보안에 관심조차 없는 헬조선 기업사이트들 클라스

[ 이글은 2017년 05월 08일에 최종 수정되었습니다. ]
§

출처: http://nocutnews.co.kr/news/4745510

워드프레스 보안패치 업데이트 4.7.2 버전이 나온게 1월말이었습니다. 지금찾아보니 정확하게 올해 1월 26일 이었네요.

https://wordpress.org/news/2017/01/wordpress-4-7-2-security-release/

보안패치 업데이트는 무조건 해야 하는겁니다.
보안패치 업데이트는 무조건 해야 하는겁니다.
보안패치 업데이트는 무조건 해야 하는겁니다.

무려 한달이 넘도록 무조건 해야 하는 업데이트도 안하고 해킹을 당해놓고, 이게 워드프레스가 취약해서 이런거다.. 흠냐….

보신분들 계신지 모르겠지만 며칠전 코프레스에도 개발자가 의뢰인한테 “왜 함부로 워드프레스를 업데이트했냐? 사이트 다 깨졌다. 이거 다시 작업해야 하니 추가비용 내라.”

이런 상황으로 질문글 올리신 분도 계셨는데,

일단 업데이트도 못하게 사이트를 구축하면 어쩌라는 mario?

지난 몇년간 워드프레스를 이용하는 한국기업들이 많이 늘어났고, 관공서들도 쓰고 이래서 이번에 털린 사이트가 한둘이 아니던데,

“워드프레스가 취약한게 아닙니다. 니들이 병신인겁니다!!!”

아니, 무조건 하라는 업데이트도 안하면서 왜 워드프레스 탓을 하나요? 이게 어떻게 워드프레스 잘못인가요? 하…. 진짜 황당한게, 워드프레스는 그냥 놔두면 자동업데이트 되거든요. 업데이트 하면 사이트 깨지니까 고의로 업데이트를 막아놓은 겁니다.

그래서 몰라서 업데이트 안한거다라는 변명은 말도 안되는 거짓말이라는거 워드프레스로 블로그 라도 운영하시는 분들은 잘 아실 겁니다.

아니 무슨 구멍가게 웹사이트도 아니고 대기업들, 관공서 사이트들을 이런식으로 관리하는지 이해가 안됩니다.

Tags: , ,

카테고리:

Ω
  • http://www.thewordcracker.com/ Word

    저는 업데이트가 나올 때마다 곧바로 업데이트를 하고 있습니다.

    하지만 의외로 업데이트가 오랫동안 안 되고 있는 사이트들이 있습니다.
    최근 어떤 업체 사이트는 2년 동안 업데이트가 안 되어 있는 경우도 보았습니다. 해킹을 당하지 않고 이때까지 운영해온 것이 신기할 정도였습니다.

    • http://hackya.com Matthew

      “이제 귀찮아서 코드를 하나 넣어서 무조건 업데이트가 되도록 할까도 생각하고 있습니다.” -??? 워드프레스는 3.7 부터 background 에서 무조건 자동 업데이트가 됩니다.

      이 자동 업데이트를 방지하는 php 코드는 있어도, 무조건 업데이트 되는 코드는 없거든요. 자동 업데이트는 원래 워드프레스 core 기능이라서….

      잘이해를 못했습니다. 자동업데이트가 되지 않아서 매번 수동으로 업데이트를 하셔야 한다면 서버세팅 (아마도 FTP 세팅) 이 잘못 되신 것 입니다.

      물론 대다수 상업사이트들은 이 자동업데이트를 막아 놓습니다. 업데이트시 사이트가 깨지지는 않는지 미리 확인해 봐야 하니까요.

      하지만 자동업데이트를 막아놓지도 않았는데 자동업데이트가 되지 않는다면 서버세팅이 잘못되신거라는 얘기 입니다.

      • http://www.thewordcracker.com/ Word

        메인 블로그는 관리자 페이지에서 항상 수동으로 해주고 있습니다. 예전에 테스트를 한다고 어떤 코드를 추가했는지 모르겠네요. 시간이 될 때 한번 체크해봐야겠네요.

  • codei

    저 같은 한달 5000원짜리 호스팅 비용만 나가는 워드프레스 사이트도 안전 합니다. ㅋㅋㅋㅋ
    이유는 자동 업데이트가 되기때문이죠 ㅋㅋㅋ

    이전에 보안 관련 세미나갔더니 강사 양반이 대뜸 하는 말이

    “삼겹살 잘 굽는 법”

    을 강의하고 있었습니다 ㅋㅋㅋ

    신입일 수록 회식 자리에서 삼겹살 잘 구워야 하고, 잘 굽는 방법과 팁.
    삼겹살을 좀 구워볼줄 알아야 대리 달고 승진 할수 있다고 말이죠 ㅋㅋㅋ

    물론 보안 내용도 강의 했습니다.
    그 세미나의 요약 정리요?

    윈도우 서버 쓰면 윈도우 업데이트 계속 잘 하고, 뭐 보안 패치 나오면 업데이트 해라.
    이상한 툴 깔지 말고 정품 써라.

    끗.

    근데 이게 정답 ㅋ

    • http://hackya.com Matthew

      보안전문가요? 욕나오네요. 돈만 쳐먹고 해결책은 이거써라 저거 사서 써라.

      어떻게 공격이 들어오는지 나보다도 더 이해를 못하는 사람들이 보안전문가들.

      보안전문가가 아니라 제품파는 장사꾼들 같아요.

      보안은 以夷制夷 (이이제이), 이게 맞는 것 같습니다.

      해킹대응은 해커가 하는게 항상 정답이라고 생각합니다.

      해킹문제로 작년말, 올해초까지 정말 골아프고 있었는데, 결국 해커 (white hat hacker/ethical hacker) 에게 의뢰해서 그 해커가 문제 해결해 줬습니다.

    • http://est0que.tistory.com/ Estoque

      근데 현실은 정부기관에서 해적판 윈도우, 해적판 오피스 쓰고

      포토샵등 잡다한 프로그램도 전부 다 크랙버전 쓴다는게 유모아죠. 깔깔

  • http://est0que.tistory.com/ Estoque

    예전에 어떤 사이트에 올라왔던 유머가 생각나네요

    IT업계에 종사하는 사람들이 대거 모여서 야비군 훈련을 받으러 갔는데 (직장 예비군이라고 동종업계 끼리 모아서 하는 경우가 가끔 있다더군요)

    정훈강사 (야비군 훈련가면 총들고 구르는거 + 정신교육을 받습니다.)라는 사람이 나와서 정보보안과 해킹에 대해 열심히 떠들었습니다.

    골자는 부카니스탄의 해킹능력은 NSA를 압도한다는 수준. 😛 (막 정신력으로 해킹도 하고 그래)

    https://uploads.disquscdn.com/images/3b8e198b8f4f884541df58b565bcf051a28deec67823490676edb0b76c950eb0.png

    이에 반발한 종사자들이 정확한 용어설명과 신뢰성있는 reference를 요구하자 답변을 못했던 정훈강사(이런데 오는 강사는 대부분 퇴역한 장교입니다. 대부분 중령급 이상)가 빡쳐서

    https://uploads.disquscdn.com/images/f2eb67b80366e47761ed977edd8ea67987a3d684b5be59a4bea71350db30bfb2.png

    ‘내가 그렇다면 그런줄 알아! 내말 안믿는 놈들 다 빨갱이야!’ 를 시전하고 나가셨다능

    퇴물이라도 자기보다 어리고 낮은 계급의 병사한테는 죽어도 지기싫다는 저 모습을 보면서 오늘도 당나라 군머 뺨치는 머한민국 군머의 하루는 지나갑니다. -_-)

    그나저나 이제 디스커스 추천기능도 번역이 되었네요. 예전에는 계속 recommend라고 떴던것 같은데…

  • fuck

    /var/sentora/hostdata/zadmin/public_html/…..

    이분 지 사이트 털린건 생각안하고 잘난척 오지는 인간이네 ㅋㅋ