 없는 출처(단축 코드 속성, 게시물 내용, 요청 매개변수 등)에서 유래한 모든 데이터에 대해.
   • 더 안전한 형식(JSON)과 검증된 구조(예: 사용)를 선호합니다. 7. json_decode() 구조화된 입력을 반드시 수용해야 하는 경우에는 엄격한 검증을 수행하십시오.
2. 유효성을 검사하고 화이트리스트를 사용하십시오
   • 숏코드 속성이 리소스(파일, 템플릿, ID)를 참조하도록 의도된 경우, 허용된 값의 배열인 명시적 화이트리스트로 제한하십시오.
   • 파일 경로의 경우, 실제 경로() 체크 및 허용 목록 디렉토리를 사용하십시오. .. 또는 시작하거나 / NUL 바이트를 포함하는 값을 거부하십시오.
3. 예상되는 유형에 적합하게
   • WordPress 위생 기능 사용 (텍스트 필드 삭제, 금주, esc_attr정리하십시오.
   • 속성을 조기에 정리하고 잘못된 입력을 거부하십시오.
4. 권한 검사를 시행하십시오
   • 특권 효과가 있는 모든 작업이 적절한 권한을 요구하는지 검증하십시오(게시물 편집, wp_send_json_error( [ 'message' => '금지됨' ], 403 );, 관리_옵션).
   • 민감한 작업을 수행하는 숏코드 로직은 기여자가 숏코드를 사용했다고 해서 단순히 실행되어서는 안 됩니다.
5. 위험한 작업을 격리하십시오.
   • 임의의 PHP 파일을 포함하거나 사용자 입력에 따라 코드를 실행하는 것을 피하십시오.
   • 템플릿 포함이 필요하다면, 사용자 입력의 직접 포함 대신 제어된 매핑을 사용하여 숏코드를 내부 템플릿 파일에 매핑하십시오.
6. 방어적 기본값을 제공하십시오.
   • 속성이 누락되거나 유효하지 않은 경우, 안전한 기본값을 사용하십시오; 잘 형성된 직렬화된 객체의 존재를 절대 가정하지 마십시오.

방어적 숏코드 처리의 예(개념적일 뿐):

<?php

핵심 아이디어: 속성 값을 알려진 템플릿에 매핑하고, 사용자 입력에서 오는 직렬화된 객체를 절대 수용하지 않으며, 철저한 검증 없이 절대 역직렬화하지 마십시오.

---

사이트 소유자 및 관리자를 위한 보안 강화 권장 사항

1. 모든 것을 업데이트하십시오.
   • 플러그인 업데이트(6.2.0+)를 최우선으로 적용하십시오. WordPress 코어, 테마 및 기타 플러그인을 업데이트 상태로 유지하십시오.
2. 최소 권한의 원칙
   • 사용자 역할 및 권한을 검토하십시오. 신뢰할 수 있는 사람에게만 기여자 역할을 부여하십시오. 게스트 저자가 실제로 기여자 계정이 필요한지 고려하십시오. 많은 사이트에서 조정된 제출 워크플로우(양식을 통한)가 더 안전합니다.
3. 단축 코드 관리
   • 신뢰할 수 없는 역할에 대해 단축 코드를 제한하거나 비활성화하십시오. 게시물 내용에서 단축 코드를 사용할 수 있는 사람을 제한하기 위해 플러그인이나 코드를 사용하십시오.
4. 웹 애플리케이션 방화벽(WAF)
   • WAF(서버 측 또는 플러그인 기반 방화벽)를 배포하고 직렬화 기반 페이로드 및 의심스러운 관리자 영역 활동을 감지하고 차단하는 규칙을 활성화하십시오.
5. 모니터링 및 로깅
   • 관리자 작업 및 파일 변경에 대한 철저한 로깅을 활성화하십시오. 예상치 못한 파일 추가 또는 변경을 감지하기 위해 파일 무결성 모니터링을 사용하십시오.
6. 백업 및 복구
   • 오프사이트 복사본이 있는 테스트된 백업을 유지하십시오. 빠르게 손상 이전 상태로 복원할 수 있는지 확인하십시오.
7. 손상 여부를 스캔하세요
   • 파일 시스템, 데이터베이스 및 테마/플러그인에서 악성 코드 검사를 실행하십시오. 난독화된 PHP를 찾으십시오, 평가() 업로드에서의 사용 또는 /wp-콘텐츠/업로드.
8. 업로드에서 PHP 실행 비활성화
   • 업로드 디렉토리에서 PHP 실행을 방지하기 위해 적절한 .htaccess 또는 서버 구성 규칙을 추가하십시오. 이는 파일이 업로드에 기록될 경우 피해를 제한하는 데 도움이 됩니다.

---

대응 플레이북(피해를 입었다고 의심되는 경우)

1. 사이트를 유지 관리/격리 모드로 전환하십시오(필요하다면 오프라인으로 전환하십시오).
2. 로그(웹 서버, PHP, WAF, 데이터베이스)를 수집하고 파일 시스템의 스냅샷을 찍으십시오.
3. 침입의 벡터와 범위를 식별하십시오: 수정된 파일 및 데이터베이스 변경 사항을 확인하십시오.
4. 가능한 경우 알려진 깨끗한 백업에서 복원하고 플러그인 업데이트 및 기타 사용 가능한 패치를 적용하십시오.
5. 자격 증명 및 키를 교체하십시오: WordPress 계정, 호스팅 패널, 데이터베이스, API 키.
6. 백도어가 남아 있지 않도록 파일 권한 및 서버 구성을 재감사하십시오.
7. 정리 후, 재발 방지를 위해 향상된 모니터링, 경고 및 WAF 가상 패치를 활성화하십시오.

이러한 작업을 스스로 수행하는 데 자신이 없다면, WordPress 경험이 있는 유능한 사고 대응 파트너를 참여시키십시오.

---

기여자 수준의 취약점이 중요한 이유(그리고 많은 사이트가 노출되는 이유)

많은 사이트 소유자들은 관리자 수준의 취약점만 위험하다고 가정합니다. 그것은 실수입니다. 기여자 계정은 종종 짧은 코드, HTML 삽입 또는 업로드를 포함하는 콘텐츠를 추가할 수 있으며, 이러한 기능은 입력을 잘못 처리하는 무기화된 플러그인에 대한 충분한 공격 표면을 제공합니다.

커뮤니티 블로그, 다중 저자 잡지, 회원 플랫폼 및 제출 기반 사이트는 많은 사용자에게 콘텐츠 생성 권한을 정기적으로 부여하기 때문에 특히 위험에 처해 있습니다. 이러한 사이트 중 하나를 운영하는 경우, 취약점은 특히 관련이 있습니다.

---

사용할 수 있는 보수적인 WAF 규칙의 예 (개념적)

아래는 귀하의 보안 관리자 또는 WAF 제공자가 조정하고 조정할 수 있는 안전하고 방어적인 샘플입니다. 이는 직렬화된 PHP 객체를 감지하고 요청을 차단합니다. 차단으로 이동하기 전에 감지/로그 모드에서 시작하십시오.

메모: 이것은 개념적이며 귀하의 환경에 맞게 조정되어야 합니다 (요청 인코딩, 허용된 예외, 성능 테스트).

# 모든 요청 매개변수에서 직렬화된 PHP 객체 감지 (대소문자 구분 없음)"

# 매개변수 'included'에서 직렬화된 객체를 특별히 감지 (위험한 짧은 코드 속성).

---

다시: 테스트하고, 모니터링하고, 조정하십시오. 드문 합법적인 직렬화된 콘텐츠에 대해 잘못된 긍정이 발생할 수 있습니다.

• 장기적인 개발자 수정 및 플랫폼 전반의 교훈.
• 사용자 공간에서 직렬화된 PHP 구조를 수락하지 마십시오. 구조화된 데이터를 전달해야 하는 경우 JSON을 사용하고 스키마를 엄격하게 검증하십시오.
• 현대적인 PHP 패턴을 사용하고 중요한 작업에 대해 매직 메서드가 많은 클래스를 사용하지 마십시오; 이는 역직렬화가 가능할 때 악용될 수 있는 가젯 체인을 생성합니다.
• 구조화된 콘텐츠를 수락하는 API를 작성할 때는 유형화된 데이터와 스키마 검증을 사용하십시오.

---

플러그인 저자에게 기본적으로 안전한 설계를 채택하도록 권장하십시오: 입력 화이트리스트, 최소 권한 및 강력한 정화.

• 에이전시, 호스트 및 사이트 관리자용 실용적인 체크리스트.
• JS Archive List 플러그인을 사용하는 사이트 목록을 작성하고 버전을 식별하십시오.
• 모든 사이트를 즉시 패치된 플러그인 버전(6.2.0+)으로 업데이트하십시오.
• 업데이트가 불가능한 경우, 플러그인을 비활성화하거나 신뢰할 수 없는 기여자 계정을 제거하십시오.
• 관리 영역 POST에서 직렬화된 객체 패턴을 감지하고 차단하기 위해 임시 WAF 규칙을 적용하십시오.
• 위에서 설명한 IOC에 대해 전체 파일 시스템 및 데이터베이스 스캔을 실행하십시오.
• 파일 권한을 확인하고 업로드에서 PHP 실행을 비활성화하십시오.
• 의심스러운 관리자 영역 활동에 대한 지속적인 모니터링 및 경고를 구현하십시오.

---

마지막 말: 기다리지 마십시오 — 기여자 취약점을 실제로 취급하십시오.

이 취약점은 겉보기에는 미미한 기능(단축 코드 속성)이 안전하지 않은 입력 처리와 결합되어 사이트 전체의 손상으로 빠르게 확대될 수 있음을 보여줍니다. 지금 플러그인을 업데이트하십시오. 여러 사이트를 관리하거나 호스팅하는 경우, 패치를 전체에 배포하고 모든 인스턴스가 패치되었음을 확인할 때까지 WAF에서 자동 보호 규칙을 활성화하십시오.

보안은 계층화되어 있습니다: 업데이트, 최소 권한, WAF, 모니터링, 백업 및 사고 대응이 모두 함께 작동해야 합니다.

---

WP­Firewall로 즉각적인 무료 보호 — 여기서 시작하십시오.

플러그인을 업데이트하고 사이트를 강화하는 동안 즉각적인 보호를 원하신다면, WP­Firewall은 WordPress에 맞춘 필수 관리 보호를 제공하는 기본(무료) 요금제를 제공합니다:

• 필수 보호: 관리형 방화벽, 무제한 대역폭, 웹 애플리케이션 방화벽(WAF), 악성 코드 스캐너
• OWASP 상위 10대 위험 완화
• 무료 요금제는 공급업체 업데이트를 적용하거나 전체 보안 검토를 수행하는 동안 가상 패치를 신속하게 추가하고 악용 시도를 차단하는 데 이상적입니다.

자동 악성코드 제거, IP 블랙리스트/화이트리스트, 월간 보안 보고서, 자동 취약점 가상 패치 및 프리미엄 지원 서비스가 필요하다면 업그레이드 옵션이 제공됩니다.

지금 무료 요금제에 가입하고 업데이트하는 동안 사이트를 보호하십시오: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

---

유용한 참고 자료 및 추가 읽기

• CVE-2026-2020 (공식 자문 식별자)
• PHP 역직렬화 위험 및 방어에 대한 일반 지침
• WordPress 개발자 문서: 단축 코드 등록 및 정리, 사용자 권한
• WAF 조정: 감지 모드에서 시작하고, 로그를 검토한 후 시행하십시오.

---

WordPress 사이트를 관리하고 분류, 손상 지표 스캔, 가상 패치 또는 플러그인 강화에 대한 지원이 필요하다면, WP­Firewall의 WordPress 보안 엔지니어 팀이 단계별 수정 및 장기 보호 계획을 도와드릴 수 있습니다. 사이트를 악용으로부터 보호하는 것은 패치를 적용하는 것만이 아니라, 취약한 코드에 도달하기 전에 공격을 차단하고, 공격 표면을 줄이며, 빠르고 신뢰할 수 있는 복구 프로세스를 갖추는 것입니다.

안전하게 지내시고, 지금 플러그인을 업데이트하십시오.