워드프레스 때문에 사퇴압력 받고 있는 영국수상 데이비드 캐머런

§

David Cameron 영국총리
David Cameron 영국총리 David Cameron 영국총리

데이비드 캐머런 영국 총리가 7일(현지시각) 아버지 이언 캐머런(2010년 사망)이 설립한 역외펀드 지분을 보유하고 있었으며 총리 취임 직전 이를 처분했다고 밝혔다. 세계 저명인사들의 조세 회피 의혹이 담긴 ‘파나마 페이퍼스’ 스캔들이 터진 뒤 캐머런 총리 쪽이 “역외신탁, 역외펀드는 갖고 있지 않다. 역외펀드로 이익을 얻지도 않는다”고 말했던 터라, 도덕성까지 도마에 올랐다. 야당 일각에서는 총리직 사퇴를 촉구했다.

영국수상 데이비드 캐머런 이 Mossack Fonseca (모색 폰세카)의 조세 도피 명단 리스트에 이름이 포함되어 있는 것이 확인되며 곤욕을 겪고 있는 이유는 모색 폰세카 사이트 관리자가 사용도 하지 않는 레볼루션 슬라이더 플러그인을 업데이트 하지 않았기 때문입니다.

출처 : https://www.wordfence.com/blog/2016/04/mossack-fonseca-breach-vulnerable-slider-revolution/

벌써 아이슬란드 수상 Sigmundur Gunnlaugsson 이 사퇴를 해야 했고, 러시아 황제 푸틴도 어려움을 겪고 있습니다.

중국의 시진핑도 연관이 있는걸로 나타나자 중국정부는 서둘러 파나마 paper 에 관련된 내용을 인터넷에서 걸러내고 있습니다.

이 모든게 사용도 하지 않는 플러그인을 삭제도 안하고 업데이트도 하지 않았기 때문에 벌어진 일 입니다.

Revolution 슬라이더를 통한 워드프레스 사이트 해킹은 제가 작년 가을, 직접 해킹하는 방법까지 설명해놓았었습니다.

http://hackya.com/kr/워드프레스-사이트-해킹하는-방법/

슬라이더 플러그인을 사용하게 되면 그렇지 않아도 보안에 구멍이 많이 생겨납니다.

슬라이더 같은건 쉽게 만들어 붙여서 쓸 수 있습니다. 어떤 종류건 슬라이더 플러그인은 안쓰는게 좋습니다. (슬라이더가 필요하면 만들어서 쓰세요. 슬라이더 만드는게 어려운 일도 아니고 도대체 왜들 이런 플러그인을 쓰는지 이해가 되지 않습니다.)

사이트 관리자들은 보안에 좀더 신경 썼으면 좋겠습니다. 저 모색 폰세카 사이트 관리자는 아직도 정신을 못차린듯 합니다.

이게 뭡니까 도대체? 지금 반항하나요?

http://www.mossfon.com/wp-admin
http://www.mossfon.com/wp-login.php?redirect_to=http%3A%2F%2Fwww.mossfon.com%2Fwp-admin%2F&reauth=1

푸틴이 저 사이트 관리자에게 홍차 배달 보낼지도 모릅니다.

퓨틴_홍차


*플러그인의 보안문제를 워드프레스와 연관해서 생각하시면 안됩니다. 워드프레스 core 자체에 어떤 보안문제가 있는 것 은 아닙니다. 워드프레스 사이트가 해킹당하는 경우, 항상 플러그인이나 테마의 vuln (취약점) 이 문제지, 워드프레스 core 파일 자체를 침투해서 해킹에 성공하는 사례를 아직까지 보지 못했습니다.

hackya 는

Attorney, front-end developer, digital media artist, WordPress enthusiast, & a father of 4 wonderful children.

Tags: , , , , , ,

카테고리: ,

Ω

9 Comments

  • korbuddy.com says:

    전 셰계적으로 이슈가 되고 있는 파나마 페이퍼가
    전에 읽었던 해캬님의 글
    http://hackya.com/kr/워드프레스-사이트-해킹하는-방법/
    의 취약점으로 인해 해킹당했던 것이였군요!!

    몰란던 사실을 배우고 갑니다!

  • Estoque says:

    여러분 플러그인이라는게 이렇게 위험한 겁니다.

    • Matthew says:

      네, 그래서 제가 항상 플러그인 사용보다는 직접 function 을 만들어 쓰는걸 권유하는데, XE 쪽에서 넘어오신 고수 분들 말고는 코드분석 능력이 되시는 워드프레스 사용자 분들이 많이 안 계셔서 플러그인으로 모든걸 처리하려는 분들이 대다수 입니다.

      한국 워드프레스 커뮤니티는 이게 좀 문제입니다. XE 나 그누보드 커뮤니티와 달리 오랜 세월동안 웹사이트를 짜오신 분들이 거의 전무합니다.

  • Veteran says:

    흥미로운 내용입니다.^^ 감사합니다.

    • Matthew says:

      흥미롭다기 보다는 황당하고, 사고라기보다는 고의성이 다분해 보이는 사건 입니다.

      한번 사용도 한적이 없는 Rev 슬라이더를 왜 업데이트도 하지 않고 방치해 두었을까? 그것도 해킹방법까지 공공연하게 널리 광고된 상황에서…

      Law firm 사이트에서 슬라이더 같은거 사용 안합니다. Law firm 사이트들은 보수적이고 신뢰감을 주는 느낌을 줘야 하기때문에, 역동적이고 반짝이고, 이런것들을 사용하질 안습니다.

      그래서 제가 내린 결론은, ‘이건 사고가 아니라 사건이다’ 입니다.

  • codei says:

    보안누수가 되는걸 알고 있고 이야기도 해주었는데, 기어코 쓰겠다는 클라의 말을 거역 못해 슬픈 1인이 여기 있습니다.
    그거에 대한 나의 결론은… 될대로 되라지!

    • Matthew says:

      보안누수가 뭔가요? 먹는건가요? ㅋㅋㅋ

      2년전쯤인가, 디씨에서 어느 잉여가 국내 대형 쇼핑몰 결제과정에서 최종 결제 금액을 javascript 으로 넘기는걸 찾아내서, 결재금액을 임의로 변경해 돈을 엄청나게 챙기고, 그걸 또 자랑이라고 계속 디씨에 인증까지 올리다 결국 검거 되었었죠. ㅋㅋㅋㅋ

      아마, 인증 동영상도 올렸던걸로…

      https://www.youtube.com/watch?v=ftV8c7JJMWI

      많이도 못해먹고 겨우 1억인가 챙겼던걸로 기억합니다. ㅉㅉㅉ

      한국은, 은행 사이트들도 해킹에 무방비라, 이런 해킹, 피싱 범죄로 일년에 한국을 빠져나가는 금액이 1조원이 넘는다고 하네요.

      뭐 어짜피 노예들이 그돈 다 대신 물어주는데. 기업들이야 상관 있겠습니까? 그래서 보안 같은건 신경도 안쓰죠.

      • Matthew says:

        동영상 설명글이 재미있네요. “쇼핑몰사이트의 물건 주문 페이지의 경우 암호화가 되어 있지 않아 전문 해커가 아니더라도 쉽게 주문결제정보를 조작할 수 있는 해킹에 노출된 상태여서 충격을 주고 있다.”

        javascript 을 암호화? ㅋㅋㅋㅋ 이게 뭔 개소리 인지.

        encrypt/obfuscate 안해서 해킹되었다? 그런 얘기인가 보네요. ㅋㅋㅋㅋ

        encrypt/obfuscate 을 암호화와 동일시하는 클라스… ㅋㅋㅋㅋ

        아 미쳐 내가. ㅋㅋㅋㅋ

        • codei says:

          최근에 나온 pg 결제는 위변조 부분을 검증 하는 부분이 들어가서 가격 변조 하면 에러떨어지는데, pg 모듈 자체도 뗀석기 시대걸 썻나보네요 ㅋㅋㅋ
          국내 쇼핑몰은 보면볼수록 요지경

Leave a Reply

Your email address will not be published. Required fields are marked *