워드프레스 플러그인 취약점 주의

일반입력 :2014/07/18 09:11

손경호 기자

전 세계 6분의1 사용자들이 쓰고 있는 것으로 알려진 오픈소스 블로그 제작툴 워드프레스에서 새로운 보안취약점이 발견돼 업데이트를 서둘러야 한다는 지적이다.

17일(현지시간) 미국 지디넷에 따르면 보안회사 수쿠리는 워드프레스에 사용되는 4개 플러그인에서 취약점을 발견했다고 밝혔다. 이들 플러그인 총 다운로드수가 2천만건을 넘는다는 점을 고려하면 패치를 하지않았다고 가정했을 때 2천만개 이상 워드프레스 기반 블로그가 위험에 노출될 수 있는 셈이다.

취약점이 발견된 플러그인은 '올인원 SEO 팩(1천915만 다운로드)', 'WP터치(567만 다운로드)', '메일포잇 뉴스레터(189만 다운로드)', '디스커스(140만 다운로드)'다.

취약점을 악용하면 워드프레스로 제작한 블로그를 피싱이나 스팸유포 용도로 활용하거나 악성코드 유포지로 쓰일 수 있다.

가장 최근에 발견된 취약점은 WP터치 플러그인에 적용되는 것이다. 공격자들이 악성 PHP파일을 업로드하거나 관리자 권한 없이 특정 서버에 접속할 수 있도록 하는 백도어(뒷문)을 구축한다.

올인원 SEO팩에서 발견된 것은 자바스크립트 코드를 주입하거나 관리자 계정으로 뒷문을 만들어 출입할 수 있도록 돕는다.

관련기사

이보다 앞선 시기에 메일포잇, 디스커스 플러그인에서도 원격으로 악성코드 삽입이 가능한 취약점이 발견됐다.

워드프레스 관리자라면 올인원 SEO 팩(2.1.2), WP터치(3.4.3), 메일포잇(2.6.9), 디스커스(2.77)에 대해 최신 버전으로 업그레이드 해야 한다.