웰던 테마에서 악용 가능한 로컬 파일 포함//2026-02-28에 게시됨//CVE-2026-28118

WP-방화벽 보안팀

Welldone CVE 2026-28118 Image

플러그인 이름 잘했어요
취약점 유형 로컬 파일 포함
CVE 번호 CVE-2026-28118
긴급 높은
CVE 게시 날짜 2026-02-28
소스 URL CVE-2026-28118

긴급: Welldone 테마에서의 로컬 파일 포함(Local File Inclusion) (<= 2.4) — 워드프레스 사이트 소유자가 지금 당장 해야 할 일

높은 심각도의 로컬 파일 포함(LFI) 취약점이 Welldone 워드프레스 테마(버전 <= 2.4)에 영향을 미친다는 것이 공개되었습니다. CVE-2026-28118로 추적되며 CVSS 기본 점수 8.1이 부여된 이 취약점은 인증되지 않은 공격자가 취약한 사이트에서 로컬 파일을 포함하고 그 내용을 공격자에게 노출할 수 있게 합니다. 로컬 파일에 저장된 정보(데이터베이스 자격 증명, API 키, 구성 세부정보)는 전체 손상으로 이어질 수 있으므로 영향을 받는 테마를 실행하는 모든 사이트에 대해 즉각적인 완화가 필요합니다.

저는 WP‑Firewall 보안 팀의 일원으로서 실용적이고 실질적인 지침을 제공하기 위해 글을 씁니다: 이것이 왜 위험한지, 기술적 수준에서 어떻게 작동하는지, 공격 시도를 감지하는 방법, 그리고 워드프레스 사이트를 보호하기 위해 취할 수 있는 즉각적이고 중기적인 조치의 우선순위 목록입니다. 여러 사이트를 관리하거나 관리형 호스팅 클라이언트를 운영하는 경우, 이 게시물을 팀과 공유하세요 — 아래 단계는 긴급성과 구현 용이성에 따라 분류되었습니다.

공개 요약

  • 영향을 받는 소프트웨어: Welldone 워드프레스 테마
  • 취약한 버전: <= 2.4
  • 취약점 유형: 로컬 파일 포함 (LFI)
  • CVE: CVE-2026-28118
  • CVSS: 8.1 (높음)
  • 권한이 필요합니다: 없음(인증되지 않음)
  • 영향: 임의의 로컬 파일 읽기; 자격 증명 및 민감한 파일의 공개 가능성; 서버 구성에 따라 전체 장악으로 이어질 수 있음
  • 보고자: Tran Nguyen Bao Khanh (2025년 8월 19일 보고; 2026년 2월 26일 공개)

LFI가 워드프레스 사이트에 위험한 이유

로컬 파일 포함은 애플리케이션이 사용자 제공 입력을 사용하여 로컬 파일에 대한 경로를 구축하고, 적절한 검증이나 정화 없이 그 경로를 포함하거나 읽을 때 발생합니다. PHP에서는 14. 경고가 테마 디렉토리 외부의 경로와 함께 표시되는 WordPress 디버그 로그 및 PHP 오류 로그., require(), include_once()의 안전하지 않은 사용으로 나타납니다., 그리고 require_once() 이러한 버그가 나타나는 일반적인 장소입니다 — 특히 URL 매개변수에 따라 템플릿 부분이나 외부 파일을 로드하는 테마와 플러그인에서 그렇습니다.

워드프레스 사이트의 경우 결과가 특히 심각합니다:

  • wp-config.php 종종 데이터베이스 자격 증명 및 솔트를 포함합니다; 이를 읽으면 공격자가 전체 데이터베이스에 접근할 수 있습니다.
  • 다른 파일에는 API 키, SMTP 자격 증명 또는 독점 데이터가 포함될 수 있습니다.
  • PHP 래퍼(예:, php://filter) 또는 업로드 위치에 접근할 수 있는 경우, 공격자는 파일 읽기에서 코드 실행으로 상승할 수 있습니다(예: 나중에 백도어를 저장하는 데 사용될 수 있는 쓰기 가능한 업로드를 찾아서 끌어오는 방식으로).
  • 이 결함은 인증 없이 접근할 수 있기 때문에 대량 자동 스캔 및 공격 시도가 발생할 가능성이 높습니다 — 그리고 우리는 기회를 노리는 공격자들이 노출된 설치를 빠르게 타겟할 것으로 예상합니다.

공격자가 일반적으로 LFI를 악용하는 방법(고급)

공격자는 파일 포함 호출에 사용되는 매개변수를 발견합니다(예: 다음과 같은 것). include( $template_path . $_GET['page'] . '.php' ); ). 해당 매개변수가 검증되지 않으면, 공격자는 디렉토리 탐색을 통해 다른 로컬 파일을 참조하는 요청을 보낼 수 있습니다 (../../../../wp-config.php) 또는 PHP 스트림 래퍼를 통해 (php://filter, data://). 직접 포함이 차단되더라도, 많은 LFI 체인은 먼저 파일, 로그를 노출시키거나 다른 접근 가능한 리소스를 포함시켜 원격 코드 실행(RCE)으로 전환될 수 있습니다.

여기에서는 작동하는 익스플로잇 페이로드를 공유하지 않겠지만, 방어자들이 아래 탐지 섹션에 설명된 패턴과 지표를 인식하는 것이 중요합니다.

공격 및 침해의 지표 — 무엇을 찾아야 하는가

이러한 징후에 대해 로그(웹 서버 접근 로그, PHP 오류 로그, WordPress 로그)를 모니터링하세요:

  1. 쿼리 문자열에 디렉토리 탐색 패턴이 포함된 요청:
    • 인코딩되지 않거나 인코딩된 "../" 시퀀스(예:, .., %2e%2e%2f)
    • 반복된 탐색 시도와 같은 ../../../../
  2. 민감한 파일 이름을 참조하는 요청:
    • wp-config.php, wp-config.php.bak, .env, /etc/passwd, .htpasswd, 등.
  3. 일반적인 LFI 매개변수 이름을 사용하는 요청:
    • 이름이 지정된 쿼리 매개변수 file, 페이지, 주형, inc, 경로, 모듈, 또는 기타
    • 다양한 탐색 페이로드를 가진 테마 엔드포인트에 대한 갑작스러운 요청 폭주
  4. PHP 스트림 래퍼 패턴의 사용:
    • php://filter, 5. expect://, data:// 쿼리 매개변수에 나타나는
  5. 비정상적인 로그 항목 또는 새로운 PHP/JS 파일이 있는 wp-content/uploads, wp-content/themes//, 또는 다른 쓰기 가능한 디렉토리:
    • 의심스러운 이름의 파일
    • 최근에 수정된 템플릿 또는 플러그인 파일 중 당신이 변경하지 않은 것
  6. 갑작스러운 비정상적인 데이터베이스 쿼리, 예상치 못한 관리자 사용자 생성 또는 핵심 테마/플러그인 파일의 변경.

위의 항목 중 하나라도 발견하면, 이를 높은 우선 순위로 처리하고 아래의 사건 단계를 따르십시오.

즉각적인 (시간 단위) 완화 — 분류된 실용적인 조치

영향을 받는 버전 중 하나가 있거나 확실하지 않은 경우, 이러한 즉각적인 완화 조치 중 하나 이상을 적용하십시오. 속도와 영향에 따라 정렬되어 있습니다:

  1. 취약한 테마를 일시적으로 비활성화:
    • 기본 테마로 전환 (예: 깔끔하고 유지 관리되는 표준 테마). 짧은 시각적 변화를 감수할 수 있다면 공격 표면을 제거하는 가장 빠른 방법입니다.
    • 그것이 불가능한 경우, 다른 완화 조치를 적용하는 동안 사이트를 유지 관리 모드로 전환하십시오.
  2. 파일 시스템에서 취약한 테마를 제거하거나 격리:
    • 서버에 접근할 수 있는 경우 (SFTP/SSH), 취약한 테마 디렉토리의 이름을 변경하거나 제거하십시오 wp-content/themes/. 이렇게 하면 테마 코드가 실행되는 것을 방지합니다.
    • 중요한: 조사 중이라면 분석을 위해 복사본(서버 외부)을 보관하십시오.
  3. 웹 서버 또는 웹 애플리케이션 방화벽에서 의심스러운 요청 차단:
    • 디렉토리 탐색 시퀀스와 핵심 파일에 접근하려는 시도를 차단:
    • 예시 (nginx, 단순화): 인코딩된 요청을 거부 .. 시퀀스 또는 php://:
      • if ($request_uri ~* "(||\.\./|\.\.\\)") {
    • 메모: 서버 전체 규칙을 적용하기 전에 신중한 테스트를 사용하여 합법적인 URL이 깨지는 것을 피하십시오; 가능할 경우 스테이징 사이트에서 테스트하십시오.
    • 예시 (Apache .htaccess) — wp-config에 대한 직접 접근을 거부하고 의심스러운 패턴이 있는 쿼리 문자열을 차단합니다:
      • <Files "wp-config.php">
  Order allow,deny
  Deny from all
</Files>

# Block attempts to access common sensitive files
<IfModule mod_rewrite.c>
  RewriteEngine On
  # Block requests containing ../ or php:// or data:// (basic)
  RewriteCond %{QUERY_STRING} (\.\.|php://|data://) [NC,OR]
  RewriteCond %{REQUEST_URI} (\.\.|php://|data://) [NC]
  RewriteRule ^.* - [F,L]
</IfModule>
  4. 파일 권한 및 소유권을 강화합니다 (빠른 점검):
    • 보장하다 wp-config.php 전 세계에서 읽을 수 없습니다. 권장 권한:
      • wp-config.php → 서버 설정에 따라 400 또는 440
      • 디렉토리 → 755
      • 파일 → 644 (민감한 구성 파일은 더 엄격해야 함)
    • 파일이 올바른 사용자에게 소유되고 있는지 확인하십시오 (호스트가 더 안전한 분리를 지원하는 경우 웹 서버의 사용자가 파일을 소유해서는 안 됩니다).
  5. 가능한 경우 위험한 PHP 래퍼 및 함수를 비활성화하십시오:
    • ~ 안에 php.ini, 확인하십시오 allow_url_fopen = 끔 그리고 allow_url_include = 끄기. 이는 원격 파일 포함 또는 스트림 래퍼 남용의 위험을 줄입니다.
    • 위험한 기능을 비활성화하는 것을 고려하십시오 (애플리케이션이 필요하지 않은 경우에만): exec, shell_exec, system, 는 WordPress에서 거의 필요하지 않으며, proc_open, popen. 를 포함하는 요청을 검색하십시오.
      • disable_functions = exec,shell_exec,system,passthru,proc_open,popen
  6. 파일 로드에 사용되는 사용자 제공 매개변수를 차단합니다:
    • 특정 테마 엔드포인트가 매개변수를 수락하는 경우를 식별하면 file 또는 주형 해당 매개변수 이름을 포함하는 요청에 대한 빠른 서버 측 차단 규칙을 추가하십시오. 테마가 패치될 때까지.
  7. WAF/가상 패치를 활성화합니다
    • 관리형 웹 애플리케이션 방화벽(WAF) 또는 가상 패치를 배포할 수 있는 보안 플러그인을 실행하는 경우, 다음을 감지하는 규칙을 활성화하거나 추가하십시오:
      • 디렉토리 탐색 시퀀스를 감지합니다
      • 감지 php:// 그리고 data:// 래퍼
      • 접근을 시도하는 요청 차단 wp-config.php 또는 기타 민감한 파일
    • 가상 패칭은 기본 코드가 취약한 상태로 남아 있더라도 악용을 방지하여 공식 패치가 제공될 때까지 시간을 벌어줍니다.

중기(일수) 수정 및 검증

  1. 테마를 교체하거나 업데이트
    • CVE-2026-28118을 해결하는 공식 패치 또는 새로운 테마 버전이 있는지 확인하십시오. 공식 패치된 릴리스가 제공되면 스테이징에서 철저히 테스트한 후 프로덕션을 업데이트하십시오.
    • 공식 패치가 존재하지 않는 경우, 유지 관리되는 대체 테마 또는 유지 관리되는 기본 테마의 사용자 정의 자식으로 테마를 교체하는 것을 고려하십시오.
  2. 웹쉘 및 의심스러운 파일에 대해 파일 시스템을 감사하십시오.
    • 스캔하세요 wp-content/uploads, 테마 디렉토리 및 플러그인 디렉토리에서:
      • 있어서는 안 되는 곳에 실행 가능한 PHP 파일
      • 인식할 수 없는 최근 변경된 타임스탬프가 있는 파일
      • 침입 탐지 시스템의 알려진 지표
  3. 자격 증명 및 비밀 회전
    • 모든 WordPress 관리자 비밀번호, 데이터베이스 비밀번호, API 키 및 서버에 저장되거나 노출될 수 있는 기타 자격 증명을 변경하십시오.
    • 백업에서 복원하는 경우, 이후 자격 증명을 회전하십시오.
  4. 서버 및 애플리케이션 로그 검토
    • 공개 날짜 전후의 로그를 돌아보며 성공적인 악용을 나타내는 의심스러운 활동을 확인하십시오(예: 민감한 파일 출력을 포함하는 응답 코드 또는 반복적인 악용 시도).
    • 필요한 포렌식 작업을 위해 관련 로그를 안전한 위치로 내보내십시오.
  5. 전체 사이트 악성 코드 스캔 및 무결성 검사
    • 전체 악성 코드 스캔을 실행하십시오. 많은 스캐너가 웹쉘, 백도어 및 수정된 핵심 파일을 감지합니다.
    • 파일 무결성 도구를 사용하여 코드베이스를 알려진 양호한 소스와 비교하십시오.
  6. 침해가 확인되면 깨끗한 백업에서 복원하십시오.
    • 완전히 정리할 수 없는 침해 증거를 발견한 경우, 침해의 초기 징후가 나타나기 전의 백업에서 복원하십시오. 복원 후 다른 수정 단계를 수행하는 것을 잊지 마십시오(엄격한 권한, 자격 증명 회전).

장기적인 예방 및 강화(주 / 지속적)

  1. 최소 권한의 원칙
    • 파일 및 데이터베이스 사용자가 필요한 권한만 가지도록 하십시오.
    • 파일을 수정할 수 있는 동일한 사용자로 웹 서버 프로세스를 실행하지 마십시오.
  2. 환경 격리
    • 스테이징 및 프로덕션 환경을 격리하십시오.
    • 서로 다른 환경에 대해 서로 다른 자격 증명을 사용하십시오.
  3. 지속적인 모니터링 및 경고
    • 로그(접근, 오류, PHP)를 중앙 집중화하고 다음에 대한 경고를 추가하십시오:
      • 디렉토리 탐색 시도
      • 참조하는 요청 wp-config.php 및 기타 민감한 파일
      • 4xx/5xx 응답의 비정상적인 급증
  4. 정기적인 취약점 스캔
    • 테마 및 플러그인 코드에 대한 자동 스캔 및 정기적인 수동 검토를 수행하십시오.
    • 취약점 정보 피드를 구독하고 패치 관리 절차를 반응적으로 구성하십시오.
  5. 정기적인 백업 및 테스트된 복원
    • 오프사이트, 버전 관리된 백업을 유지하고 복원 절차를 정기적으로 테스트하세요.
  6. 워드프레스를 자체적으로 강화하기
    • WordPress 코어, 플러그인 및 테마를 업데이트하십시오.
    • 사용하지 않는 플러그인과 테마를 제거합니다.
    • 테마 및 플러그인 편집기를 비활성화하거나 보호하십시오.
    • 보안 헤더를 구현하고 모든 곳에서 HTTPS를 사용하십시오.

제안된 WAF 탐지 및 방지 규칙(개념적)

아래는 WAF 또는 서버 규칙 세트에 적용할 수 있는 방어 패턴입니다. 이는 개념적 정규 표현식 서명이며 잘못된 긍정을 피하기 위해 배포 전에 테스트해야 합니다.

  • 디렉토리 탐색 시도를 차단하는 요청 (기본):
    • 정규식: (\.\./|\.\.\\||)
  • php://, data://, expect:// 래퍼를 차단합니다:
    • 정규식: (php://|data://|expect://|zip://|phar://)
  • 쿼리 문자열에서 민감한 파일을 참조하려는 시도를 차단합니다:
    • 정규식: (wp-config\.php|/etc/passwd|/proc/self/environ|\.env|\.htpasswd)
  • 난독화를 나타내는 인코딩된 문자 시퀀스가 길게 이어지는 것을 차단합니다:
    • 정규식: (%[0-9A-Fa-f]{2}){6,}

예시 의사 규칙 (WAF 비종속):

  • 요청 쿼리 문자열이 다음 중 하나와 일치하면:
    • (\.\./|\.\.\\||) 또는
    • (php://|data://|expect://) 또는
    • (wp-config\.php|/etc/passwd|\.env)

    → 그러면 요청을 차단하고 (HTTP 403) 검토를 위해 세부 정보를 기록합니다.

잘못된 긍정 반응에 대한 주의 사항: 많은 CMS와 합법적인 라이브러리는 위험한 패턴과 유사한 토큰을 포함할 수 있습니다. 모든 패턴을 신중하게 테스트하고, 규칙의 범위를 가능성이 있는 엔드포인트(테마 파일, 포함 엔드포인트)로 제한하며, 점진적으로 범위를 좁히십시오.

사이트가 손상된 경우 — 사고 대응 체크리스트

손상을 확인하면 즉시 다음 단계를 따르십시오:

  1. 사이트를 오프라인으로 전환(유지 관리 모드)하거나 호스트를 격리합니다.
  2. 포렌식 분석을 위해 사이트와 로그의 전체 스냅샷을 찍습니다.
  3. 모든 비밀번호를 변경합니다(관리자 사용자, 데이터베이스, FTP/SFTP, 제어판).
  4. 서버에 저장되었을 수 있는 모든 키와 토큰을 교체합니다.
  5. 악성 파일과 웹쉘을 스캔하고 제거하십시오. 수동 청소에 자신이 없다면, 깨끗한 백업에서 복원하십시오.
  6. 데이터베이스 무결성을 확인하고 무단 관리자 사용자 또는 콘텐츠 주입을 제거하십시오.
  7. 공격자가 어떻게 접근했는지와 어떤 수평 이동을 실행했는지 식별하기 위해 전체 감사를 수행하십시오.
  8. 필요하다면 알려진 좋은 소스에서 환경을 재구성하십시오; 백도어가 복잡하다면 “단순 청소”에 의존하지 마십시오.

WP‑Firewall이 어떻게 도움이 되는지 (관리형 WAF가 당신을 위해 하는 일)

관리형 워드프레스 보안 서비스의 관점에서, 우리는 여러 계층을 결합하여 사이트를 강화하고 보호합니다:

  • 가상 패치(WAF 규칙): 이러한 LFI와 같은 취약점이 나타날 때, 우리는 공급업체 패치가 제공될 때까지 사이트 전반에 걸쳐 악용 패턴을 감지하고 차단하는 타겟 규칙을 배포할 수 있습니다.
  • 관리형 방화벽 및 요청 검사: 요청 매개변수의 실시간 파싱을 통해 탐색 시퀀스, PHP 래퍼 사용 및 기타 악용 서명을 차단합니다.
  • 악성 코드 스캔 및 자동 정리: 악성 파일을 찾기 위한 지속적인 스캔과 많은 알려진 웹쉘 및 백도어에 대한 자동 제거.
  • OWASP Top 10 완화: 가장 일반적인 위협 클래스(주입, 깨진 인증, LFI/RFI 등)로부터의 위험을 줄이기 위해 설계된 체계적인 보호.
  • 모니터링, 경고 및 보고: 우리는 트래픽 이상을 모니터링하고 악용 시도나 손상 증거를 감지하면 적시에 경고를 발행합니다.

우리는 계층화된 전략을 권장합니다: 가상 패치 및 WAF 보호를 안전한 구성, 빠른 업데이트 및 모니터링과 결합하십시오. 가상 패치는 공식 업데이트나 테마 교체를 위한 신중한 테스트를 수행하는 동안 즉각적인 보호를 제공합니다.

개발자 및 시스템 관리자에게 드리는 짧은 기술 노트

이 취약점 클래스는 거의 항상 사용자 입력을 파일 시스템 경로에 안전하지 않게 연결하는 것에서 발생합니다. 안전한 파일을 위한 체크리스트는 다음과 같습니다:

  • 허용된 값을 화이트리스트하지 않고 사용자 입력을 사용하여 파일 이름을 직접 생성하지 마십시오.
  • 전체 경로 입력을 수용하기보다는 안전한 매핑(예: 짧고 알려진 키를 허용된 파일 이름에 매핑)을 사용하십시오.
  • include/require에 전달하기 전에 모든 경로를 정규화하고 검증하십시오.
  • 사용자 콘텐츠가 템플릿 선택을 결정하는 경우, 코드베이스에 존재하는 신뢰할 수 있는 집합으로 선택을 제한하십시오.

더 안전한 접근 방식의 예(의사 코드):

<?php;

이 패턴은 사용자 입력을 제어된 목록에 매핑하고 임의의 파일 포함을 방지합니다.

사이트 소유자를 위한 새로운 리소스: 즉각적이고 무료 보호로 시작하세요.

기본 무료 플랜으로 지금 사이트를 보호하세요 — 관리형 방화벽, WAF, 악성 코드 스캔 및 OWASP Top 10 위험에 대한 보호. 이는 필요한 업그레이드나 테마 교체를 계획하는 동안 즉시 사이트를 보호하도록 설계되었습니다.

지금 바로 사이트를 안전하게 보호하세요 — WP‑Firewall Basic(무료)로 시작하세요.

  • 즉시 얻는 것:
    • 가상 패치 기능이 있는 관리형 방화벽 및 WAF
    • 보안 트래픽을 위한 무제한 대역폭
    • 의심스러운 파일 및 변경 사항을 찾기 위한 악성 코드 스캔
    • OWASP Top 10 위협에 대한 보호(여기에는 LFI 패턴 포함)
  • 도움이 되는 이유:
    • 새로 공개된 취약점에 대한 알려진 악용 패턴의 즉각적인 차단을 제공합니다.
    • 가상 패칭은 공식 업데이트를 테스트하거나 마이그레이션하는 동안 공격 창을 줄입니다.
  • 시작하기: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(자동화된 악성 코드 제거, IP 차단 제어, 월간 보고서 또는 관리형 보안 서비스가 필요한 경우 유료 계층도 제공합니다.)

실용적인 예 — 붙여넣고 테스트할 수 있는 빠른 규칙(요약)

  • wp-config.php 보호(위치에) .htaccess):
<files wp-config.php>
  order allow,deny
  deny from all
</files>
  • php 래퍼로 시도를 차단하는 Nginx 규칙:
if ($query_string ~* "php://|data://||(\.\./)") {
  • PHP ini 강화:
allow_url_fopen = Off

중요한: 이러한 규칙을 스테이징에서 테스트하여 특정 테마나 플러그인 동작에 대해 합법적인 트래픽을 차단하지 않도록 하세요.

최종 권장 사항 — 다음 24–72시간 내에 할 일

  1. 인벤토리: Welldone 테마가 실행 중인 사이트를 식별하세요 ≤ 2.4.
  2. 최소한 하나의 즉각적인 완화 조치를 적용하십시오:
    • 테마 폴더를 비활성화/이름 변경하거나,
    • 서버/WAF 수준에서 악용 패턴을 차단하고,
    • wp-config.php 접근을 잠급니다.
  3. 지속적인 스캔 및 모니터링을 활성화합니다.
  4. 가능하다면, 영구적인 수정 계획을 세우는 동안 즉시 가상 패치를 적용받기 위해 관리형 보호 계획(무료 계층 가능)에 가입하십시오.
  5. 고객 사이트를 호스팅하는 경우 이해관계자와 소통하십시오 — 투명성과 신속한 완화가 중요합니다.

기술 지원이 필요하다면

여러 개의 WordPress 설치를 운영하거나 클라이언트 사이트를 관리하고 완화 조치를 우선 처리하는 데 도움이 필요하다면, 우리의 보안 운영 팀이 로그 분석, 전체에 걸쳐 가상 패치 배포, 사고 대응 및 정리에 도움을 줄 수 있습니다. 우리는 또한 취약한 테마의 안전한 업데이트 및 교체를 위한 단계별 지침을 제공합니다.

결론

이 Welldone LFI (CVE-2026-28118)는 로컬 파일을 노출시키고 자격 증명 유출 및 전체 손상을 초래할 수 있는 심각한 비인증 취약점입니다. 안전으로 가는 가장 빠른 경로는 취약한 테마를 제거하거나 격리하고, 통제된 업데이트 또는 교체를 계획하는 동안 경계에서 가상 패칭 규칙을 배포하는 것입니다. 서버를 강화하고(위험한 래퍼 비활성화, 권한 수정, 파일 접근 제한) 위의 지표에 대한 로그를 모니터링하면 노출을 크게 줄일 수 있습니다.

복잡한 서버 변경 없이 즉각적인 보호를 원하신다면, LFI 공격에 사용되는 것과 같은 악용 패턴을 차단하기 위해 관리형 방화벽 규칙, WAF 보호 및 악성 코드 스캔을 제공하는 기본 보호 무료 계획을 시도해 보십시오. 지금 사이트 보안을 시작하십시오: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

— WP‑Firewall 보안 팀

참고 문헌 및 노트

  • CVE-2026-28118로 추적된 취약점 (Welldone 테마의 로컬 파일 포함, 2025년 8월 19일 보고; 2026년 2월 26일 발표).
  • 이 권고는 방어자를 돕기 위한 것입니다. 우리는 여기에서 악용 코드를 게시하지 않습니다. 침해가 의심되는 관리자라면 직접적인 지원이 필요할 경우 보안 대응자에게 에스컬레이션하거나 신뢰할 수 있는 WordPress 보안 제공업체에 연락하십시오.
wordpress security update banner

WP Security Weekly를 무료로 받으세요 👋
지금 등록하세요!!

매주 WordPress 보안 업데이트를 이메일로 받아보려면 가입하세요.

우리는 스팸을 보내지 않습니다! 개인정보 보호정책 자세한 내용은

무료 WordPress 보안 컨설팅을 예약하려면 저희에게 연락하세요.

문의하기

WP-방화벽
6층, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

특징 가격 블로그 로그인
개인정보 보호정책 서비스 약관 문서 제휴하다

© 2026 WP-Firewall™