워드프레스 4.7.3 업데이트 (보안)

[ 이글은 2017년 03월 06일에 최종 수정되었습니다. ]
§

4.7.3 은 4.7.2 업데이트처럼 매우 중요한 보안 업데이트는 아니지만, 미디어 파일과 유튜브 비디오 url 에 악성코드를 심어 XSS 와 CSRF 기법으로 사이트가 해킹 될수 있는 취약점을 보완한 업데이트 입니다.

자동 업데이트 하시던가, 여기서 다운받으실 수 있습니다.

미디어 파일의 metadata 에 어떻게 악성코드가 심어질 수 있는가?

이런 해킹툴 사용을 하면 가능합니다.

https://github.com/RUB-NDS/Metadata-Attacker

요즘 해킹툴은 Docker 를 사용해 간편하게 설치할 수 있는 위엄을 보여줍니다. 켁. ㅋㅋㅋ

혹시라도 아직까지 4.7.2 업데이트 도 안하신 분이 계시면 빨리 업데이트 하세요. 4.7.2 이전 버전에서 Rest Api 를 통해 관리자 비번이 그대로 노출되는 vuln (취약점) 이 존재했었어서 사이트가 통째로 털리고 deface 되고 엄청 심각한 문제였었습니다.

사실 해커가 맘먹고 사이트 털려고 하면 이 지구상에 안털릴 수 있는 사이트는 존재하지 않습니다. ㅠㅠㅠㅠ

5분만에 털려버린 롯데 사이트

단지 요즘 해킹은 automation 해킹, 다시말해 사람이 아닌 bot 을 보내 자동으로 해킹시도를 하는 경우가 대부분인데, 워드프레스 업데이트를 하시지 않으시면 이런 자동해킹으로 사이트가 해킹되는 경우까지 발생합니다.

Ω