워드프레스 보안 및 위협 인텔리전스 분야의 선두주자인 패치스택(Patchstack)은 2021년 워드프레스 보안 현황을 보여주는 백서를 발표했으며 보고서는 암울한 그림을 그렸다.
더 구체적으로 말하면, 2021년에는 보고된 취약점이 전년도에 비해 150% 증가한 반면 WordPress 플러그인의 치명적인 결함 중 29%는 보안 업데이트를 받지 못했습니다.
WordPress가 모든 웹사이트의 43.2%에서 사용되는 세계에서 가장 인기 있는 콘텐츠 관리 시스템이라는 점을 고려하면 이는 놀라운 일입니다.
2021년에 보고된 모든 결함 중 0.58%만 WordPress 코어에 있었고 나머지는 다양한 소스와 다양한 개발자가 제공하는 플랫폼용 테마 및 플러그인에 있습니다.
특히, 이러한 결함의 91.38%가 무료 플러그인에서 발견되는 반면 유료/프리미엄 WordPress 애드온은 전체의 8.62%만 차지하여 더 나은 코드 검사 및 테스트 절차를 반영합니다.
중대한 문제
2021년에 Patchstack은 55개의 WordPress 테마에 영향을 미치는 5개의 심각한 심각도 취약점을 집계했으며, 파일 업로드 기능의 남용과 관련하여 가장 큰 영향을 미쳤습니다.
플러그인 측면에서 35개의 치명적인 취약점이 보고되었으며 그 중 2개는 400만 개의 웹사이트에 영향을 미쳤습니다.
작년에 Bleeping Computer에서 다룬 두 가지 주목할만한 예는 100만 사이트에 영향을 미친 “OptinMonster” 플러그인과 300만 웹사이트를 탈취 공격에 노출시킨 “All in One” SEO 플러그인입니다.
개발자가 보안 업데이트를 통해 이러한 취약점을 수정했지만 9개의 플러그인은 패치를 받지 못했습니다. 따라서 심각한 문제를 해결하지 않았기 때문에 플러그인 마켓플레이스에서 제거되었습니다.
특히 이 하위 집합은 인증되지 않은 파일 업로드 문제와 SQL 주입 및 권한 상승 버그로 인해 주로 어려움을 겪었습니다.
가장 널리 퍼진 대상
패치스택 보고서 교차 사이트 스크립팅(XSS)이 2021년에 가장 많이 보고된 WordPress 결함 유형 목록에서 1위를 차지했으며 “혼합”, 교차 사이트 요청 위조, SQL 삽입 및 임의 파일 업로드가 그 뒤를 이었습니다.
보고된 결함의 심각도는 주로 악용 조건이 있기 때문에 3.41%가 치명적, 17.94%가 매우 중요, 76.76%가 보통으로 분류되었습니다.
2021년에는 WordPress 사이트의 약 42%에 평균적으로 설치된 18개 중 하나 이상의 취약한 구성 요소가 있었습니다. 이 수치는 2020년 사이트에 설치된 23개 플러그인보다 적지만 18개 중 6개가 구식이어서 문제가 남아 있다.
2021년에 가장 타겟이 된 오래된 플러그인은 OptinMonster, PublishPress Capabilities, Booster for WooCommerce 플러그인 및 Image Hover Effects Ultimate 플러그인이었습니다.
요약하면 Patchstack의 보고서는 WordPress 사이트 관리자가 무료 제품 대신 유료 플러그인을 사용하고 설치된 추가 기능의 수를 최소로 유지하며 가능한 한 빨리 사용 가능한 최신 버전으로 업그레이드함으로써 대부분의 보안 위험을 관리할 수 있다고 강조합니다.