XML-RPC는 다른 애플리케이션에서 워드프레스에 원격으로 업데이트를 허용하는 시스템입니다. 예를 들어, Windows Live Writer는 xmlrpc.php 덕분에 워드프레스에 직접 포스팅할 수 있습니다. xmlrpc.php는 사이트에 대한 다양한 공격을 허용할 수 있으므로 이 기능을 사용하는 않으면 비활성화하는 것이 좋습니다. XML-RPC 비활성화는 비교적 간단합니다. 목차 서버에 xmlrpc 익스텐션이 설치되어 있는지 확인하는 방법 요즘 웹호스팅 서버에는 대부분 xmlrpc 익스텐션이 설치되어 활성화되어 있을 것입니다. 서버에 xmlrpc 기능이 설치되어 있는지 체크하려면 php 파일을 만들어 다음 코드를 추가한 후에 업로드하여 확인할 수 있습니다("How do I see the extensi..
워드프레스 (WordPress)로 회원제 사이트를 운영하고 싶은 경우 다양한 무료 및 유료 멤버십 플러그인을 이용할 수 있습니다. 많이 사용되는 무료 회원제 플러그인으로 Ulitimate Member와 WP-Members가 있습니다. 무료 플러그인으로 원하는 기능을 구현하기가 쉽지 않으면 다음 글에서 소개하는 Ultimate Membership Pro 같은 유료 멤버십 플러그인을 사용해볼 수 있습니다. 워드프레스에서 회원제 사이트 운영하는 방법 워드프레스 사이트나 우커머스 쇼핑몰에서 특정 컨텐츠에 대한 접근을 결제를 한 회원에게만 허용하거나, 기간(예: 매월)에 따른 구독제를 실시하는 등 회원제 사이트를 운영하려는 경우 몇 가지 워드프레스 멤버십 플러그인을 사용할 수 있습니다. www.thewordcra..
CarSpot는 강력한 자동차 카 딜러 워드프레스 테마로서 자동 차 및 카 딜러 업종의 사이트의 구축에 사용할 수 있습니다. 이 자동차 딜러용 워드프레스 테마에는 비교, 검색 필터, 모던한 갤러리, 리뷰 시스템, 기본 레이아웃, Bump up 광고 등 모든 광고 포스팅 기능이 탑재되어 있습니다. CarSpot 테마가 최근 업데이트되면서 몇 가지 보안 취약점이 수정되었습니다. Authenticated Persistent XSS -> 회원가입 양식/사용자 프로필 (Registration Form/User Profile) Authenticated Persistent XSS -> 광고 포스트 (Ad Post) 임의 광고 삭제를 야기하는 IDOR CarSpot 테마를 사용하고 있는 경우 반드시 최신 버전으로 업데..
지난 주에 워드프레스 사이트를 오랫동안 업데이트하지 않고 관리자 ID를 admin으로 사용하는 등 보안에 소홀히 한 사이트가 해킹 당해 스팸 글이 생성되어 구글에 검색되는 문제의 해결을 맡았습니다.워드프레스 사이트 해킹으로 인한 스팸 포스트 생성 문제 워드프레스는 보안에 강하지만 업데이트를 소홀히 하거나 잘못된 보안 관행(예: 약한 비밀번호 사용, admin을 관리자 사용자명으로 사용 혹은 사이트의 도메인명을 관리자 계정명으로 사용) 등으로 인해 사이트가 해킹 당하거나 멀웨어에 감염될 수 있습니다. 문제를 살펴보니, 구글에 검색되는 해당 사이트의 링크를 클릭하면 이상한 스팸 사이트로 이동하는 문제가 발생했습니다. 그리고 구글에 '비아그라' 판매 같은 광고 글들이 해당 사이트의 도메인으로 노출되었습니다. ..
Simple 301 Redirects는 리디렉션을 쉽게 설정할 수 있는 워드프레스 플러그인으로 현재 30만 개 이상 사이트에 설치되어 사용되고 있습니다. 워드프레스에서 301 리다이렉트를 쉽게 설정할 수 있는 Simple 301 Redirects 플러그인 Simple 301 Redirects – Addon – Bulk Uploader는 Simple 301 Redirects 플러그인에 기능을 추가하는 '애드온' 플러그인입니다. 이 플러그인은 Simple 301 Redirects 플러그인에 입력할 이전 URL과 새 URL이 나열된 CSV 파일을 업로드할 수 있는 추가 섹션을 설정 탭에 추가합니다. 이 플러그인에 샘플 CSV가 포함되어 있으므로 참고하여 CSV를 만들 수 있습니다. 301 Redirects E..
워드프레스 로그인 페이지에 접근하려면 www.example.com/wp-login.php처럼 사이트 URL 뒤에 wp-login.php를 입력해야 합니다. 단순히 www.example.com/login처럼 login을 입력하면 로그인 페이지가 표시되도록 만들고 싶다면 다음과 같은 코드를 .htaccess 파일에 추가하면 됩니다.RewriteRule ^login$ https://www.example.com/wp-login.php [NC,L,R] 위의 코드를 WordPress rewrite 규칙 이전에 위치하도록 추가합니다. 이제 방문자가 www.example.com/login을 방문하더라도 wp-login.php 경로로 리디렉션됩니다. .htaccess 파일을 수정하기 위해서는 FTP를 통해 접속해야 합니..
Defender 플러그인에 의해 내 IP 주소가 차단되는 경우워드프레스에서 Defender 플러그인을 사용할 경우 관리자가 올바른 비밀번호를 넣어도 여러 차례 로그인 시도가 실패하면서 다음과 같은 오류 메시지가 표시되고 내 IP가 차단될 수 있습니다. You have been locked out due to too many invalid login attempts.Defender에서 기본 차단 시간은 300초입니다. 이 시간이 지난 후에 다시 로그인할 수 있습니다. 영구적으로 차단된 경우 사용 중인 테마 함수 파일에 다음 코드를 넣어 IP 차단을 해제할 수 있습니다.add_filter( 'ip_lockout_default_whitelist_ip', function ( $ips ) { if ( curren..
약 보름 전에 릴리즈된 워드프레스 5.1.1에서는 Stored XSS 취약점이 패치되었습니다. 그러므로 워드프레스 운영자는 반드시 최신 버전으로 업데이트해야 안전합니다. 보안업체인 Sucuri에 따르면 5.1.1이 공개된 후 열흘 후에 워프레스 사이트들을 스캔한 결과 60% 가량이 아직도 최신 버전으로 업데이트하지 않았다고 합니다. 워드프레스 5.1이 설치된 사이트에서는 자동으로 5.1.1로 업데이트가 될 것입니다. 만약 업데이트가 되지 않았다면 업데이트 버튼을 눌러 업데이트를 해주면 됩니다. 현재 전세계 사이트의 1/3 이상이 워드프레스로 제작되었습니다. 워드프레스가 큰 인기를 끎에 따라 워드프레스를 타겟으로 하는 공격도 증가하고 있습니다. 특히 워드프레스나 인기 테마 또는 플러그인에 취약점이 발견된 ..
파일이나 폴더의 권한을 777로 설정하는 것이 위험하다는 것은 잘 알려져 있습니다. 간혹 파일 권한 문제로 인해 웹호스팅 업체에서 폴더나 파일의 권한을 777로 설정하라고 제시하는 경우가 있습니다. 하지만 WordPress.org에서는 777로 권한을 설정하는 것을 피해야 한다고 명시하고 있습니다. Avoid having any file or directory set to 777. 권한에 문제가 있는 경우 폴더는 755, 파일은 644로 설정하여 문제가 해결되는지 확인해보시기 바랍니다. 서버를 직접 운영하는 경우에는 폴더의 권한을 직접 설정하여 문제를 해결할 수 있습니다. 예시:chown -R {username}:apache uploads/ find ./uploads/ -type d -exec chmod..
지난 주에 워드프레스 사이트가 멀웨어에 감염된 사이트 치료를 맡았습니다. 사이트가 멀웨어에 감염되어 스팸 사이트로 이동하는 문제가 발생했습니다. 스팸 사이트로 리디렉션되는 s2.voipnewswire.net/s2.js 스크립트 파일 요청 멀웨어 일본 고객들을 대상으로 일본어로 제작된 사이트였는데, 이상한 스팸 사이트로 이동한다는 제보에 따라 사이트에서 도메인을 끊어놓은 상태였습니다. 이처럼 사이트가 악성코드에 감염되면 사이트 평판에 영향을 미치고, 인터넷을 통해 고객을 모집하는 경우 큰 손해를 볼 수 있습니다. 웹호스팅 업체에서는 구체적으로 어떤 증상이 나타나는지를 상세히 알려주었지만 사이트를 제작한 곳에서는 제대로 대응을 해주지 않았다고 하네요. 사이트에서 멀웨어를 제거한 후에 클라이언트가 사이트 보안..
최근댓글