brunch

You can make anything
by writing

C.S.Lewis

by 워드크래커 May 10. 2020

워드프레스 Elementor 페이지 빌더 보안 업데이트

Elementor 페이지 빌더 플러그인은 현재 400만 개 이상 사이트에 설치되어 사용되는 인기 페이지 빌더 플러그인입니다. 아바다, 엔폴드, 뉴스페이퍼, 디비 테마 등과 같은 일부 테마에는 자체 페이지 빌더가 사용되고 있습니다. 자체 페이지 빌더가 없는 테마를 사용하는 경우 Elementor와 같은 무료 페이지 빌더를 이용할 수 있습니다.


몇 년 전만 해도 비주얼 컴포저 (WPBakery Page Builder)가 인기를 끌었고, 실제로 많은 유료 테마에서 비주얼 컴포저가 번들로 탑재되어 있습니다. 하지만 비주얼 컴포저는 무겁고 버그가 많아서 사이트 최적화를 잘못하면 사이트 속도가 느려질 수 있습니다.


Elementor는 무료 버전과 PRO 버전이 있으며, 무료 버전에서도 꽤 괜찮은 기능을 제공하고 속도적인 측면에서 비주얼 컴포저보다 우위에 있어 이 페이지 빌더를 탑재하는 테마들이 늘고 있는 추세입니다.


워드프레스 Elementor 페이지 빌더 보안 업데이트

Elementor Page Builder 2.9.8 버전에서 SVG Sanitizer Bypass 취약점이 수정되었습니다. Elementor를 사용하는 경우 Settings > Advanced 탭에서 SVG 업데이트를 허용하도록 설정할 수 있습니다.


워드프레스에서 미디어 라이브러리 (Media Library)에 파일을 업로드하기 위해서는 사용자가 반드시 upload_files 권한이 있어야 합니다. 작성자(Author)는 그러한 권한이 있습니다. Author는 파일을 업로드하고 자신의 글을 수정(편집)할 수 있는 권한이 있지만 자바스크립트 (JavaScript) 코드와 다양한 HTML 태그와 같은 잠재적으로 위험한 요소를 글(포스트)에 삽입하는 것은 허용되지 않습니다. 그러나 Elementor에서 SVG 업로드 기능을 활성화하면 (이전 버전에서) 작성자가 이러한 제한을 우회할 수 있었습니다.


또한, Elementor Pro 버전 2.9.4 미만에서 Authenticated Arbitrary File Upload (0-day, 악용될 경우) 문제가 발견되어 버전 2.9.4에서 수정되었습니다.


Elementor 페이지 빌더 플러그인을 사용하고 있다면 반드시 최신 버전으로 업데이트하여 안전하게 워드프레스 사이트를 운영하시기 바랍니다.


워드프레스 보안 강화

워드프레스는 보안에 강하지만 워드프레스, 테마, 플러그인 업데이트를 소홀히 하면 보안에 구멍이 생길 수 있습니다.


특히, Elementor 페이지 빌더와 같은 인기 플러그인이나 아바다 (Avada) 테마와 같은 인기 테마에서 보안 문제가 수정된 업데이트가 릴리즈될 경우 해커들이 문제가 패치되지 않은 워드프레스 사이트를 타겟으로 멀웨어(악성코드)를 만들어 배포할 수 있습니다.


아바다 테마도 최근 버전 6.2.2 이하에서 몇 가지 보안 취약점이 발견되어 버전 6.2.3에서 수정되었으므로, 아바다 테마를 사용하는 경우에도 최신 버전으로 업데이트하시기 바랍니다.


그리고 정기적으로 사이트를 백업하여 PC나 클라우드에 백업본을 저장하는 것이 안전합니다. 만약의 사태로 사이트에 문제가 발생할 경우 백업본이 있으면 복구가 가능합니다.


참고:



브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari