플러그인 이름	퍼프매터스
취약점 유형	디렉토리 탐색
CVE 번호	CVE-2026-4351
긴급	높은
CVE 게시 날짜	2026-04-12
소스 URL	CVE-2026-4351

Perfmatters(≤ 2.5.9)에서의 디렉터리 탐색 — 워드프레스 사이트 소유자가 지금 당장 해야 할 일

날짜: 3. 2026년 4월 10일
작가: WP‑Firewall 보안 팀

요약

Perfmatters 워드프레스 플러그인(버전 ≤ 2.5.9)에 영향을 미치는 고위험 디렉터리 탐색 취약점이 공개되었습니다(CVE‑2026‑4351). 구독자 계정을 가진 인증된 공격자는 플러그인의 스니펫 처리 방식을 조작하여 파일 시스템에서 임의의 파일 덮어쓰기를 유발할 수 있습니다. 이는 지속적인 백도어, 권한 상승, 사이트 변조 또는 전체 사이트 손상으로 이어질 수 있습니다. 공급자는 수정된 버전(2.6.0)을 출시했습니다. 즉시 업데이트할 수 없는 경우, 위험을 완화하기 위해 보상 조치를 적용해야 합니다 — 주로 WAF(가상 패치), 권한 강화, 스캔 및 목표 모니터링입니다.

이 게시물은 명확하지만 기술적으로 정확한 세부정보로 설명합니다:

취약점이 무엇인지와 그 심각한 이유;
위험과 악용 가능성이 실제 공격으로 어떻게 전환되는지;
즉각적으로 취해야 할 단계(업데이트 + 임시 완화 조치);
WP‑Firewall과 같은 유능한 워드프레스 방화벽이 현재와 미래에 어떻게 보호하는지;
사고 대응 체크리스트 및 장기적인 강화 권장 사항.

우리는 이 글을 이론가가 아닌 실제 보안 운영자로서 작성했습니다 — 실행 가능하고, 신중하며, 사이트 소유자가 사용자와 데이터를 보호하도록 돕는 데 집중했습니다.

정확히 무슨 일이 발생했나요?

취약한 코드 경로는 Perfmatters 플러그인의 “스니펫”을 저장하고 업데이트하는 데 사용되는 매개변수 처리에 있습니다. 구독자 권한을 가진 인증된 사용자는 해당 매개변수에 조작된 입력을 제공하여 디렉터리 탐색 및 서버에서의 파일 덮어쓰기를 유발할 수 있습니다. 디렉터리 탐색 취약점은 공격자가 의도된 디렉터리 컨텍스트 외부의 파일 경로를 참조할 수 있게 합니다(예: ../) 및 쓰기 기능과 결합되어 웹 서버 또는 PHP 프로세스가 쓸 수 있는 임의의 파일을 덮어쓸 수 있게 합니다.

결과에는 다음이 포함됩니다:

공격자 콘텐츠(웹 셸, 백도어)로 테마/플러그인 파일 또는 업로드 가능한 파일 덮어쓰기;
사이트에서 사용되는 쓰기 가능한 플러그인/테마 파일에 PHP 코드를 심기;
구성 파일을 교체하거나 서버에서 실행되는 위치에 PHP 파일 업로드;
중요한 파일을 손상시켜 사이트 가용성 중단.

왜 이것이 중요한가 (위협 모델)

이 취약점을 위험하게 만드는 주요 특성:

필요한 권한: 구독자. 많은 워드프레스 사이트는 이 역할 수준에서 사용자 등록을 허용하므로(회원 사이트, 댓글 워크플로, 제한된 콘텐츠) 공격자가 관리자가 될 필요는 없습니다.
임의 파일 덮어쓰기: 샌드박스화된 저장 영역에 국한되지 않으며, 디렉터리 탐색이 가능한 경우 의도된 경로 외부의 파일을 대상으로 할 수 있습니다.
높은 CVSS (8.1): 코드 실행 및 광범위한 영향 가능성을 반영합니다.
대량 악용 가능성: 공개되고 쉽게 자동화된 악용 패턴이 있을 경우, 저숙련 공격자는 많은 사이트를 빠르게 스캔하고 침해할 수 있습니다.

인증되었지만 권한이 낮은 계정은 WordPress 사이트에서 흔합니다. 실제로 공격자는 등록, 약한 외부 인증 악용, 침해된 계정 구매 또는 자격 증명 스터핑을 활용하여 구독자 접근 권한을 얻는 경우가 많습니다. 이는 취약점을 실제로 악용할 수 있게 만듭니다.

기술 요약 (비악용적)

취약한 엔드포인트: 스니펫 매개변수를 처리하는 플러그인 액션.
취약점 클래스: 디렉토리 탐색 + 임의 파일 덮어쓰기.
트리거: 의도된 정화/검증을 우회하고 허용된 디렉토리 외부의 해결된 경로에 쓰는 결과를 초래하는 스니펫의 조작된 경로 데이터.
패치된 버전: 플러그인 저자에 의해 2.6.0.
CVE: CVE‑2026‑4351 (공식 공개).

우리는 공격자가 악용을 재현할 수 있도록 하는 개념 증명 페이로드나 코드를 제공하지 않을 것입니다. 개발자나 사이트 유지 관리자인 경우, WP‑Firewall 지원 또는 플러그인 공급업체에 안전한 재현 단계나 로그를 문의하십시오.

즉각적인 조치 — 분류 및 완화

귀하의 사이트가 Perfmatters를 사용하고 버전 ≤ 2.5.9를 실행 중이라면, 지금 이 단계들을 따르십시오 — 대략 이 순서로:

플러그인을 2.6.0 (또는 이후 버전)으로 업데이트하십시오.
- 이것이 유일한 완전한 수정입니다. 필요하다면 스테이징 사이트에서 테스트하되, 가능하다면 프로덕션에서 패치를 빠르게 적용하는 것을 우선시하십시오.
- 많은 사이트를 유지 관리하는 경우, 업데이트 자동화 또는 중앙 관리 도구를 사용하여 2.6.0을 신속하게 배포하십시오.
즉시 업데이트할 수 없는 경우, WAF를 통해 가상 패칭을 적용하십시오.
- 의심스러운 스니펫 매개변수 콘텐츠가 포함된 요청을 차단하십시오 (예: "../" 또는 허용된 디렉토리 외부에 쓰려는 시도).
- 유효한 패턴만 허용하는 것은 (화이트리스트) 블랙리스트보다 안전합니다. 예상되는 스니펫 이름/문자만 허용하는 규칙이 가장 좋습니다.
- WP‑Firewall 고객: 우리는 이 유형의 악용 시도를 자동으로 감지하고 차단하는 완화 규칙을 게시하고 푸시합니다.
가능한 경우 플러그인 엔드포인트에 대한 액세스를 제한하십시오.
- 사이트에서 공개 스니펫 편집 엔드포인트가 필요하지 않은 경우 IP로 액세스를 제한하거나 다른 인증 계층으로 게이트하십시오.
- 서버 측에서 기능 검사를 구현하십시오: 적절한 기능을 가진 사용자만 파일 쓰기를 트리거할 수 있도록 하십시오. (이는 개발자 변경 사항이며 임시방편이 아닙니다.)
파일 시스템 권한을 강화하십시오.
- wp‑content, 플러그인 및 테마에 엄격한 권한이 있는지 확인하십시오. 웹 서버/PHP는 필요한 디렉토리(업로드)에만 쓰기 권한이 있어야 하며, 가능하면 핵심 플러그인 코드 디렉토리에는 쓰지 않아야 합니다.
- 일반적인 지침: 파일 644, 디렉토리 755. 소유자/그룹은 PHP 프로세스가 의도적으로 허용된 경우를 제외하고 플러그인 핵심 파일을 덮어쓸 수 없도록 구성해야 합니다.
침해의 징후를 스캔합니다.
- 새로 추가된 PHP 파일, 수정된 파일 또는 의심스러운 콘텐츠를 감지하기 위해 악성 코드 스캔을 실행하십시오 (WP‑Firewall은 모든 요금제에 스캐너를 포함합니다).
- 플러그인 및 테마 디렉토리에서 최근에 수정된 파일을 찾으십시오. 특히 공개 창 주변의 최근 타임스탬프가 있는 파일을 주의하십시오.
- 예상치 못한 관리자 사용자, 이상한 예약 작업(cron) 또는 비정상적인 아웃바운드 연결을 모니터링하십시오.
자격 증명을 회전하고 계정을 검토하십시오.
- 관리 계정 및 의심스러운 활동 직전에 생성된 모든 계정에 대해 비밀번호 재설정을 강제하십시오.
- 노출되었을 수 있는 API 키 또는 기타 비밀을 취소하십시오.
백업 및 복구
- 의심되는 손상이 발생하기 전의 깨끗한 백업이 있는지 확인하십시오. 감염이 감지되면 공격자의 유물을 제거한 후 깨끗한 백업에서 복원하십시오.
- 복원하기 전에 로그와 포렌식 스냅샷을 보존하십시오 — 이는 사건 후 분석에 도움이 됩니다.

탐지 — 무엇을 찾아야 하는가

악용 지표(IOCs)에는 다음이 포함되지만 이에 국한되지 않습니다:

PHP 코드 또는 난독화된 콘텐츠를 포함하는 플러그인/테마 디렉토리에서 새로 생성되거나 수정된 파일.
정상 플러그인 저장소 외부에 작성된 파일 — 예: PHP 파일 업로드/.
예상치 못한 관리자 또는 편집자 사용자 계정, 또는 이전에 알려지지 않은 플러그인 편집자.
플러그인 엔드포인트에 대한 의심스러운 매개변수 값을 가진 POST 요청을 보여주는 웹 서버 액세스 로그.
의심스러운 예약 작업(wp‑cron 이벤트) 또는 예상치 못한 콘텐츠가 있는 데이터베이스의 지속적인 옵션.
서버에서 낯선 IP/도메인으로의 아웃바운드 네트워크 활동.

로그 및 검색 팁:

플러그인 엔드포인트에 대한 접근 로그를 검색하고 스니펫과 관련된 매개변수 이름이 포함된 요청을 찾습니다.
POST 본문에서 비정상적인 콘텐츠를 찾습니다 (경로 시퀀스, base64 코드, 긴 문자열).
파일 무결성 시스템(트립와이어, fsmonitor)이 있는 호스트에서 최근에 변경된 플러그인 파일을 찾습니다.

WAF/가상 패치가 중요한 임시 방편인 이유

가상 패치(WAF 규칙)는 업데이트를 관리하는 동안 취약한 사이트를 보호합니다. 가상 패치는 취약한 코드가 실행되기 전에 HTTP 계층에서 악용 패턴을 차단합니다. 디렉토리 탐색 임의 쓰기 문제에 대해 WAF 규칙은 일반적으로:

알려진 악성 패턴(예: 경로 탐색 토큰, 예상치 못한 파일 확장자, 널 바이트)에 대해 매개변수(GET/POST/JSON 페이로드)를 검사합니다.
파일 쓰기를 해서는 안 되는 사용자(예: 구독자 역할)로부터의 요청을 차단하거나 정리합니다.
스캔 또는 탐색 행동을 보이는 의심스러운 IP 및 사용자 계정을 비율 제한하고 차단합니다.

WP‑Firewall은 WordPress 동작에 맞게 조정된 관리 규칙을 제공합니다. 가상 패치는 코드 수정의 대체물이 아니지만 즉각적인 공격 표면을 줄이고 모든 인스턴스를 업데이트할 시간을 벌어줍니다.

강화 체크리스트 — 긴급 완화 이상의

즉각적인 완화를 적용한 후, 이 중기 강화 계획을 따르십시오:

모든 플러그인, 테마 및 코어를 현재 안정적인 릴리스로 업데이트합니다.
사용자 계정에 대해 최소 권한 원칙을 시행합니다; 사용하지 않는 계정을 제거하거나 역할을 줄입니다.
플러그인 편집기 기능을 제한합니다: 신뢰할 수 있는 관리자만 플러그인/테마 코드를 업로드하거나 편집할 수 있도록 합니다.
업로드 디렉토리를 웹 루트 외부로 이동하거나 .htaccess/Nginx 규칙을 사용하여 업로드에서 실행을 차단합니다.
호스트가 파일 소유권 분리를 지원하는 경우(예: suExec 사용, 사용자별 PHP-FPM 풀) 플러그인 디렉토리에 대한 전체 파일 쓰기 접근을 비활성화합니다.
모든 특권 계정에 대해 이중 인증(2FA)을 구현합니다.
자동화된 보안 스캔: 예약된 악성 코드 스캔 및 파일 변경 모니터링.
SFTP / SSH 키 기반 접근만 허용; 일반 FTP는 피하십시오.
이상 탐지를 위한 중앙 집중식 로깅 및 SIEM 통합.

WP‑Firewall — 어떻게 귀하의 WordPress 사이트를 보호하는지

WP‑Firewall에서는 WordPress 호스팅의 현실을 기반으로 한 다층 보호를 제공합니다:

관리형 웹 애플리케이션 방화벽(WAF): WordPress 플러그인 및 일반적인 악용 패턴에 맞게 조정된 규칙. 이 Perfmatters 취약점에 대해 우리는 의심스러운 스니펫 매개변수를 탐지하고 플러그인에 도달하기 전에 악용 시도를 차단하기 위해 규칙 서명을 게시하고 업데이트합니다.
악성 코드 스캐너: 파일을 스캔하고, 알려진 깨끗한 복사본과 비교하며, 주입된 PHP 코드 및 웹 셸을 찾습니다.
OWASP Top 10 완화: 디렉터리 탐색, 안전하지 않은 직접 객체 참조 및 교차 사이트 스크립팅을 포함한 일반적인 웹 애플리케이션 취약점에 대해 방어하는 서명 및 행동 규칙.
관리형 가상 패치: 제로 데이 또는 공개된 취약점이 식별되면, WP‑Firewall은 패치를 위한 시간을 벌기 위해 보호된 설치에 긴급 규칙을 푸시합니다.
자동 복구 및 알림(유료 요금제): 식별된 악성코드의 자동 제거 또는 격리 및 관리자에게 우선 알림.

무료 요금제에 대한 주의 사항 및 그 중요성

우리는 사이트 소유자와 소규모 비즈니스가 종종 제한된 예산으로 많은 WordPress 설치를 관리한다는 것을 이해합니다. 우리의 기본(무료) 요금제는 업데이트를 조정하는 동안 노출되지 않도록 필수적인 보호를 제공합니다:

긴급 규칙 업데이트가 포함된 관리형 방화벽(WAF);
보호 조치가 사이트 트래픽을 제한하지 않도록 무제한 대역폭;
의심스러운 파일 및 수정 사항을 탐지하는 악성코드 스캐너;
OWASP Top 10 위험 클래스에 대한 완화 범위.

공개 WordPress 사이트를 보호하고 있다면, 최소한 이 기본 보호를 활성화하는 것이 신중합니다 — 이는 업데이트 창 동안 자동화된 악용 스캐너가 성공할 확률을 극적으로 줄입니다.

사고 대응: 단계별

이 취약점을 통해 악용당했다고 생각되면, 구조화된 사고 대응을 따르십시오:

격리하다
- 사이트 무결성이 의심스러울 경우 사이트를 일시적으로 오프라인으로 전환하거나 유지 관리 모드로 전환하십시오.
- 공격자가 웹 셸 또는 지속적인 백도어를 설치한 경우, 데이터 유출을 방지하기 위해 서버(네트워크)를 격리합니다.
증거 보존
- 웹 서버 접근 로그, 오류 로그 및 데이터베이스 스냅샷을 수집합니다.
- 파일 시스템을 변경하기 전에 포렌식 복사본을 만듭니다.
범위 식별
- 어떤 파일이 작성/수정되었는지 및 어떤 계정이 사용되었을 수 있는지 확인합니다.
- 지속성 메커니즘(크론 작업, WP 옵션 테이블의 옵션, 공격자가 드롭한 플러그인)을 찾습니다.
정리
- 주입된 파일과 백도어를 제거합니다. 알려진 좋은 백업에서 깨끗한 파일을 복원하는 것을 선호합니다.
- 자격 증명(WP 관리자 사용자, 호스팅 제어판, SFTP, API 키)을 회전합니다.
- 공식 소스에서 손상된 플러그인/테마를 재설치합니다.
수정
- Perfmatters를 2.6.0으로 업데이트합니다.
- 호스트 강화, WAF 규칙 및 파일 권한 수정을 적용합니다.
- 다른 취약점을 패치하고 전체 보안 감사를 수행합니다.
복구 및 검증
- 깨끗한 백업에서 서비스를 복원합니다. 파일 체크섬 및 스캔으로 무결성을 검증합니다.
- 모니터링이 활성화된 상태로 사이트를 프로덕션에 재도입합니다.
사건 후 검토
- 원인, 조치, 학습 포인트를 문서화합니다.
- 향후 취약점이 더 빠르게 수정될 수 있도록 실행 문서 및 자동화를 업데이트합니다.

탐지 및 모니터링 규칙(예시)

아래는 WAF 또는 서버 모니터링 도구에 구현할 수 있는 비공격 가능한 방어 규칙 아이디어입니다. 명확성을 위해 작성되었으며, 배포 가능한 코드 스니펫이 아닙니다.

패턴 차단: 요청을 차단하는 곳 "스니펫" 매개변수(POST 또는 JSON)는 파일 경로 컨텍스트에서 사용할 때 이중 점 시퀀스(../) 또는 파일 경로 맥락에서 사용될 때 인코딩된 변형().
매개변수 유형 강제 적용: 스니펫 식별자에 대해 예상되는 문자(영숫자, 대시, 밑줄)만 허용합니다.
역할 게이팅: 파일 쓰기를 수행하는 엔드포인트에 대해 구독자 역할을 가진 계정의 쓰기 요청을 차단합니다; 낮은 권한 계정에서 발행된 쓰기 작업에 대해 추가 검사를 트리거합니다.
파일 쓰기 모니터링: 웹 서버/PHP 프로세스에 의해 플러그인 또는 테마 디렉토리의 파일이 생성되거나 수정될 때 경고합니다.
속도 제한: 동일한 IP에서 동일한 엔드포인트에 대한 의심스러운 반복 시도를 제한합니다.

기억하세요: 규칙을 지나치게 광범위하게 만들면 합법적인 기능이 중단될 수 있습니다; 먼저 스테이징에서 규칙을 테스트하고 가능하다면 초기에는 로깅 전용 모드로 적용하세요.

사이트 소유자를 위한 커뮤니케이션 체크리스트

내부 이해관계자 및 IT/호스팅 팀에 즉시 알립니다.
취약점이나 악용과 관련된 데이터 노출 증거가 있는 경우에만 사이트 사용자에게 알립니다.
규제(개인정보 보호법)의 적용을 받는 사용자 데이터를 호스팅하는 경우, 공개 의무에 대해 법률 자문을 받으세요.
사고 세부 정보를 호스팅 제공업체와 공유하세요 — 그들은 종종 특권 액세스 및 탐지 도구를 가지고 있습니다.

자주 묻는 질문(FAQ)

큐: 제 사이트에 구독자 등록이 있습니다; 이것이 저를 취약하게 만드나요?
에이: 이 취약점은 구독자 계정이 있어야 악용할 수 있습니다. 귀하의 사이트가 공개 등록을 허용하고 구독자를 할당하는 경우, 위험을 감수하고 즉각적인 조치를 취해야 합니다. WAF 규칙을 활성화하고 패치를 적용하면 취약점이 제거됩니다.

큐: 제 사이트는 호스트 방화벽 뒤에 있습니다. 저는 안전한가요?
에이: 호스트 방화벽은 도움이 될 수 있지만, WAF가 하는 방식으로 POST 본문의 애플리케이션 매개변수를 검사하는 경우는 드뭅니다. 애플리케이션 계층에서의 가상 패치는 이 유형의 취약점에 대해 더 효과적입니다.

큐: 지금 Perfmatters 플러그인을 비활성화해야 하나요?
에이: 즉시 업데이트할 수 없다면, 플러그인을 비활성화하면 취약한 코드 경로가 제거되고 간단한 완화 조치가 됩니다. 그러나 비활성화는 사이트 성능이나 기능을 변경할 수 있습니다. 플러그인에 많이 의존하는 경우, 업데이트 계획을 세우는 동안 가상 패치 및 접근 제한이 더 바람직할 수 있습니다.

큐: 사이트 스캔만으로 제가 침해되지 않았다는 확신을 가질 수 있나요?
에이: 스캔은 좋은 시작이지만 항상 완벽하지는 않습니다. 파일 무결성 검사, 로그 분석 및 구성 검토를 결합하세요. 정교한 침해가 의심되는 경우, 전문 사고 대응을 고려하세요.

사이트를 빠르게 보호하세요 — 이 작업부터 시작하세요.

첫 번째 우선 사항으로 Perfmatters를 버전 2.6.0 이상으로 업데이트하세요.
즉시 업데이트할 수 없다면, WP‑Firewall의 관리형 WAF 규칙을 활성화하여 스니펫 매개변수를 악용하려는 시도와 유사한 디렉토리 탐색 패턴을 차단하세요.
전체 맬웨어 스캔을 실행하고 최근 파일 변경 사항을 확인하세요. 의심스러운 파일을 발견하면 로그를 보존하고 조사를 하는 동안 사이트를 격리하세요.

오늘 귀하의 사이트를 안전하게 보호하세요 — WP‑Firewall 무료 플랜으로 시작하세요

여러 사이트에서 업데이트를 조정하는 동안 빠른 안전망이 필요하다면 WP‑Firewall의 기본(무료) 플랜을 사용해 보세요. 필수 보호를 제공합니다: 긴급 규칙 업데이트가 포함된 관리형 WAF, 의심스러운 파일을 식별하는 맬웨어 스캐너, 제한 없는 대역폭으로 보호하며 속도 제한 없이, OWASP Top 10 위험에 대한 보호를 제공합니다. 지금 시작하고 패치를 적용하는 동안 노출을 줄이세요: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

보호 업그레이드 — 우리의 플랜이 어떻게 도움이 되는지

무료(기본) 플랜: 필수 관리형 방화벽 규칙, 맬웨어 스캔, OWASP 완화 — 즉각적인 긴급 보호에 적합합니다.
표준 플랜: 자동 맬웨어 제거 및 제한된 IP 블랙리스트/화이트리스트 제어 추가 — 복구 지원이 필요한 경우 유용합니다.
프로/계층화된 플랜: 월간 보안 보고서, 자동 가상 패칭 및 관리 서비스 포함 — 여러 사이트를 운영하는 비즈니스 및 기관에 권장됩니다.

적시 패치에 대해 신경 써야 하는 이유

가상 패칭은 도움이 되지만 일시적입니다. 코드 수정은 근본 원인을 제거하고; WAF 규칙은 보호 제어입니다. 공격자는 결국 알려진 취약한 소프트웨어를 대규모로 타겟팅하며, 자동화는 대량 손상을 간단하게 만듭니다. 빠른 패칭, WAF 보호 및 좋은 운영 위생의 조합만이 지속 가능한 방어입니다.

결론적 권장 사항

즉시 Perfmatters를 2.6.0으로 업데이트하세요.
지금 업데이트할 수 없다면, 애플리케이션 계층 보호(WAF)를 활성화하고 권한 및 접근을 강화하세요.
청소하기 전에 손상 여부를 스캔하고 로그를 보존하세요.
장기적인 강화 적용: 2FA, 최소 권한, 파일 무결성 모니터링, 예약 패칭.
많은 사이트를 운영하거나 내부 보안 역량이 부족하다면 관리형 보안 서비스를 고려하세요.

여러 사이트에서 노출을 평가하거나 긴급 가상 패칭을 활성화하거나 스캔 및 사고 대응을 실행하는 데 도움이 필요하다면, WP‑Firewall 팀이 도와드릴 준비가 되어 있습니다. 우리는 사이트 기능을 손상시키지 않으면서 위험을 줄이기 위해 현대 WordPress 위협 환경을 기반으로 완화 조치를 구축합니다.

부록: 빠른 체크리스트 (복사-붙여넣기)

각 사이트에서 Perfmatters 버전을 확인하세요.
가능한 경우 즉시 2.6.0(또는 이후 버전)으로 업데이트하세요.
즉시 업데이트하지 않는 경우, 스니펫 매개변수에서 경로 탐색을 차단하는 규칙으로 WAF를 활성화/검증하십시오.
전체 악성 코드 스캔 및 파일 변경 감지를 실행하십시오.
플러그인/테마 디렉토리의 최근 변경 사항(타임스탬프)을 검토하십시오.
관리자 및 호스팅 계정의 자격 증명을 회전하십시오.
알 수 없는 관리자/편집자 사용자를 확인하고 제거하십시오.
파일 시스템 권한을 강화하고 업로드 디렉토리에서 PHP 실행을 차단하십시오.
수정 작업 전에 로그를 보존하고 백업하십시오.
확실하지 않은 경우 관리형 지원을 고려하십시오.

도움이 필요하시면: 저희 팀이 귀하의 설치에 긴급 가상 패치를 적용하고, 무결성 검사를 실행하며, 귀하의 호스팅 환경에 맞춘 수정 단계에 대해 조언할 수 있습니다. 여기에서 무료 플랜으로 즉각적인 보호를 신청하십시오: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

원하신다면,

최근 파일 변경 사항을 나열하기 위해 서버에서 실행할 수 있는 비파괴 스캔 스크립트 제안을 제공합니다(안전하고 읽기 전용);
먼저 로깅 모드에서 테스트할 수 있는 보수적인 WAF 규칙을 수립하는 데 도움을 드립니다;
향후 공개에 대한 응답 시간을 줄이기 위해 업데이트/패치 프로세스를 검토하십시오.

안전히 계세요,
WP‑Firewall 보안 팀

Perfmatters 디렉토리 탐색 보안 권고//발행일 2026-04-12//CVE-2026-4351

Perfmatters(≤ 2.5.9)에서의 디렉터리 탐색 — 워드프레스 사이트 소유자가 지금 당장 해야 할 일

요약

정확히 무슨 일이 발생했나요?

왜 이것이 중요한가 (위협 모델)

기술 요약 (비악용적)

즉각적인 조치 — 분류 및 완화

탐지 — 무엇을 찾아야 하는가

WAF/가상 패치가 중요한 임시 방편인 이유

강화 체크리스트 — 긴급 완화 이상의

WP‑Firewall — 어떻게 귀하의 WordPress 사이트를 보호하는지

무료 요금제에 대한 주의 사항 및 그 중요성

사고 대응: 단계별

탐지 및 모니터링 규칙(예시)

사이트 소유자를 위한 커뮤니케이션 체크리스트

자주 묻는 질문(FAQ)

사이트를 빠르게 보호하세요 — 이 작업부터 시작하세요.

오늘 귀하의 사이트를 안전하게 보호하세요 — WP‑Firewall 무료 플랜으로 시작하세요

보호 업그레이드 — 우리의 플랜이 어떻게 도움이 되는지

적시 패치에 대해 신경 써야 하는 이유

결론적 권장 사항

부록: 빠른 체크리스트 (복사-붙여넣기)

WP Security Weekly를 무료로 받으세요 👋
지금 등록하세요!!

무료 WordPress 보안 컨설팅을 예약하려면 저희에게 연락하세요.

Perfmatters 디렉토리 탐색 보안 권고//발행일 2026-04-12//CVE-2026-4351

Perfmatters(≤ 2.5.9)에서의 디렉터리 탐색 — 워드프레스 사이트 소유자가 지금 당장 해야 할 일

요약

정확히 무슨 일이 발생했나요?

왜 이것이 중요한가 (위협 모델)

기술 요약 (비악용적)

즉각적인 조치 — 분류 및 완화

탐지 — 무엇을 찾아야 하는가

WAF/가상 패치가 중요한 임시 방편인 이유

강화 체크리스트 — 긴급 완화 이상의

WP‑Firewall — 어떻게 귀하의 WordPress 사이트를 보호하는지

무료 요금제에 대한 주의 사항 및 그 중요성

사고 대응: 단계별

탐지 및 모니터링 규칙(예시)

사이트 소유자를 위한 커뮤니케이션 체크리스트

자주 묻는 질문(FAQ)

사이트를 빠르게 보호하세요 — 이 작업부터 시작하세요.

오늘 귀하의 사이트를 안전하게 보호하세요 — WP‑Firewall 무료 플랜으로 시작하세요

보호 업그레이드 — 우리의 플랜이 어떻게 도움이 되는지

적시 패치에 대해 신경 써야 하는 이유

결론적 권장 사항

부록: 빠른 체크리스트 (복사-붙여넣기)

WP Security Weekly를 무료로 받으세요 👋지금 등록하세요!!

무료 WordPress 보안 컨설팅을 예약하려면 저희에게 연락하세요.

WP Security Weekly를 무료로 받으세요 👋
지금 등록하세요!!