그러나 WordPress 팀은이 모든 것에 대해 어느 정도 책임이 있습니다. 결국 WordPress의 핵심을 직접 보호하기 위해 할 수있는 일은 없습니다.
워드 프레스 보안 문제가 온라인 비즈니스를하려는 사람만큼 귀찮다면 다음 내용을 계속 읽으십시오.
WordPress 보안 문제에 대한 이야기의 일부와 WordPress 프로젝트에서 수행하는 작업에 대해 이야기하겠습니다.
워드 프레스 보안 문제에 대한 간략한 역사
문제는 워드 프레스가 콘텐츠 관리 시스템이 취약하고 해킹 시도와 보안 허점에 취약한 것은 아닙니다. 가시성 문제 일 가능성이 더 큽니다. WordPress는 전 세계적으로 가장 인기있는 CMS이므로 해커에게 쉬운 표적이 될 것입니다.
워드 프레스는 일반적으로 온라인 비판을받습니다 (블로그, 포럼, 포드 캐스트 등.). 따라서 플랫폼의 약점은 잘 알려져 있습니다. 그러면 해커가 주로 워드 프레스 웹 사이트를 표적으로 삼는 것이 이치에 맞지 않습니까?
안전은 모든 사람의 주요 화두입니다. 워드 프레스 블로그 또는 웹 개발. WordPress 프로젝트(플랫폼의 보안 관리를 담당하는 팀)에 따르면 보안 패치를 상시 릴리스합니다. 대시보드에 로그인할 때 받는 자동 업데이트 알림을 알고 계십니까? "WordPress가 4.7.2로 업데이트되었습니다" 또는 이와 유사한 것입니까? 음, 일반적으로 이러한 마이너 릴리스가 나오는 것을 보는 것은 팀에서 보안 문제를 해결해야 했기 때문입니다.
그리고 종종 이런 일이 일어납니다.
La 파나마 페이퍼 데이터 위반 2016의 일부는 Revolution Slider WordPress 플러그인의 취약점으로 인한 것입니다.
즉, WordPress가 REST API에서 비롯된 매우 최근의 유명 보안 침해를 어떻게 처리했는지 확인하면 안심이됩니다.
상황은 다음과 같습니다.
- 2017 년 4.7.2 월 WordPress는 업데이트 XNUMX를 출시했습니다. 업데이트 또는 수정 목록에서 언급 된 보안 패치는 어디에도 없습니다.
- 약 일주일 후 WordPress는이 업데이트에서 실제로 보안 결함이 감지되고 수정되었음을 사용자에게 알 렸습니다.
- 이용자에게 통보가 지연된 이유는 무엇입니까? 해커가 WordPress에 대해 알고 문제를 해결하기 전에 커널을 업데이트 할 시간을주고 싶었 기 때문입니다.
물론, 해커들이 그동안 1,5 만 개의 워드 프레스 사이트를 손상시키는 것을 막지는 못했습니다. 공격에 취약한 상태로 CMS를 업데이트하지 않았거나 너무 늦게 업데이트 한 WordPress 사용자도 있습니다.
결국 워드 프레스가 패치를 발표하고 필요한 재치로 발표를 처리했지만 그 과정에서 백만 개 이상의 사이트가 부상을 입었습니다. 그리고 더 나쁜 것은 많은 웹 사이트 소유자가 이러한 저하가 발생한 후에도 계속해서 무시했습니다.
보안 패치 2015 년에 가장 높은 학대 비율로 더 자주 나오는 것 같습니다. 이러한 문제가 점점 더 많이 발생함에 따라 WordPress 보안 책임자가 누구인지, 그리고 보호를 받기 위해 무엇을 할 수 있는지 아는 것이 중요합니다.
WordPress 프로젝트 (및 보안)에 대해 알아야 할 사항
다음은 WordPress 프로젝트에 대해 알아야 할 사항과 그들이하는 일입니다. 커널 보안 유지 .
WordPress 보안 팀
먼저 WordPress 프로젝트에 대해 이야기하겠습니다. 이 보안 팀은 약 25 명의 직원으로 구성되며 WordPress 개발 또는 보안 전문가입니다. 현재 WordPress 프로젝트에 참여하는 절반의 사람들이 Automattic에서 일하고 있습니다.
이 전문가 팀은 커널에서 보안 위험을 식별하는 책임이 있습니다. 또한 제 XNUMX자가 제출 한 테마 또는 플러그인의 잠재적 인 문제를 조사하고 도구를 강화하거나 알려진 위반 사항을 수정할 수있는 방법에 대한 권장 사항을 제공 할 책임이 있습니다.
일반적으로 이러한 문제를 파악하고 해결하기 위해 혼자 일하지만 때때로 해당 분야의 다른 전문가, 특히 보안 회사 및편의.
WordPress가 보안 위험을 식별하는 방법
예상 할 수 있듯이 WordPress 프로젝트 팀은 기름진 기계처럼 운영되고 있습니다. 보안 위험을 식별하고 해결하는 프로세스가 작동하는 방식은 다음과 같습니다.
- 보안 팀 또는 팀 외부의 누군가가 문제를 식별합니다. 프로젝트의 구성원이 아닌 구성원은 다음 주소로 이메일을 보내 감지 된 문제를 전달할 수 있습니다. [이메일 보호].
- 보고서가 기록되고 보안 팀이 수신을 확인합니다.
- 그런 다음 팀 구성원은 개인 서버에서 비공개로 협력하여 위협이 유효한지 확인합니다.
- 여기에서 탐지 된 보안 취약점을 추적, 테스트 및 복구합니다.
- 그런 다음 보안 패치가 다음 버전의 WordPress Minor에 추가됩니다.
- 덜 심각한 수리의 경우 WordPress는 자동 게시가 발생할 때 사용자에게 WordPress 대시 보드를 알립니다.
- 더 긴급한 문제는 즉시 게시되며 WordPress.org는 사이트의 뉴스 페이지에 게시합니다.
물론 4.7.2에서 보았 듯이 WordPress는 항상 이러한 보안 수정 사항을 발표하지는 않지만 (유효한 이유로) 문제를 해결하기 위해 항상 즉각적인 조치를 취합니다.
자동 업데이트에 대한 참고 사항
버전 3.7부터 WordPress에는 모든 웹 사이트에 사소한 업데이트를 자동으로 보내는 기능이 있습니다. 이를 통해 WordPress 보안 팀은 적시에 긴급 수정을받을 수 있으며 사용자가 각 웹 사이트에서 동의하고 업데이트 할 때까지 기다릴 필요가 없습니다.
그러나 WordPress 사용자가 이러한 자동 업데이트를 끌 수 있습니다. 이 경우 사이트를 위험에 빠뜨릴 수 있다는 점에 유의하세요. 특히 최신 업데이트를 위해 모든 사이트를 부지런히 모니터링 할 시간이없는 경우에는 더욱 그렇습니다.
플러그인 및 테마의 보안
방문자에게 더 나은 웹 경험을 제공하는 것이 귀하의 책임인 것처럼 플러그인 및 워드 프레스 테마 사용자(즉, 귀하)의 안전을 책임집니다. 워드프레스는 수만 개의 플러그인과 테마를 처리할 수 없지만 최소한 심각한 문제가 틈을 통해 빠져나갈 수 없도록 주의 깊게 관찰할 수 있습니다.
WordPress 프로젝트는 보안 문제가 감지 될 때 개발자와 협력하는 팀입니다. 그러나 그 전에는 WordPress에 제출 된 각 테마 또는 플러그인을 검토하도록 할당 된 자원 봉사자 팀이 있습니다. 이 팀은 개발자와 협력하여 모범 사례를 따르도록합니다.
그러나 보안 취약성이 여전히 발생할 수 있으며 이때 WordPress 보안 팀이 다음과 같은 조치를 취해야합니다.
- 플러그인 및 테마 개발과 보안 모범 사례에 대한 WordPress 개발자를위한 문서를 제공하십시오.
- 가능한 보안 허점에 대해 플러그인 및 테마를 모니터링합니다. 발견 된 모든 문제는 개발자에게 알려집니다.
- 개발자가 응답하지 않거나 협조하지 않으면 디렉토리에서 유해한 플러그인 또는 테마를 제거하십시오.
그런 다음 WordPress는 이러한 보안 수정 (또는 잘못된 플러그인 및 테마 제거)을 사용할 수있을 때 WordPress 관리자를 통해 사용자에게 알립니다.
워드 프레스 보안에는 경계가 필요합니다
이 모든 과정을 거친 후 WordPress 코어를 항상 안전하게 유지하기 위해 일하는 전담 팀이 있다는 사실을 알게되어 조금 더 편안해졌습니다. 그러나 그렇다고 나 (또는 여러분)가 그 안주 감에 빠져야한다는 의미는 아닙니다.
이미 살펴본 바와 같이, 지난 1,5 월에도 XNUMX 만 개의 웹 사이트가 손상된 상태에서 WordPress 프로젝트가 플랫폼을 모니터링하고 보호하는 데 아무리 훌륭하더라도 해커는 해결책을 찾을 것입니다.
그렇기 때문에이 모든 작업에서 귀하의 역할을 수행하고 모든 각도에서 사이트를 안전하게 유지하는 것이 중요합니다.
