테크레시피

워드프레스 인기 플러그인, 데이터 도난 가능 취약점 발견

워드프레스(WordPress)를 사용하는 사이트 수백만 개가 지난 며칠 동안 강제 패치를 받았다는 보도가 나왔다. 원인은 워드프레스에서 웹사이트 백업을 손쉽게 만들고 복원할 수 있게 해주는 플러그인인 업드래프트플러스(UpdraftPlus)에서 발견된 취약점 때문. 원래는 백업 취득은 관리자 권한 보유 계정에만 한정되지만 이 취약성 탓에 웹사이트상 계정 보유자라면 누구라도 백업을 취득할 수 있는 상태였다는 것이다.

이 버그는 웹사이트 보안 기업인 제트팩(Jetpack) 측이 플러그인 보안 검사 중 발견한 것으로 곧바로 업드래프트플러스 개발자에게 보고하고 수정 패치 강제 설치를 시작했다. 패치 제공 개시 직후 170만 개 사이트 이상이 이를 받았지만 워드프레스닷오알지가 제공하는 정보에 따르면 업드래프트플러스 이용 사이트는 320만 개 이상이라고 한다.

이 취약점을 이용하려면 해당 사이트 계정이 필요하다. 모든 사람이 백업을 얻을 수 있는 건 아니다. 이런 이유로 업드래프트플러스 개발자는 사이트에 계정이 하나 또는 모든 사용자를 신뢰할 경우에는 취약하지 않다고 말한다. 하지만 이 경우에도 업데이트를 권장한다.

어쨌든 업드래프트플러스를 이용하고 있다면 업데이트되고 있는지 확인해 두는 게 좋다. 업데이트 후 버전은 무료 버전의 경우 1.22.4, 프리미엄 버전은 2.22.4다. 관련 내용은 이곳에서 확인할 수 있다.

추천기사