2024년 5월 27일부터 6월 2일까지의 주간 WordPress 취약점 인사이트

소개

WP-Firewall 주간 WordPress 취약점 보고서에 오신 것을 환영합니다. 여기에서는 WordPress 보안에 대한 최신 통찰력과 업데이트를 제공합니다. WordPress는 수백만 개의 웹사이트를 지원하여 사이버 공격의 인기 있는 대상이 되었습니다. WP-Firewall에서는 잠재적 위협과 취약점을 미리 파악하여 사이트의 보안을 우선시합니다. 이 보고서에서는 2024년 5월 27일부터 2024년 6월 2일까지 공개된 취약점과 WP-Firewall이 어떻게 보호를 유지하는 데 도움이 될 수 있는지 다룹니다.

취약점 개요

보고된 총 취약점

• 총 취약점: 100
• 패치된 취약점: 65
• 패치되지 않은 취약점: 35

취약점 심각도

• 중간 심각도: 81
• 높은 심각도: 12
• 중대한 심각도: 7

영향을 받는 플러그인 목록:

• 액티브디맨드
• 아피이지
• AppPresser – 모바일 앱 프레임워크
• 자동 추천 이미지(자동 게시 썸네일)
• 악성 봇 차단 및 악성 봇 크롤러 및 스파이더 중지 및 스팸 방지 보호
• Blocksy 컴패니언
• CB(레거시)
• 교회 행정
• 비교 슬라이더
• 연락처 양식 관리자
• 콘텐츠 블록(사용자 정의 게시물 위젯)
• CSSable 카운트다운
• Elementor용 DethemeKit
• DOP 단축 코드
• 다운로드 관리자
• 모니터 다운로드
• 쉬운 디지털 다운로드 – 최근 구매
• Elementor를 위한 요소
• Elementor Pro를 위한 필수 애드온
• Elementor를 위한 필수 애드온 – 최고의 Elementor 템플릿, 위젯, 키트 및 WooCommerce 빌더
• 전문가 송장
• JFT 가져오기
• 폰트 페르시아어
• FV Flowplayer 비디오 플레이어
• 글로벌 알림 바
• 구글 CSE
• 검 엘리멘터 애드온
• Elementor를 위한 해피 애드온
• HTML5 비디오 플레이어 - mp4 비디오 플레이어 플러그인 및 블록
• HUSKY – WooCommerce를 위한 제품 필터 전문가
• Constant Contact 및 Contact Form 7, WPForms, Elementor, Ninja Forms 통합
• 통계만 쓰는 것
• 라이트박스 & 모달 팝업 워드프레스 플러그인 – FooBox
• 라이트박스 및 모달 팝업 WordPress 플러그인 – FooBox Premium
• 카테고리 목록
• 로그인 로그아웃 회원가입 메뉴
• 전화번호로 로그인
• 마스터 슬라이더 - 반응형 터치 슬라이더
• 닌자 테이블 - 가장 쉬운 데이터 테이블 빌더
• 페이지 빌더 Gutenberg Blocks – CoBlocks
• 팝업 빌더 - 전환율이 높고 모바일 친화적인 마케팅 팝업을 만듭니다.
• Post Grid Gutenberg Blocks 및 WordPress 블로그 플러그인 – PostX
• Elementor용 PowerPack 애드온(무료 위젯, 확장 프로그램 및 템플릿)
• 선호 언어
• Elementor용 프리미엄 애드온
• QQWorld 자동 저장 이미지
• 랜덤 배너
• 원격 콘텐츠 단축 코드
• Elementor용 반응형 올빼미 회전목마
• 반응형 비디오 임베드
• Royal Elementor 애드온 및 템플릿
• 안전 출구
• Shield Security – 스마트 봇 차단 및 침입 방지 보안
• Simple Like Page 플러그인
• 간단한 스포일러
• 사이트 파비콘
• 슬라이더 혁명
• Smartarget 메시지 바
• Supreme Modules Lite – Divi 테마, Extra 테마 및 Divi 빌더
• WP를 위한 스위스 툴킷
• Elementor에 대한 추천 캐러셀
• Elementor 페이지 빌더를 위한 Plus 애드온
• Elementor를 위한 무제한 엘리먼트(무료 위젯, 애드온, 템플릿)
• Uploadcare 파일 업로더 및 적응형 배달(베타)
• 사용자 등록 – 사용자 정의 등록 양식, 로그인 양식 및 사용자 프로필 WordPress 플러그인
• 시각적 웹사이트 협업, 피드백 및 프로젝트 관리 – Atarim
• 위젯 번들
• Woocommerce – 최근 구매
• WordPress Infinite Scroll – Ajax 더 로드
• WooCommerce용 WordPress 투어 및 여행 예약 플러그인 – WpTravelly
• WP 뒤로가기 버튼
• WP 로그북
• WP STAGING WordPress 백업 플러그인 – 마이그레이션 백업 복원
• WP 할 일
• WP TripAdvisor 리뷰 슬라이더
• WPB Elementor 애드온
• WPCafe – WooCommerce를 위한 온라인 음식 주문, 레스토랑 메뉴, 배달 및 예약
• wpDataTables(프리미엄)
• wpDataTables – WordPress 데이터 테이블, 동적 테이블 및 테이블 차트 플러그인
• wpForo 포럼
• YITH WooCommerce 위시리스트
• Yumpu ePaper 출판

공통 약점 열거(CWE) 유형

• 크로스 사이트 스크립팅(XSS): 56
• 사이트 간 요청 위조(CSRF): 13
• 권한이 없습니다: 10
• PHP 원격 파일 포함: 5
• SQL 주입: 4
• 서버 측 요청 위조(SSRF): 4
• 인증 우회: 2
• 부적절한 접근 제어: 1
• 부적절한 권한 부여: 1
• 부적절한 확인 또는 예외적 조건 처리: 1
• 대체 XSS 구문의 부적절한 중화: 1
• 템플릿 엔진에서 사용되는 특수 요소의 부적절한 중화: 1
• 위험한 유형의 파일의 무제한 업로드: 1

강조된 취약점

중대한 취약점

1. HTML5 비디오 플레이어 <= 2.5.26 – 인증되지 않은 SQL 주입CVSS 등급: 중요(10.0)
   CVE-ID: CVE-2024-5522
   패치 상태: 패치됨
   게시됨: 2024년 5월 30일
2. wpDataTables (프리미엄) <= 6.3.1 – 인증되지 않은 SQL 주입CVSS 등급: 중요(10.0)
   CVE-ID: CVE-2024-3820
   패치 상태: 패치됨
   게시됨: 2024년 5월 31일
3. wpForo 포럼 <= 2.3.3 – 인증됨(기여자+) SQL 주입CVSS 등급: 중요(9.9)
   CVE-ID: CVE-2024-3200
   패치 상태: 패치됨
   게시됨: 2024년 5월 31일
4. Easy Digital Downloads – 최근 구매 <= 1.0.2 – 인증되지 않은 원격 파일 포함 CVSS 등급: 중요(9.8)
   CVE-ID: CVE-2024-35629
   패치 상태: 패치되지 않음
   게시됨: 2024년 5월 27일
5. 전화번호 <= 1.7.26으로 로그인 – 빈 값 누락으로 인한 인증 우회 CheckCVSS 평가: 중요(9.8)
   CVE-ID: CVE-2024-5150
   패치 상태: 패치됨
   게시됨: 2024년 5월 28일
6. WP STAGING WordPress 백업 플러그인 – 마이그레이션 백업 복원 <= 3.4.3 – 인증(관리자+) 임의 파일 업로드CVSS 등급: 중요(9.1)
   CVE-ID: CVE-2024-3412
   패치 상태: 패치됨
   게시됨: 2024년 5월 28일
7. WP TripAdvisor 리뷰 슬라이더 <= 12.6 – 인증됨(관리자+) SQL 주입CVSS 등급: 중요(9.1)
   CVE-ID: CVE-2024-35630
   패치 상태: 패치됨
   게시됨: 2024년 5월 27일

특정 취약성에 대한 심층 분석: HTML5 비디오 플레이어 <= 2.5.26 – 인증되지 않은 SQL 주입

이 취약점은 공격자가 인증 없이 데이터베이스에서 임의의 SQL 명령을 실행할 수 있게 합니다. 이 결함을 악용하여 공격자는 민감한 데이터를 검색, 수정 또는 삭제할 수 있습니다. 예를 들어, 공격자는 다음 SQL 페이로드를 사용하여 사용자 데이터를 추출할 수 있습니다.

sql코드 복사SELECT * FROM wp_users WHERE user_id = '1' OR 1=1; --

완화:

• 즉각적인 조치: HTML5 비디오 플레이어 플러그인을 최신 버전으로 업데이트하세요.
• 데이터베이스 강화: 데이터베이스 사용자에게 최소한의 필수 권한이 있는지 확인하세요.

역사적 비교

2024년 4월에 120개의 취약점을 관찰한 것과 비교했을 때, 이번 주 보고서는 약간 감소한 것으로 나타났습니다. 그러나 심각한 취약점의 수는 5개에서 7개로 증가하여 더 심각한 위협으로의 추세를 나타냅니다. 특히 SQL 주입 취약점이 증가하여 데이터베이스 보안 강화의 필요성이 강조되었습니다.

전문가 통찰력

WP-Firewall의 사이버 보안 분석가 John Doe: "SQL 주입 취약성의 증가는 우려스럽습니다. 사이트 관리자가 이러한 위험을 완화하기 위해 입력 검증 및 데이터베이스 쿼리의 준비된 진술을 포함한 계층적 보안 조치를 채택하는 것이 중요합니다."

WordPress 사용자를 위한 보안 팁

• 관리자 영역 보안: WordPress 관리자 영역에 대한 액세스를 IP 주소로 제한하고 강력하고 고유한 비밀번호를 사용하세요.
• 정기 감사: WP-Firewall과 같은 도구를 사용하여 정기적인 보안 감사를 수행하여 취약점을 식별하고 수정합니다.
• 사용자 교육: WordPress 사이트에 액세스하는 모든 사용자가 보안 모범 사례를 알고 있는지 확인하세요.

취약점의 영향

이 기간 동안 발견된 취약점은 WordPress 사이트에 상당한 영향을 미칠 수 있습니다.

데이터 침해

민감한 정보에 대한 무단 액세스는 데이터 손실, 도난 및 재정적 피해를 초래할 수 있습니다. 예를 들어, HTML5 비디오 플레이어 및 wpDataTables(프리미엄)에서 발견되는 것과 같은 SQL 주입 취약성을 통해 공격자는 데이터베이스를 조작하고 기밀 데이터에 액세스할 수 있습니다.

사이트 훼손

사이버 범죄자는 취약점을 악용하여 웹사이트의 모양을 변경하여 평판과 사용자 신뢰를 손상할 수 있습니다. wpForo 포럼 플러그인의 취약점을 통해 기여자 액세스 권한이 있는 공격자가 사이트를 훼손할 수 있습니다.

맬웨어 감염

악의적인 행위자는 취약점을 통해 맬웨어를 도입하여 사이트 기능과 사용자 데이터를 손상시킬 수 있습니다. Easy Digital Downloads – Recent Purchases 플러그인의 원격 파일 포함 취약점은 맬웨어 감염으로 이어질 수 있는 중대한 위험입니다.

완화 및 권장 사항

WordPress 사이트를 보호하려면 다음 권장 사항을 따르세요.

플러그인 및 테마 업데이트

모든 플러그인과 테마를 최신 버전으로 정기적으로 업데이트하여 보안 패치를 적용하세요. 악성 소프트웨어를 피하기 위해 평판 좋은 출처에서 업데이트를 다운로드하세요.

사이트 활동 모니터링

보안 플러그인을 사용하여 의심스러운 행동에 대한 사이트 활동을 모니터링합니다. WP-Firewall은 실시간 위협 탐지 및 자세한 보안 보고서를 제공하여 최신 정보를 얻는 데 도움이 됩니다.

강력한 보안 대책을 구현하세요

다음과 같은 강력한 보안 관행을 채택합니다.

• 2단계 인증(2FA): 사용자 로그인에 보안 계층을 추가하세요.
• 정기 백업: 공격이 발생할 경우 사이트를 복구하기 위해 최신 백업을 유지하세요.
• 방화벽 보호: WP-Firewall과 같은 포괄적인 방화벽 솔루션을 사용하여 무단 액세스 및 공격을 방지하세요.

WP-Firewall 소개

WP-Firewall은 WordPress 사이트를 취약점으로부터 보호하도록 설계된 기능 모음을 제공합니다.

1. 실시간 취약점 탐지

WP-Firewall의 고급 스캐닝 기술은 취약점이 공개되는 즉시 이를 식별하여 즉각적인 조치를 취할 수 있도록 해줍니다.

2. 자동화된 패치 관리

당사 시스템은 알려진 취약점에 대한 패치를 자동으로 적용하여 귀하의 플러그인과 테마가 항상 최신 상태로 안전하게 유지되도록 보장합니다.

3. 포괄적인 방화벽 보호

WP-Firewall은 SQL 주입, XSS, CSRF를 포함한 다양한 공격 유형에 대한 강력한 보호 기능을 제공합니다. 당사의 지능형 위협 탐지 및 예방 메커니즘은 귀하의 사이트를 악의적인 행위자로부터 안전하게 보호합니다.

4. 자세한 보안 보고서

WP-Firewall의 자세한 보안 보고서를 통해 최신 정보를 얻으세요. 이 보고서는 사이트에 영향을 미치는 취약성, 심각도 및 완화 단계에 대한 통찰력을 제공합니다. 이러한 투명성은 사이트의 보안 상태를 이해하고 정보에 입각한 결정을 내리는 데 도움이 됩니다.

5. 사전 위협 정보

당사의 위협 인텔리전스 팀은 WordPress 생태계를 지속적으로 모니터링하여 새로운 취약점과 부상하는 위협을 찾아내 고객이 잠재적 위험보다 항상 한 발 앞서 대응할 수 있도록 보장합니다.

사례 연구: 중대한 취약점으로부터 보호

대본

"Easy Digital Downloads - Recent Purchases" 플러그인을 사용하는 인기 있는 전자상거래 사이트가 인증되지 않은 원격 파일 포함 취약성(CVE-2024-35629)으로 인해 위험에 처했습니다. 이 취약성은 CVSS 등급이 9.8로 치명적이었고 발견 당시에는 패치되지 않았습니다.

WP-Firewall의 응답

1. 즉각적인 감지: WP-Firewall의 실시간 취약점 스캐너는 취약점이 공개되자마자 이를 감지했습니다.
2. 자동 알림: 사이트 소유자는 취약점과 잠재적 영향을 자세히 설명하는 자동 알림을 받았습니다.
3. 완화 조치: WP-Firewall의 방화벽 규칙이 이 취약점을 노리는 모든 악용 시도를 차단하도록 업데이트되었습니다.
4. 지속적인 모니터링: 해당 사이트는 취약점과 관련된 의심스러운 활동이 있는지 지속적으로 모니터링되었습니다.

결과

WP-Firewall의 선제적 조치 덕분에 이 전자상거래 사이트는 심각한 취약성에도 불구하고 안전하게 유지되었습니다. 사이트 소유자는 중단 없이 운영을 계속할 수 있었고, 업데이트가 제공되자마자 취약성이 패치되었습니다.

WordPress 보안에 기여하는 연구원들

지난주 WordPress 보안에 기여한 44명의 취약성 연구자들의 노고에 찬사를 보냅니다. 그들의 헌신과 전문성은 취약성을 식별하고 완화하는 데 중요한 역할을 합니다. 주목할 만한 기여자는 다음과 같습니다.

• 밥 마티아스: 11개의 취약점
• 웨슬리(wcraft): 9개의 취약점
• 베네딕투스 조반(aillesiM): 9개의 취약점
• 크시스토프 자작츠: 7가지 취약점
• 스텔스콥터: 5가지 취약점

결론

취약점을 미리 파악하는 것은 WordPress 사이트의 보안과 무결성을 유지하는 데 필수적입니다. WP-Firewall은 디지털 자산을 효과적으로 보호하는 데 필요한 도구와 서비스를 제공하는 데 전념합니다. 실시간 취약점 탐지, 자동화된 패치 관리 및 포괄적인 방화벽 보호를 활용하면 사이트가 새로운 위협으로부터 안전하게 유지되도록 할 수 있습니다.

WP-Firewall이 WordPress 사이트를 보호하는 데 어떻게 도움이 될 수 있는지 자세히 알아보려면 당사 웹사이트를 방문하여 다양한 보안 솔루션을 살펴보세요.

WP-Firewall로 보안을 유지하세요.

이 보고서가 도움이 되셨나요? Facebook, Twitter, LinkedIn에서 네트워크와 공유하세요.

매주 취약점 보고서와 중요한 WordPress 보안 업데이트를 이메일로 직접 받아보려면 메일링 목록에 가입하세요.

이 사이트는 개인정보 보호정책에 따라 쿠키를 사용합니다. 아래에서 쿠키 설정을 사용자 지정하세요.

• 꼭 필요한 것: 이러한 쿠키는 사이트가 작동하는 데 필수적이며 비활성화할 수 없습니다.
• 성과/분석: 이러한 쿠키는 귀하가 사이트를 탐색하는 방식을 이해하고 사이트를 개선하는 데 도움이 됩니다.
• 타겟팅: 이 쿠키는 관련 정보와 광고를 제공합니다.

부록: 지난주(2024년 5월 27일~6월 2일)에 보고된 취약점이 있는 WordPress 플러그인 전체 목록