
| 플러그인 이름 | 북코리 |
|---|---|
| 취약점 유형 | 로컬 파일 포함 |
| CVE 번호 | CVE-2025-68530 |
| 긴급 | 높은 |
| CVE 게시 날짜 | 2026-01-05 |
| 소스 URL | CVE-2025-68530 |
Bookory 워드프레스 테마의 로컬 파일 포함 (CVE-2025-68530) — 사이트 소유자가 지금 알아야 할 사항과 해야 할 일
게시됨: 2026년 1월 1일
작가: WP‑Firewall 보안 팀
최근 공개된 Bookory 워드프레스 테마(모든 버전 2.2.7까지 포함, 2.2.8에서 수정됨)에 영향을 미치는 로컬 파일 포함(LFI) 취약점은 사이트의 파일 시스템에서 민감한 파일을 노출할 수 있으며, 자격 증명 유출, 사이트 손상 또는 추가 체인 익스플로잇으로 이어질 수 있습니다. 이 취약점은 CVE‑2025‑68530으로 지정되었습니다.
관리형 워드프레스 웹 애플리케이션 방화벽(WAF) 및 보안 서비스의 제작자로서, 우리는 실용적이고 비기술적인 용어로 설명하고자 합니다:
- 이 취약점이 무엇인지, 그리고 고수준에서 어떻게 작동하는지,
- 누가 영향을 받는지, 그리고 왜 위험이 사이트마다 다른지,
- 시도 감지 방법과 귀하의 사이트가 영향을 받았는지 확인하는 방법, 그리고
- 즉각적, 중간 및 장기적인 완화 조치를 적용해야 하는 방법(배포할 수 있는 긴급 WAF 규칙 포함).
이 권고서는 익스플로잇 코드를 공유하지 않지만, 사이트 소유자, 관리자 및 보안 팀이 단호하게 행동할 수 있을 만큼 충분히 상세합니다.
요약
- Bookory 테마 버전 <= 2.2.7에 영향을 미치는 로컬 파일 포함(LFI) 문제는 공격자가 낮은 수준의 워드프레스 역할(기여자)을 가지고 사이트가 로컬 파일의 내용을 포함하고 반환하도록 할 수 있게 합니다.
- 공급자는 2.2.8 버전에서 수정 사항을 발표했습니다; 즉시 2.2.8 또는 이후 버전으로 업데이트하십시오.
- 취약점의 영향은 사이트 구성에 따라 다릅니다: LFI는 구성 파일(예: wp-config.php), 로그 또는 데이터베이스 자격 증명 유출 및 전체 사이트 장악으로 이어질 수 있는 기타 민감한 파일을 노출할 수 있습니다.
- 즉시 업데이트할 수 없는 경우, 디렉토리 탐색 패턴과 의심스러운 포함 매개변수를 차단하는 WAF/가상 패치 규칙을 배포하고, 기여자 계정을 감사하며, 익스플로잇을 감지할 경우 사고 대응 단계를 따르십시오.
로컬 파일 포함(LFI)란 무엇인가?
로컬 파일 포함(LFI)은 공격자가 애플리케이션이 include/require 또는 유사한 파일 로딩 원시를 사용할 때 파일 경로를 제어할 수 있는 웹 애플리케이션 취약점의 한 종류입니다. 애플리케이션이 의도한 안전한 파일을 포함하는 대신, 공격자가 선택한 로컬 파일을 포함하게 됩니다.
워드프레스 테마에서 이것이 중요한 이유:
- 테마는 종종 매개변수를 수락하는 관리자 또는 프론트 엔드 기능을 구현하며(예: page=, view=, template=, file=), 그 입력에 따라 파일을 포함하거나 요구합니다.
- 해당 입력이 엄격한 허용 목록으로 검증되거나 정리되지 않으면, 공격자는 디렉토리 탐색 (
../) 시퀀스 또는 기타 페이로드를 제공하여 의도된 디렉토리 외부의 파일에 접근할 수 있습니다. - wp‑config.php, 디버그 로그, 백업 파일 및 기타 로컬 리소스와 같은 파일은 공격자가 수집하여 사이트를 완전히 손상시킬 수 있는 민감한 데이터(데이터베이스 자격 증명, API 키)를 포함할 수 있습니다.
LFI는 다른 취약점(예: 파일 업로드 또는 로그 오염을 통한 원격 코드 실행)과 연결되어 영향을 확대할 수 있습니다.
이 Bookory 문제의 심각성(“낮은 우선 순위”로 표시되더라도)
공개된 취약점에 대해 Patchstack 내부 우선 순위는 “낮음”으로 지정되었지만, CVSS 벡터는 주목할 만합니다(CVSS 7.5가 발표된 요약에 포함됨). 그 조합은 다음과 같은 이유로 나타납니다:
- 이 취약점은 낮은 수준의 권한(기여자)을 요구하며, 이는 WordPress에서 제한된 계정 유형입니다. 많은 사이트는 신뢰할 수 없는 사용자에게 기여자 계정을 부여하지 않으므로 공격 표면이 줄어듭니다.
- 그러나 성공적인 LFI의 결과는 심각할 수 있습니다. wp‑config.php 또는 기타 구성/백업 파일의 공개는 데이터베이스 자격 증명을 제공합니다. 이러한 자격 증명을 통해 공격자는 데이터를 유출하거나 데이터베이스를 장악하고, 잠재적으로 전체 사이트를 장악할 수 있습니다.
요약하자면: 필요한 권한이 많은 사이트에서 악용 가능성을 낮추지만, 악용될 경우 영향은 클 수 있습니다 — 특히 가입, 게스트 저자 허용 또는 약한 역할 분리를 사용하는 사이트의 경우.
누가 신경 써야 할까요?
- Bookory 테마(ThemeForest 항목 “Bookory — Book Store & WooCommerce Theme”)를 사용하고 버전 <= 2.2.7을 실행하는 모든 사이트.
- 외부 사용자가 기여자 또는 유사한 역할로 등록하거나 게시물을 생성할 수 있는 모든 사이트.
- 여러 고객 사이트를 관리하는 호스트 및 에이전시(특히 콘텐츠 기여자를 허용하는 경우).
- 파일 공개 및 자격 증명 노출 완화를 우선시하는 보안 팀.
Bookory를 사용하는 경우 즉시 2.2.8로 업데이트하십시오. 즉시 업데이트할 수 없는 경우 아래의 완화 조치를 적용하십시오.
즉각적인 조치(0–24시간)
- 테마를 즉시 2.2.8(또는 이후 버전)으로 업데이트하십시오.
이것이 결정적인 수정입니다. 외관 → 테마에서 테마 버전을 확인하거나 테마 변경 로그/테마 파일을 확인하십시오. 자식 테마를 사용하는 경우, 프로덕션에서 업데이트하기 전에 호환성을 확인하십시오; 그러나 보안 업데이트를 지연하지 마십시오 — 필요하다면 유지 관리 시간에 업데이트하거나 사이트를 잠시 오프라인으로 전환하십시오. - 기여자 계정을 제한하거나 감사하십시오.
- 불필요한 기여자 계정을 일시 중지하거나 삭제하십시오.
- 고위험 계정의 비밀번호를 재설정하십시오.
- 권한이 상승된 계정(편집자, 관리자)에 대해 MFA를 요구합니다.
- 업데이트하는 동안 WAF 규칙/가상 패치를 배포합니다.
WAF(관리형 또는 호스트 내)를 관리하는 경우 LFI 벡터처럼 보이는 시도를 차단하는 임시 규칙을 추가합니다 — 디렉토리 탐색 시퀀스, 의심스러운 포함 매개변수 또는 로컬 시스템 파일을 가져오려고 시도하는 직접 요청. 아래의 권장 규칙 예제를 참조하십시오. - WordPress에서 파일 편집을 비활성화합니다.
wp-config.php에 추가합니다:define('DISALLOW_FILE_EDIT', true);이는 관리 UI에서 플러그인 또는 테마 파일의 편집을 방지하고 계정이 손상된 경우 공격 벡터를 줄입니다.
- 최근 백업을 수행합니다.
새 백업(파일 + 데이터베이스)을 내보내고 오프라인에 저장합니다. 나중에 롤백하거나 포렌식을 수행해야 하는 경우 현재 백업이 필수적입니다.
권장 WAF/가상 패치 규칙(예제)
아래는 Apache ModSecurity 또는 Nginx/WAF 환경에 맞게 조정할 수 있는 방어 패턴 및 샘플 규칙입니다. 이는 명백한 LFI 프로브를 차단하기 위한 방어적이고 고수준의 패턴이며, 귀하의 사이트에 대한 잘못된 긍정을 피하기 위해 조정하십시오.
중요한: 익스플로잇 페이로드를 게시하지 마십시오; 이러한 규칙은 의심스러운 요청을 차단하는 데만 엄격히 사용하십시오.
Apache ModSecurity 예제(개념적 — 귀하의 환경에 맞게 조정):
# Block obvious directory traversal patterns and LFI attempts SecRule REQUEST_URI|ARGS "@rx (\.\./|\.\.\\|()|etc/passwd|wp-config\.php|/proc/self/environ)" \ "id:1001001,phase:2,deny,status:403,log,msg:'Possible LFI or directory traversal attempt',severity:2" # Block attempts to include local files via suspicious parameter names SecRule ARGS_NAMES "@rx (?i:file|page|template|inc|view|path)" \ "id:1001002,phase:2,chain,log,deny,status:403,msg:'Blocking suspicious include parameter'" SecRule ARGS "@rx (\.\./|\.\.\\|/etc/passwd|wp-config\.php|/proc/self/environ)" \ "t:none"
Nginx(ngx_http_rewrite_module 또는 WAF 제품 사용) 개념적 규칙:
if ($request_uri ~* "\.\./|\.\.\\||/etc/passwd|wp-config\.php|/proc/self/environ") {
return 403;
}
고려해야 할 주요 방어 패턴:
- 포함된 요청을 차단하거나 모니터링합니다.
../(점-점 슬래시) 또는 URL 인코딩된 동등물 (%2e%2e%2f). - 알려진 민감한 파일 이름에 대한 요청을 차단합니다:
wp-config.php,.env,/etc/passwd,11. 민감한 콘텐츠를 반환하는 비정상적으로 성공적인 요청(“DB_USER”, “DB_PASSWORD”, “AUTH_KEY” 또는 wp-config.php의 패턴을 검색하십시오).. - 포함 메커니즘을 나타내는 데 일반적으로 사용되는 의심스러운 쿼리 매개변수 이름을 차단하십시오:
파일=,페이지=,템플릿=,tpl=,보기=,포함=(하지만 조심하세요 — 일부 합법적인 플러그인/테마가 이러한 이름을 사용합니다). 잘못된 긍정 반응을 피하기 위해 매개변수 이름 + 악성 페이로드 패턴의 조합을 사용하십시오. - IP 주소에서 반복적인 탐색을 제한하거나 차단하십시오.
WP‑Firewall(관리형 WAF)을 사용하는 경우 가상 패칭(자동 완화) 및 LFI 보호 프로필을 활성화하십시오. 우리의 서비스는 테마를 업데이트하는 동안 이 위험을 차단하기 위해 임시 서명을 푸시할 수 있습니다.
탐지 및 조사
시도된 또는 성공적인 악용이 의심되는 경우, 이러한 단계는 지표를 감지하고 분류하는 데 도움이 됩니다.
- 의심스러운 요청에 대한 액세스 로그를 검색하십시오.
다음과 같은 패턴이 포함된 요청을 찾으십시오.../, URL 인코딩됨..,etc/passwd,wp-config.php, 또는 다음과 같은 이름의 매개변수file,주형,페이지,보기,inc, 기타. 타임스탬프, 출처 IP 및 사용자 에이전트 문자열을 기록하십시오. - 서버 로그 및 애플리케이션 로그를 검색하십시오.
- Apache / Nginx 액세스 및 오류 로그.
- 파일 포함에 대한 경고/오류가 있는 PHP 오류 로그.
- 웹 호스트 제어판 로그.
- 웹 응답에서 wp-config.php 또는 기타 파일의 노출 여부를 확인하십시오.
wp‑config.php(DB_NAME, DB_USER, DB_PASSWORD, AUTH_KEY 포함)와 유사한 내용을 가진 요청이 200 OK로 반환된 경우, 이를 확인된 노출로 간주하십시오. - 1. 파일 수정 날짜와 알 수 없는 파일을 검사하십시오.
2. 공격자는 종종 백도어 또는 웹 셸을 작성합니다. wp‑content, uploads 폴더 또는 의심스러운 활동과 일치하는 이상한 이름이나 타임스탬프를 가진 테마 디렉토리에서 새로 추가된 PHP 파일을 찾으십시오. - 3. 데이터베이스 및 관리자 사용자를 감사하십시오.
- 4. 새 관리자 사용자 또는 권한이 상승한 계정을 찾으십시오.
- 5. 최근 게시물/페이지에서 삽입된 링크나 콘텐츠를 확인하십시오.
- 6. 포렌식 증거를 보존하십시오.
7. 손상이 의심되는 경우 사이트를 격리하십시오(유지 관리 모드로 전환하거나 오프라인으로 전환), 로그 및 관련 파일을 안전한 위치에 복사하고 조치를 문서화하십시오. 이는 나중에 분석을 위한 증거를 보존합니다.
8. 착취의 증거를 발견한 경우 — 사고 대응
- 격리하다 9. 사이트: 의심스러운 IP에서 들어오는 트래픽을 일시적으로 차단하고 사이트를 유지 관리 모드로 전환하십시오.
- 10. 현재 사이트(파일 + 데이터베이스)의 이미지 백업을 수행하십시오. 로그를 보존하십시오. 이 스냅샷은 나중에 포렌식 작업에 중요합니다. 11. : 즉시 관리자 비밀번호, 데이터베이스 비밀번호(새 자격 증명으로 wp-config.php 업데이트) 및 조사에서 노출된 API 키를 변경하십시오.
- 자격 증명 회전12. 손상 이전에 알려진 깨끗한 백업이 있는 경우 해당 백업에서 복원하고 사이트를 다시 가져오기 전에 테마/플러그인 업데이트를 적용하십시오.
- 정리 또는 복원:
- 13. 제자리에 청소해야 하는 경우 식별된 백도어, 악성 파일 및 무단 관리자 계정을 제거하십시오. 그런 다음 사이트를 강화하고 자격 증명을 교체하십시오.
- 14. : 많은 경우 알려진 깨끗한 소스에서 전체 재구성이(WordPress 코어 재설치, 공급업체 소스에서 테마/플러그인 패키지 재설치, 데이터베이스에서만 콘텐츠 복원) 수술적 제거를 시도하는 것보다 더 깨끗하고 안전합니다.
- 필요시 재구성하십시오.15. : 데이터 노출(고객 정보, 자격 증명)이 있었던 경우 관할권에 따라 적용 가능한 위반 통지 규칙을 따르고 고객/클라이언트에게 알리십시오.
- 이해관계자에게 알림16. : 유사한 사건을 피할 수 있도록 타임라인, 근본 원인 및 완화 단계를 작성하십시오.
- 사고 후 보고17. 강화 및 장기 예방.
18. Bookory를 패치한 후에도 유사한 취약점으로 인한 미래의 손상을 줄이기 위해 다음 관행을 사용하십시오.
19. 테마, 플러그인 및 코어를 업데이트하십시오.
- 테마, 플러그인 및 코어를 업데이트하세요. 이것은 가장 효과적인 제어 방법입니다. 보안 업데이트를 신속하게 적용하십시오. 프로덕션 사이트의 경우, 중요한 패치를 위한 예정된 유지 관리 시간을 조정하십시오.
- 설치된 테마와 플러그인을 최소화하십시오. 사용하지 않는 테마(기본 WordPress 테마 포함)와 플러그인을 제거하십시오. 구성 요소가 적을수록 공격 표면이 작아집니다.
- 사용자에게 최소 권한을 사용하십시오. 필요한 최소 권한을 부여하십시오. 신뢰할 수 없는 계정에 Contributor/Author/Editor 역할을 부여하지 마십시오. 사용자 목록을 정기적으로 검토하십시오.
- 파일 권한을 강화하십시오. 파일은 일반적으로 644, 디렉토리는 755여야 합니다(호스트에 맞게 조정하십시오). wp-config.php는 호스트가 허용하는 경우 더 제한적으로 설정할 수 있습니다.
- 업로드에서 PHP 실행 비활성화 (가능한 경우). wp-content/uploads에서 PHP 실행을 방지하려면 실행을 거부하는 웹 서버 규칙이나 .htaccess를 배치하십시오.
- 파일 편집기를 끄십시오. 대시보드에서 (DISALLOW_FILE_EDIT) 이전에 보여준 대로.
- 강력하고 고유한 비밀번호와 MFA를 사용하십시오. 모든 권한이 있는 계정에 대해.
- 보안 스캔 및 모니터링을 사용하십시오.파일 무결성 모니터링, 악성 코드 스캔 및 WAF 로그는 의심스러운 활동을 조기에 감지하는 데 도움이 됩니다.
- 스테이징 환경 사용 사용자 정의 테마 또는 플러그인 개발에 대한 코드 검토도 포함됩니다.
WAF와 가상 패치가 중요한 이유
WAF는 패치의 대체물이 아니지만, 업데이트를 적용하는 동안 시간과 보호를 제공합니다. 이점:
- 자동 스캔 및 익스플로잇 시도를 실시간으로 차단합니다.
- LFI를 시도하는 데 사용되는 정확한 요청 유형을 차단하는 가상 패치(서명 규칙)를 구현할 수 있으며, 테마 업데이트가 적용되기 전에도 가능합니다.
- 로그 및 경고를 통해 공격 가시성을 제공하므로 신속하게 분류하고 대응할 수 있습니다.
여러 사이트를 운영하거나 클라이언트 사이트를 관리하는 경우, 빠른 서명 배포를 지원하는 관리형 WAF는 운영 오버헤드를 줄이면서 보안 태세를 개선하는 힘의 배가 장치입니다.
탐지 규칙 및 모니터링 제안 (SIEM / Splunk / 클라우드 로깅)
아래는 로깅 플랫폼에서 검색/알림으로 구현할 수 있는 탐지 아이디어의 예입니다. 이는 조사를 촉발하기 위한 휴리스틱입니다.
- 접근 로그 쿼리 문자열과 점-점 시퀀스를 일치시킵니다:
- 정규 표현식:
(\.\./|\.\.\\|)
- 정규 표현식:
- 민감한 파일 이름을 포함하는 요청을 탐지합니다:
- 정규 표현식:
(wp-config\.php|\.env|etc/passwd|/proc/self/environ)
- 정규 표현식:
- 의심스러운 쿼리 문자열을 가진 동일 IP에서 4xx/5xx 오류 증가를 탐지합니다 — 종종 스캐너는 여러 페이로드 변형을 탐색합니다.
- 이전에 존재하지 않았던 확장자를 가진 테마 또는 업로드 디렉토리에 새 파일이 추가되면 알림을 보냅니다.
.php이전에 존재하지 않았던 확장자를 가진 파일입니다.
초기 분류를 위한 낮은 임계값 설정 (예: 10분 이내에 동일 IP에서 3개 이상의 의심스러운 요청).
비기술적 이해관계자에게 위험 전달
경영진이나 고객에게 브리핑해야 하는 경우 간결하고 실행 가능하게 유지하십시오:
- “Bookory 테마의 취약점으로 인해 제한된 계정이 서버의 로컬 파일을 요청할 수 있었습니다. 악용될 경우 데이터베이스 자격 증명을 포함한 구성 파일이 노출될 수 있습니다. 우리는 버전 2.2.8로 패치했습니다(또는 패치할 예정입니다). 또한 보호용 방화벽 규칙을 배포하고, 기여자 계정을 감사하며, 침해 지표를 스캔하고 있습니다. 지금까지 성공적인 악용의 징후는 발견되지 않았지만, 우리는 72시간 동안 사이트를 강화된 모니터링 상태로 유지하고 있습니다.”
기술적 세부사항 과부하를 피하고, 취한 조치, 잔여 위험 및 다음 조치를 제공합니다.
체크리스트 — 즉각적, 단기 및 중기
즉각적 (24시간 이내)
- Bookory를 버전 2.2.8 (또는 이후 버전)으로 업데이트합니다.
- 새 백업을 생성합니다 (파일 + DB).
- 기여자 및 저자 계정을 감사하고, 사용하지 않는 계정을 비활성화합니다.
- LFI 패턴을 차단하기 위해 임시 WAF/가상 패치를 적용하십시오.
- 의심스러운 요청에 대한 모니터링 및 알림을 활성화하십시오.
단기 (1–7일)
- 수정되었거나 알 수 없는 파일에 대해 사이트를 스캔하십시오.
- 파일 노출이 의심되는 경우 관리 비밀번호와 데이터베이스 자격 증명을 변경하십시오.
- wp-config.php에서 DISALLOW_FILE_EDIT를 시행하십시오.
중기(1-3개월)
- 특권 사용자를 위한 더 강력한 접근 제어 및 MFA를 구현하십시오.
- 파일 권한을 강화하고 가능한 경우 PHP 실행을 비활성화하십시오.
- 안전한 구성 요소에 대해 지속적인 취약성 스캔 및 자동 패치를 추가하십시오.
자주 묻는 질문
큐: 내가 자동으로 테마 업데이트를 적용하는 호스트에서 Bookory를 실행하고 있다면, 여전히 조치를 취해야 합니까?
에이: 각 사이트에서 테마 버전을 확인하십시오. 일부 호스트는 프리미엄 마켓플레이스 테마를 자동으로 업데이트하지 않습니다. 배포된 버전이 2.2.8 이상인지 항상 확인하십시오.
큐: 나는 기여자 계정을 사용하지 않는데 — 나는 안전한가요?
에이: 당신의 노출은 낮지만 제로는 아닙니다. 신뢰할 수 없는 사용자가 기여자 이상의 권한을 가지고 있지 않고 강력한 역할 제어가 있다면, 악용 가능성은 낮습니다. 그래도 테마를 업데이트하고 트래픽을 모니터링하십시오.
큐: 단일 WAF 규칙으로 충분한가요?
에이: WAF 규칙은 임시 완화 조치이자 중요한 임시방편이지만, 결정적인 조치는 공급업체의 수정을 적용하는 것입니다. 둘 다 사용하십시오: 가상 패치 + 패치.
새로움: 오늘 WP‑Firewall의 무료 보호 계획으로 사이트를 안전하게 보호하십시오.
제목: 귀하의 WordPress 사이트에 필수적이고 항상 켜져 있는 보호를 제공합니다 — 저희가 제공합니다.
우리는 사이트 보안이 결코 손이 닿지 않아서는 안 된다고 믿습니다. WP‑Firewall의 기본 무료 계획은 일반적인 공격을 차단하고 Bookory 테마와 같은 취약한 구성 요소를 패치하는 동안 안전하게 유지하는 데 도움이 되는 필수 보호 세트를 제공합니다. 무료 계획에는 관리형 방화벽, 고성능 WAF, 악성 코드 스캐너, 무제한 대역폭 및 OWASP Top 10 위험을 완화하는 보호가 포함되어 있습니다 — 사이트를 업데이트하고 강화하는 동안 즉각적인 노출을 줄이는 데 필요한 모든 것입니다.
지금 사용해 보고 싶다면, 여기에서 무료 계획에 가입하십시오:
https://my.wp-firewall.com/buy/wp-firewall-free-plan/
나중에 업그레이드는 간단합니다 — 자동 악성 코드 제거 및 사용자 지정 IP 블랙리스트/화이트리스트 옵션을 원하시면 표준 계획을 고려하시고, 월간 보안 보고서, 자동 취약성 가상 패치 및 프리미엄 지원을 원하시면 프로 계획을 고려하십시오.
최종 단어 — 지금 행동하고, 그 다음 감사하십시오.
이 Bookory LFI 공개는 제3자 테마와 플러그인이 중요한 공격 표면이라는 시의적절한 알림입니다. 다음 24시간 동안 취하는 조치가 중요합니다:
- 테마를 2.2.8(또는 이후 버전)으로 업데이트하십시오 — 가장 중요한 조치입니다.
- 업데이트하는 동안 단기 WAF 규칙/가상 패치를 배포하십시오.
- 사용자 및 자격 증명을 감사한 후 사이트를 강화하십시오.
여러 사이트를 운영하는 경우 이러한 점검을 자동화하십시오: 테마/플러그인 버전 목록 작성, 중앙에서 업데이트 적용, 관리형 WAF를 사용하여 새로운 취약점이 공개될 때 즉시 타겟 보호를 배포할 수 있습니다.
어떤 단계에 대해 확신이 없거나 긴급 보호 및 포렌식 분류를 관리해 주기를 원하시면, 우리의 WP-Firewall 팀이 도와드릴 준비가 되어 있습니다. 즉시 필수 보호를 받기 위해 무료 플랜에 가입한 후, 자동 제거, 가상 패치 및 전담 지원을 위한 유료 플랜을 고려하십시오.
참고 문헌 및 추가 읽기
- CVE-2025-68530 — Bookory 테마 로컬 파일 포함(공식적으로 공개된 취약점)
- WordPress 강화 문서(공식): 파일 권한, DISALLOW_FILE_EDIT 및 사용자 역할에 대한 안내
- OWASP: 로컬 파일 포함 및 파일 공개 완화 안내
(직접적인 도움이 필요하신 경우: 패치, WAF 규칙 배포 및 업데이트 후 보안 검토를 지원하기 위해 호스팅 제공업체 또는 신뢰할 수 있는 보안 파트너에게 문의하십시오.)
