YITH WooCommerce Wishlist(우커머스 위시리스트) 플러그인은 현재 50만 개 이상의 워드프레스 사이트에 설치되어 사용되고 있으며 우커머스 쇼핑몰에서 고객들이 상품의 “찜” 목록을 만들 수 있는 인기 플러그인 중 하나입니다(“워드프레스용 YITH 우커머스 위시리스트 플러그인” 참고). 보안업체인 Sucuri에서 YITH WooCommerce Wishlist에 영향을 미치는 SQL 주입 취약점(SQL Injection vulnerability)을 발견하여 보안 권고를 발행했습니다. 이 플러그인을 사용하는 경우 반드시 최신 버전(현재 2.2.0 버전)으로 업데이트하시기 바랍니다. 만약 업데이트를 할 수 없는 상황인 경우에는 Sucuri Firewall이나 비슷한 기술을 이용하는 것이 있다고 ..

간밤에 워드프레스가 4.9.2로 업데이트되었습니다. 이번 버전은 워드프레스 3.7 이후의 모든 버전에 대한 보안 및 유지보수 릴리스이므로 즉시 사이트를 업데이트할 것을 워드프레스에서 적극 권장하고 있습니다. 워드프레스에 포함된 MediaElement 라이브러리의 Flash fallback 파일에서 XSS 취약점이 발견되었습니다. Flash 파일은 대부분의 경우 더 이상 필요하지 않으므로 워드프레스에서 제거되었습니다. MediaElement는 버그를 수정한 새로운 버전을 내놓았으며 플러그인 저장소에서 수정된 파일이 포함된 워드프레스 버전이 제공됩니다. 4.9.2에서는 이외에도 21가지 버그(총 22개 버그)가 수정되었습니다. 자세한 내용은 다음 글을 참고해보세요. 워드프레스 4.9.2 업데이트 – 보안 및..

국내 도메인 등록 점유율 1위 업체인 가비아 도메인네임서버(DNS)가 4일 오후 디도스(DDoS: 분산서비스거부) 공격을 받아 다운됐다고 하네요. 회사에 따르면 네임서버를 노린 디도스 공격으로 이날 오후 4시19분부터 오후 5시까지 접속 장애가 발생했습니다. 이 업체를 통해 도메인네임을 관리하던 많은 기업의 웹사이트가 제대로 열리지 않아 인터넷 이용자들과 기업들이 불편을 겪었고 대부분 중소쇼핑몰 업체라고 하네요. 가비아는 도메인 대행업체이면서 웹호스팅을 제공하는 업체입니다. 웹호스팅 업체를 겨냥한 디도스 공격이 간혹 발생하네요. 작년 8월에는 해외 웹호스팅 업체 중 하나인 a2 호스팅을 겨냥한 대규모 디도스 공격이 있었습니다. A2 호스팅, DDoS 공격으로 장애 발생 참고로 저는 모든 도메인을 only..

예전에는 워드프레스 보안 플러그인에 워드프레스 기본 로그인 페이지를 숨기거나 데이터베이스 테이블 프리픽스를 변경하는 등과 같은 "불분명함을 통한 보안 또는 은둔 보안(Security through Obscurity)" 기능을 탑재하여 해커로부터 데이터를 숨기려고 시도했습니다. 하지만 이러한 방식은 해커와 데이터 사이트에 "장벽"을 제공하지 않고 사실상 별 보호 효과가 없다고 하네요. 오히려 워드프레스 로그인 페이지를 숨김으로써 얻은 효과보다는 부작용이 많다고 합니다. 예를 들어, 워드프레스 기본 로그인 페이지를 숨기면 사이트가 불안정해지고 커스터마이징된 테마가 깨질 수 있다고 합니다. 보안 문제는 보안에 취약한 플러그인이나 테마를 사용하거나 워드프레스 업데이트를 소홀히 하여 발생하는 경우가 많습니다. 사..