| 플러그인 이름 | 리스팅프로 |
|---|---|
| 취약점 유형 | 크로스 사이트 스크립팅(XSS) |
| CVE 번호 | CVE-2026-28122 |
| 긴급 | 중간 |
| CVE 게시 날짜 | 2026-02-28 |
| 소스 URL | CVE-2026-28122 |
긴급: ListingPro 플러그인에서의 반사 XSS (CVE-2026-28122) (<= 2.9.8) — 워드프레스 사이트 소유자가 알아야 할 사항과 지금 해야 할 일
게시됨: 2026년 2월 26일
심각성: 중간(CVSS 7.1)
영향을 받습니다: ListingPro 플러그인 버전 <= 2.9.8
취약점 클래스: 교차 사이트 스크립팅 (반사 XSS) — 사용자 상호작용 필요, 인증되지 않은 공격자가 악성 링크를 만들 수 있음
WP-Firewall의 워드프레스 보안 팀으로서, 우리는 워드프레스 생태계에 영향을 미치는 발견된 취약점을 모니터링하고, 운영 중인 사이트에 대한 위험을 평가하며, 실행 가능한 수정 지침을 제공합니다. ListingPro 플러그인(버전 2.9.8 포함)에서 최근 공개된 반사 교차 사이트 스크립팅 (XSS) 문제는 CVE 식별자 CVE-2026-28122를 가지고 있습니다. 이 취약점은 인증되지 않은 행위자에 의해 유발될 수 있으며 사이트 방문자에게 매우 눈에 띌 수 있으므로, ListingPro (<= 2.9.8)를 운영하는 사이트 소유자는 즉각적인 조치를 취해야 합니다.
이 게시물은 취약점의 의미, 공격자가 이를 어떻게 악용할 수 있는지, 탐지 및 완화 전략(즉, WAF가 문제를 즉시 가상 패치하는 방법 포함), 개발자 수정 및 사고 후 사이트를 정리하고 강화하는 단계를 설명합니다. 이 지침은 실용적이며 보안 전문가가 작성하였고, 관리자와 개발자 모두에게 적합합니다.
요약
- 무엇: ListingPro의 반사 교차 사이트 스크립팅 (XSS) 버그는 신뢰할 수 없는 입력이 적절한 인코딩/이스케이프 없이 사용자에게 반사될 수 있게 합니다.
- 11. 누가: ListingPro 플러그인 버전 <= 2.9.8에 영향을 미침.
- 위험 수준: 중간 (CVSS 7.1). 악용하려면 피해자(사용자 또는 관리자)가 조작된 링크를 클릭하거나 악의적으로 조작된 페이지를 방문해야 함.
- 영향: 방문자의 브라우저에서 임의의 JavaScript 실행 — 쿠키/세션 토큰 도난 가능성 (세션 쿠키가 HttpOnly가 아닌 경우), CSRF와 XSS가 결합된 계정 탈취, 변조, 악성 사이트로의 리디렉션 또는 피싱 오버레이.
- 즉각적인 완화: 공급업체 패치를 적용할 수 없는 경우(작성 시점에 공식적으로 출시된 것이 없음), 워드프레스 방화벽 또는 WAF를 통해 가상 패치를 구현하고, 취약한 엔드포인트에 대한 접근을 제한하며, CSP를 적용하고, 가능한 경우 입력/출력을 정리하십시오.
- 장기적으로: 공급업체 패치가 출시되면 즉시 ListingPro를 업데이트하고, 플러그인 코드를 감사하며, 출력 인코딩을 위한 보안 코딩 관행을 채택하고, 강력한 WAF 및 모니터링을 유지하십시오.
반사 XSS가 워드프레스 사이트에 위험한 이유
반사 XSS는 애플리케이션이 사용자 제어 입력(예: 쿼리 문자열 매개변수)을 받아 이를 적절한 검증이나 이스케이프 없이 페이지에 반환할 때 발생합니다 (HTML, JS, 속성, URL의 맥락). 반사 XSS 공격에서:
- 공격자는 쿼리 매개변수에 악성 JavaScript 페이로드를 포함하는 URL을 만듭니다.
- 피해자가 링크를 클릭합니다 (예: 이메일, 소셜 게시물 또는 광고를 통해).
- 브라우저는 페이로드를 반영하는 응답을 받고 이를 취약한 사이트의 맥락에서 실행합니다.
워드프레스 사이트의 경우, 결과는 다음과 같을 수 있습니다:
- 세션 도난 (인증 쿠키가 HttpOnly/Secure로 보호되지 않은 경우)
- 피해자를 대신하여 행동 수행 (CSRF와 결합된 경우)
- 관리 사용자가 속을 경우 백도어 또는 악성 게시물 생성
- 오버레이를 통한 피싱 공격 또는 사용자를 자격 증명 수집 페이지로 리디렉션
- SEO 및 평판 손상 (크롤러/방문자에게 보이는 악성 콘텐츠)
ListingPro는 디렉토리/리스트 플러그인이기 때문에 일부 페이지는 트래픽이 많거나 공유될 수 있으며, 이러한 페이지에서의 반사 XSS는 사회 공학 기반의 성공적인 악용 가능성을 높입니다.
ListingPro 반사-XSS (CVE-2026-28122)에 대한 기술 개요
이 취약점은 반사 XSS ListingPro 버전 2.9.8까지 영향을 미칩니다. 인증되지 않은 공격자는 플러그인이 적절한 출력 인코딩 없이 응답으로 반사하는 특별히 형성된 입력을 포함하는 요청을 작성할 수 있으며, 이로 인해 피해자의 브라우저에서 JavaScript가 실행됩니다. 성공적인 악용은 사용자 상호작용(링크 클릭 및 작성된 페이지 로드)을 요구합니다.
주요 속성:
- 공격 벡터: 응답에 반사되는 매개변수에 악성 페이로드가 포함된 HTTP 요청 (예: 검색 또는 표시 매개변수).
- 필요한 권한: 없음 (인증되지 않음); 그러나 공격자는 피해자가 상호작용해야 합니다.
- 악용 요구 사항: 사용자 상호작용 (반사 XSS).
- CVSS: 7.1 (중간). 인증되지 않은 원격 코드 실행은 아니지만, 반사 XSS 벡터와 결합된 사회 공학의 용이성으로 인해 즉각적인 완화가 필요할 만큼 충분히 높습니다.
주의: 공격을 가능하게 하지 않기 위해 여기에서 악용 페이로드를 게시하지 않지만, 패턴은 반사 XSS에 대해 표준이며 쉽게 테스트하고 완화할 수 있습니다.
악용 시나리오 — 공격자가 이를 어떻게 사용할 수 있는지
- 사이트 맥락을 이용한 피싱
- 공격자는 URL을 작성하여 로드될 때 가짜 로그인 양식을 오버레이하거나 사용자를 피싱 도메인으로 리디렉션하는 JavaScript를 실행합니다. 사용자는 사이트의 브랜드를 보고 자격 증명을 입력하도록 속을 수 있습니다.
- 관리자 세션 탈취
- 사이트 관리자가 WordPress에 로그인한 상태에서 악성 링크를 클릭합니다. 세션 쿠키에 HttpOnly가 없으면 공격자의 스크립트가 쿠키를 유출하여 계정 탈취를 가능하게 할 수 있습니다.
- 사회 공학을 통한 지속적인 피해
- 공격자는 소셜 미디어나 메시징을 사용하여 취약한 매개변수를 가리키는 악성 링크를 퍼뜨려 잠재적 피해자의 수를 증가시킵니다.
- 공급망 또는 SEO 악용
- 검색 엔진은 삽입된 콘텐츠가 있는 페이지를 색인화할 수 있으며, 이는 사이트에 대한 처벌이나 악성 페이지의 전파를 노출시킬 수 있습니다.
ListingPro가 외부에서 자주 공유되는 디렉토리/리스트 페이지를 지원하기 때문에 사회 공학적 위험이 증대됩니다.
귀하의 사이트가 표적이 되었거나 악용되었는지 감지하는 방법
감지는 로그와 사이트에서 지표를 찾는 것을 요구합니다:
- 웹 서버 접속 로그
- ListingPro 엔드포인트에 인코딩된 스크립트 조각이 포함된 GET 또는 POST 요청을 찾으세요. 예: “<script”, “script”, “onerror=”, “javascript:”, “document.cookie” 또는 의심스러운 긴 쿼리 값.
- WAF 또는 방화벽 로그
- XSS 서명 일치, 차단된 매개변수 또는 고위험 서명이 트리거된 WAF 경고.
- 사이트 콘텐츠 및 프론트엔드 동작
- 예상치 못한 팝업, 리디렉션, 새로운 관리자 사용자 또는 귀하가 추가하지 않은 목록에 나타나는 콘텐츠.
- Google Search Console 또는 기타 크롤러 경고
- 악성 콘텐츠 또는 크롤링 이상에 대한 경고.
- 파일 시스템 및 DB 검사
- 반사된 XSS는 파일 시스템에 직접 쓰지 않지만, 추가 작업으로 이어진 성공적인 악용은 데이터베이스 항목(악성 게시물, 옵션)이나 업로드된 파일을 남겼을 수 있습니다.
가시적인 증상 이전의 의심스러운 요청에 대해 로그를 검색하십시오. 악용이 의심되는 경우, 정리하기 전에 로그와 데이터베이스의 스냅샷이 필수적입니다.
즉각적인 완화 조치(지금 우선 순위를 매기십시오)
ListingPro <= 2.9.8을 실행하는 경우, 즉시 다음 단계를 수행하십시오 — 우선 순위 순서로:
- 공식 패치가 있는 경우 적용하십시오.
- 플러그인 공급자의 업데이트 채널을 확인하고 공식 수정 버전이 출시되는 즉시 적용하십시오.
- WAF를 통한 가상 패치(추천 즉각적인 조치)
- 공급자 패치가 아직 제공되지 않는 경우, 취약한 매개변수를 대상으로 하는 악성 페이로드를 차단하도록 WordPress 방화벽 또는 WAF를 구성하십시오. 가상 패치는 공급자 업데이트를 기다리는 동안 공격이 취약한 코드에 도달하는 것을 방지합니다.
- 위험한 엔드포인트에 대한 접근 제한
- 취약한 엔드포인트가 관리자 전용 페이지이거나 드물게 사용되는 프론트엔드 엔드포인트인 경우, 임시로 제한합니다(예: IP 허용 목록, 비밀번호 보호 또는 .htaccess를 통한 접근 제한).
- 콘텐츠 보안 정책(CSP) 추가 또는 강화
- 인라인 스크립트 실행을 방지하고 신뢰할 수 있는 도메인에서만 스크립트를 허용하는 보수적인 CSP를 구현합니다. 예시 지침:
default-src 'self'; script-src 'self' https://trusted.cdn.com; object-src 'none';.
- 인라인 스크립트 실행을 방지하고 신뢰할 수 있는 도메인에서만 스크립트를 허용하는 보수적인 CSP를 구현합니다. 예시 지침:
- 쿠키가 안전한지 확인
- WordPress 쿠키를 설정합니다
17. HttpOnly,보안, 그리고SameSite=strict도난 위험을 줄이기 위해 가능한 경우.
- WordPress 쿠키를 설정합니다
- 사용자/관리자에게 알림
- 관리자 사용자에게 취약성에 대해 알리고, 알려지지 않은 링크를 클릭하지 않도록 하며, 완화 조치가 시행될 때까지 관리자 세션에서 로그아웃할 것을 권장합니다.
- 임시 플러그인 비활성화(허용되는 경우)
- 기능이 필수적이지 않은 경우, 패치가 적용될 때까지 플러그인을 비활성화하거나 중지하는 것을 고려합니다.
WAF/방화벽이 현재 어떻게 보호할 수 있는지(가상 패치)
적절하게 구성된 웹 애플리케이션 방화벽(WAF)은 반사 XSS에 대한 효과적인 즉각적인 완화 수단입니다:
- 서명 기반 차단
- WAF는 일반적인 XSS 페이로드 패턴(스크립트 태그, onerror와 같은 이벤트 핸들러, javascript:, eval\(, document.cookie)을 일치시켜 ListingPro 엔드포인트에 영향을 미치는 요청 매개변수에 있을 때 차단할 수 있습니다.
- 컨텍스트 인식 규칙
- 다른 사이트 기능의 과도한 차단을 피하기 위해 플러그인에서 사용하는 특정 경로 또는 매개변수 이름을 타겟팅합니다.
- 속도 제한 및 평판 기반 차단
- 의심스러운 IP 또는 지리적 위치에서 반복적인 시도를 차단하거나 차단하고 위협 인텔리전스를 활용하여 알려진 악성 소스를 차단합니다.
- 가상 패치 예시(개념적)
- 쿼리 매개변수에 내장된 JavaScript, 인코딩된 스크립트 태그 또는 이벤트 핸들러의 징후가 포함된 경우 취약한 ListingPro 경로에 대한 요청을 차단합니다. 예를 들어, WAF 규칙은 요청을 플래그할 수 있습니다.
*/listingpro/path*매개변수가 다음 정규 표현식과 일치하는 경우(<|)(script|img|svg|iframe|object)|onerror|onload|javascript:|document\.cookie(대소문자 구분 없음, URL 디코딩됨).
- 쿼리 매개변수에 내장된 JavaScript, 인코딩된 스크립트 태그 또는 이벤트 핸들러의 징후가 포함된 경우 취약한 ListingPro 경로에 대한 요청을 차단합니다. 예를 들어, WAF 규칙은 요청을 플래그할 수 있습니다.
주의: WAF 규칙을 구현할 때는 합법적인 기능을 손상시킬 수 있는 잘못된 긍정 결과를 피하기 위해 신중하게 조정하십시오(예: HTML 엔티티가 포함된 인코딩된 사용자 콘텐츠). “차단” 규칙은 “탐지” 모드에서 테스트한 후에만 사용하십시오.
실용적인 WAF 규칙 안내(안전하고 비착취적)
아래는 WAF 관리 인터페이스에서 조정할 수 있는 개념적 예입니다. 원시 익스플로잇 페이로드를 규칙에 붙여넣지 마십시오. 대신 일반적인 의심스러운 패턴과 일치시킵니다.
예제 규칙(탐지를 위한 의사 / 정규 표현식):
- ListingPro 엔드포인트만 일치시킵니다(사이트의 실제 플러그인 경로로 교체):
- 조건: REQUEST_URI에 포함
/listingpro또는 특정 목록 페이지 경로 - 조건: ARGS 또는 ARGS_NAMES에 의심스러운 토큰이 포함되어 있습니다.
- 일치시킬 패턴(URL 디코딩됨):
(?i)(<\s*script\b|script|javascript:|document\.cookie|onerror=|onload=|]*onerror=) - 동작: 차단(BLOCK) (또는 테스트 중인 경우, 기록(LOG) 및 경고(ALERT))
- 조건: REQUEST_URI에 포함
- 또 다른 접근 방식: 특정 매개변수에 더 엄격한 규칙을 적용합니다:
- 매개변수 이름이
q,찾다,에스,7. msg, 등(일반적인 반사 지점)인 경우, 값에 포함되어 있는 경우<(작음),>(큼), 또는()~와 함께자바스크립트, 블록.
- 매개변수 이름이
항상 모니터/학습 모드에서 24–48시간 동안 규칙을 테스트하고, 잘못된 긍정 사례를 분석한 후 그에 따라 조정하십시오. 관리형 방화벽을 사용하는 경우 이 CVE에 대한 즉각적인 가상 패치를 요청하십시오.
개발자 안내 — 플러그인을 안전하게 패치하는 방법
반사 XSS는 코딩 문제입니다: 플러그인이 사용자 입력을 적절한 이스케이프 없이 HTML로 렌더링합니다. 개발자가 수정하는 데 사용할 수 있는 체크리스트와 코드 예제가 있습니다.
- 반사 지점 식별
- 직접 echo/print가 있는 플러그인 템플릿 및 PHP 파일 검색
$_GET,$_POST,$GLOBALS, 또는 HTML로 출력되는 이들로부터 파생된 변수.
- 직접 echo/print가 있는 플러그인 템플릿 및 PHP 파일 검색
- 출력 시 상황에 맞는 이스케이프 사용
- HTML 본문: 사용
esc_html( $var ) - HTML 속성: 사용
esc_attr( $var ) - JavaScript 컨텍스트: 사용
esc_js( $var )또는wp_json_encode()적절하게 - URL: 사용
esc_url_raw()리디렉션 및esc_url()HTML에서 사용하기 전에
- HTML 본문: 사용
- 예시:
HTML에 출력된 텍스트 이스케이프:
<?php
속성 값 이스케이프:
<?php
제한된 HTML을 허용할 때는 KSES를 사용하세요:
<?php
- 입력을 정리하되, 입력 정리에만 의존하지 마세요.
- 사용
텍스트 필드 삭제(),wp_kses_post(), 또는esc_url_raw()사전 처리에 대해, 출력 인코딩을 주요 방어 수단으로 취급하세요.
- 사용
- 사용자 제공 입력을 JavaScript 컨텍스트에 반영하는 것을 피하세요.
- 서버 측 값을 인라인 JavaScript로 전달해야 한다면, 사용하세요.
wp_localize_script()또는wp_add_inline_script()~와 함께wp_json_encode()안전한 인용을 보장하기 위해.
- 서버 측 값을 인라인 JavaScript로 전달해야 한다면, 사용하세요.
- 상태 변경 작업에 대해 Nonces를 사용하세요.
- Nonces는 XSS를 방지하지 않지만, XSS 보호와 결합할 때 CSRF를 완화합니다.
- 단위 및 수동 테스트
- 플러그인의 자동화된 테스트에 보안 검사를 추가하고 XSS 반영 지점에 대해 수동 테스트를 수행하세요.
- 패치를 릴리스하고 소통하세요.
- 명확한 변경 로그를 발행하고 영향을 받는 버전 및 업그레이드 지침에 대해 사용자에게 알리세요.
안전한 코딩 패턴의 예
WordPress 이스케이프 함수를 올바르게 사용하세요:
<?php
인라인 동적 JavaScript를 피하세요:
<?php
포스트 익스플로잇 및 정리 체크리스트
익스플로잇이 발생했다고 의심되면, 다음 단계를 따르세요:
- 백업을 수행하십시오.
- 포렌식 조사를 위해 즉시 스냅샷 파일과 데이터베이스를 생성합니다.
- 자격 증명 회전
- 모든 관리자 비밀번호와 기타 영향을 받은 계정을 재설정하고, 관리자에게 2FA를 요구합니다.
- 데이터베이스와 파일을 검사합니다.
- wp_posts, wp_options 및 업로드에서 주입된 콘텐츠를 확인하고, 새로 생성된 관리자 사용자를 찾습니다.
- 맬웨어/백도어 스캔
- 신뢰할 수 있는 스캐너를 사용하여 업로드 및 플러그인 아래에서 백도어 코드나 비정상적인 PHP 파일을 검색합니다.
- 정리하고 복원합니다
- 주입된 콘텐츠를 제거하거나 깨끗한 백업에서 복원합니다. 확실하지 않은 경우, 신뢰할 수 있는 소스에서 전체 사이트를 재구성하는 것을 고려합니다.
- 쿠키/세션을 재발급합니다.
- 관리자 사용자의 모든 세션을 무효화하고, 다시 로그인하도록 권장합니다.
- 감시 장치
- 수정 후 일정 기간 동안 향상된 로그 및 WAF 모니터링을 활성화합니다.
- 보고하십시오.
- 사건이 심각하거나 광범위하다고 생각되면, 호스팅 제공업체에 보고하고 이해관계자에게 정보를 제공합니다.
사이트를 안전하게 테스트하는 방법 (펜 테스트 가이드)
- 먼저 비생산 환경을 사용합니다 (스테이징 또는 로컬).
- 안전한 테스트 도구를 사용합니다 — 브라우저 개발자 도구, 인터셉트 모드의 Burp Suite, 그리고 악성 콘텐츠를 생산 로그에 게시하지 않는 필터.
- 안전한 인코딩된 토큰을 보내어 반사를 테스트합니다. 이 토큰은 스크립트 태그와 유사합니다 (예:,
__XSS_TEST__) 응답에서 인코딩되지 않은 상태로 나타나는지 확인합니다. - 인코딩되지 않은 토큰이 보이면, 입력이 반사되고 XSS 페이로드를 수용할 수 있다는 신호로 간주합니다.
- 공개적으로 접근 가능한 생산 사이트에서 실제 익스플로잇 페이로드로 테스트하지 마십시오.
CVSS 7.1 (중간) — 등급 설명
CVSS는 중간 심각도를 나타냅니다:
- 공격 복잡성은 낮습니다(공격자는 URL만 작성하면 됩니다).
- 공격은 사용자 상호작용이 필요합니다(희생자가 클릭해야 함).
- 공격자는 인증을 받을 필요가 없습니다.
- 영향은 클 수 있습니다(세션 도용 또는 관리자 손상) 하지만 쿠키와 사이트 강화(HttpOnly, SameSite)에 따라 다릅니다.
요약하자면, 이 취약점은 사회 공학적으로 조작된 희생자에게 쉽게 악용될 수 있지만, 사용자가 상호작용해야 하고 서버 자체에서 원격으로 코드를 실행할 수 없기 때문에 중간으로 평가됩니다.
즉각적인 수정 외에 장기적인 강화 권장
- 최소 권한 원칙을 적용하십시오.
- 관리 접근을 제한하고 사용하지 않는 관리자 계정을 제거합니다.
- 강력한 인증을 시행합니다.
- 모든 관리자 사용자에 대해 이중 인증을 활성화합니다.
- 보안 헤더 사용
- CSP, X-Content-Type-Options: nosniff, X-Frame-Options: DENY, Referrer-Policy, Feature-Policy.
- 쿠키 강화
- 설정합니다.
17. HttpOnly,보안, 그리고SameSite쿠키에 대해.
- 설정합니다.
- WordPress 코어, 테마 및 플러그인을 최신 상태로 유지하십시오.
- 보안 업데이트를 신속하게 적용하기 위한 패치 일정 구현.
- 지속적인 모니터링 및 로깅
- 로그를 중앙 집중화하고 이상 징후를 모니터링합니다; WAF 로그를 사용하여 공격을 탐지하고 차단합니다.
- 정기적인 코드 리뷰 및 보안 테스트
- 플러그인 저자들이 보안 코딩 가이드라인과 독립적인 보안 리뷰를 채택하도록 권장합니다.
WP-Firewall이 도움이 되는 방법 — 우리의 방화벽이 제공하는 것
WP-Firewall은 WordPress 보안 서비스로서 다음과 같이 도움을 줍니다:
- 공급업체 패치가 제공되기 전에 활성 위협을 차단하기 위해 가상 패치로 푸시할 수 있는 관리형 WAF 규칙을 제공합니다.
- 시도된 악용 트래픽을 모니터링하고 경고합니다.
- 반사-XSS 지표 및 취약점 특정 서명을 위한 타겟 규칙을 제공합니다.
- 감염된 사이트에 대한 악성코드 스캔 및 정리 지원.
- 플러그인 패치가 출시될 때 알 수 있도록 지속적인 모니터링을 하여 안전한 업데이트를 예약할 수 있습니다.
귀하의 조직이 빠른 가상 패치를 적용하기를 원하거나 로그 분석에 도움이 필요하다면, 신뢰할 수 있는 방화벽 공급업체나 관리 보안 팀과 협력하면 공격 창을 크게 줄일 수 있습니다.
사이트 관리자를 위한 실용적인 변경 로그
ListingPro를 사용하여 WordPress 사이트를 관리하는 경우:
- 플러그인 버전을 즉시 확인하십시오; 만약 <= 2.9.8이라면, 완화 조치를 우선시하십시오.
- 공급업체 패치가 가능한 경우, 유지 관리 시간 동안 업데이트를 계획하고 백업을 수행하십시오.
- 패치가 아직 없는 경우: CVE에 대해 WAF 가상 패칭을 활성화하고 CSP 및 쿠키 보호를 구현하십시오.
- 직원에게 의심스러운 링크 회피에 대해 소통하고, 수정 후 관리자 자격 증명을 교체하십시오.
- 패치 후 전체 사이트 스캔을 실행하고 비정상적인 콘텐츠가 남아 있지 않은지 확인하십시오.
제목: 지금 WordPress 디렉토리를 안전하게 보호하세요 — WP-Firewall의 무료 방화벽 보호
ListingPro 기반 디렉토리를 관리하는 경우, 위험을 줄이기 위해 플러그인 업데이트를 기다릴 필요가 없습니다. WP-Firewall은 관리형 방화벽 보호, 웹 애플리케이션 방화벽(WAF), 악성 코드 스캔, 무제한 대역폭 및 OWASP Top 10 위험에 대한 완화 범위를 포함하는 무료 기본 계획을 제공합니다. 알려진 위협에 대한 즉각적인 가상 패칭을 받으려면 무료 계획에 가입하고 개발자가 공식 플러그인 수정 작업을 하는 동안 사이트를 안전하게 유지하기 위해 지속적인 모니터링을 받으십시오:
WP-Firewall Basic으로 무료 보호를 시작하십시오.
(계획 개요: 기본 — 필수 보호(무료); 표준 — 자동 악성 코드 제거 및 IP 블랙/화이트리스트 제어 추가; 프로 — 월간 보안 보고서, 자동 가상 패칭 및 프리미엄 지원 기능 추가.)
최종 메모 및 권장 다음 단계
- ListingPro(<= 2.9.8)를 사용하는 WordPress 사이트를 운영하는 경우, 신속하게 조치를 취하십시오. WAF를 통해 시도를 차단하고, 헤더와 쿠키를 강화하며, 공급업체의 패치된 릴리스가 제공되는 즉시 업데이트할 준비를 하십시오.
- 관리자가 정보를 얻을 수 있도록 하고, 원치 않는 링크에 대해 주의할 것을 요구하십시오.
- WAF 규칙, 가상 패칭 또는 사고 대응을 구현하는 데 도움이 필요하다면, 보호 시간을 줄이고 탐지 및 정리에 대한 전문적인 도움을 받기 위해 관리형 WordPress 방화벽 솔루션을 사용하는 것을 고려하십시오.
우리는 이 CVE와 관련된 공개 사항을 계속 모니터링할 것이며, 공급업체 패치 및 추가 기술 세부 정보가 제공됨에 따라 우리의 규칙과 지침을 업데이트할 것입니다. 만약 착취의 증거가 있거나 도움이 필요하다면, 환경을 안전하게 유지하고 로그를 보존하며, 보안 제공업체나 호스팅 지원에 도움을 요청하십시오.
— WP-방화벽 보안팀
