심각한 WooCommerce 취약점 2021 – 알아야 할 모든 것

게시 됨: 2022-02-12

최신 WordPress 플러그인 통계에 따르면 WooCommerce는 5백만 개 이상의 활성 설치가 있는 가장 인기 있고 최고의 WordPress 플러그인 중 하나로 기울어져 있습니다.

그 엄청난 지지에는 때때로 대가가 따릅니다. 즉, 이 전자상거래 거물이 공격자의 주요 표적이 되었습니다.

특히 WooCommerce는 2021년 7월에 치명적인 취약점이 발견되었다고 보고했습니다. 이 WooCommerce 취약점은 상점 소유자와 사용자 사이에 패닉의 물결을 일으켰습니다.

이 취약점은 무엇입니까? 피해를 남겼습니까? 피해를 입은 매장이 있습니까? 그리고 WooCommerce는 이 문제를 해결하기 위해 무엇을 했습니까?

답을 찾으려면 계속 읽으십시오!

  • WooCommerce 취약점 2021 설명
  • WooCommerce 취약점 FAQ
  • 취약점으로부터 WooCommerce 상점을 보호하는 방법

WooCommerce 취약점 2021 설명

2021년 7월 12일 WooCommerce 및 WooCommerce 차단 플러그인과 관련된 치명적인 WooCommerce 취약점이 발견되었습니다. 보안 연구원인 Josh는 Automattic의 HackerOne 보안 프로그램을 통해 해당 문제를 보고했습니다.

WooCommerce는 철저한 조사 끝에 SQL 주입 취약점을 발견했습니다.

결과적으로 WooCommerce 또는 WooCommerce Blocks를 사용하는 사이트는 아직 자동 업데이트를 수행하지 않은 경우 플러그인을 업데이트하는 것이 좋습니다.

이 WooCommerce 취약점은 수백만 명의 사용자에게 영향을 미칠 정도로 심각했습니다. WooCommerce는 영향을 받는 각 버전(90개 이상의 릴리스)에 대한 문제를 해결하기 위해 보안 패치를 개발하기 위해 즉시 달려갔습니다.

패치는 취약한 WooCommerce 사이트에 자동으로 배포되었습니다. 상점 소유자의 관점에서 WooCommerce 및 WooCommerce 블록이 모두 최신 버전(5.5.1)으로 업데이트되었는지 확인해야 합니다.

WooCommerce는 또한 모든 사이트 소유자에게 관리자의 비밀번호를 업데이트할 것을 권고했습니다. 또한 상점에서 사용되는 API 및 지불 게이트웨이 키를 교체할 것을 제안했습니다.

그렇다면 귀하의 버전이 최신 버전인지 어떻게 알 수 있습니까?

WooCommerce는 WooCommerce 및 WooCommerce 블록 모두에 대한 패치 버전 표를 나열했습니다.

현재 버전이 나열된 버전과 일치하지 않는 경우 즉시 사용 가능한 가장 높은 버전으로 업데이트해야 합니다.

WooCommerce 취약점을 수정하는 패치 버전

WooCommerce 취약점 FAQ

#1. WooCommerce SQL 주입 취약점이란 무엇입니까?

SQL 인젝션은 해커가 악성 SQL 스크립트를 사용하여 데이터베이스를 방해할 수 있도록 합니다. 여기에서 공격자는 사이트를 제어할 수 있습니다. 정보를 표시하거나 사이트가 평소와 다르게 이상하게 작동하게 만듭니다.

또한 WordFence에 따르면 이 WooCommerce 취약점은 Blind SQL Injection 취약점입니다.

#2. 데이터가 손상되었는지 어떻게 알 수 있습니까?

WooCommerce가 말했듯이 데이터가 손상되었는지 여부를 확인할 수 있는 정확한 방법은 없습니다. 팀은 일부 악용 시도를 감지하기 위해 웹 서버의 액세스 로그를 확인할 것을 제안합니다.

이 프로세스에는 시간이 걸릴 수 있으며 특정 코딩 기술이 필요할 수 있습니다. 코드가 마음에 들지 않는 경우 웹 호스트에게 도움을 요청하여 액세스 로그를 검토할 수 있습니다.

자세한 내용은 WooCommerce 공지를 참조하세요.

#삼. 상점 소유자는 고객에게 취약점에 대해 경고해야 합니까?

고객에게 알릴지 여부는 사이트 인프라, 사이트에 저장되어 있는 데이터 등과 같은 여러 요인에 따라 다릅니다. 그러나 가장 중요하게 고려해야 할 사항은 사이트가 손상되었는지 여부입니다.

고객에게 알리기 전에 먼저 이 작업을 수행하십시오. WooCommerce 버전을 이 문제를 수정하는 보안 패치가 있는 버전으로 업데이트하십시오. 이는 추가 위협으로부터 고객을 보호하는 데 도움이 됩니다.

다음으로 비밀번호, 결제 게이트웨이 및 WooCommerce API 키를 주시하세요. WooCommerce가 권장한 사항을 정확히 따르십시오.

  • 특히 여러 사이트에서 동일한 비밀번호를 재사용하는 경우 사이트에서 새 비밀번호 또는 관리자를 생성하십시오.
  • WooCommerce 및 사이트에서 사용되는 모든 결제 게이트웨이 API 키를 교체하세요.

#4. 보안 패치를 자동으로 받아야 합니까?

아니요. WooCommerce는 상점 소유자에게 플러그인을 보안 패치 버전으로 수동으로 업데이트하도록 조언합니다. 그 이유는 다음과 같습니다.

  • 스토어에서 이전 버전의 WooCommerce(버전 3.3 미만)를 사용하고 있습니다.
  • 고정 버전으로 자동 업데이트하면 플러그인 충돌이 발생할 수 있습니다.
  • 스토어에서 자동 업데이트를 해제했습니다.
  • 파일 시스템이 읽기 전용인 경우 자동 업데이트는 무용지물이 됩니다.

취약점으로부터 WooCommerce 상점을 보호하는 방법

#1. 보안 플러그인 활용

보안 플러그인은 WooCommerce 스토어를 취약점으로부터 보호하는 가장 쉽고 효과적인 방법인 것 같습니다. 당신이해야 할 일은 상점에 설치하고 마법을 수행하게하는 것입니다.

그들은 정기적으로 귀하의 사이트를 모니터링 및 스캔하고 방화벽을 켜고 현장에서 보안 허점을 해결하기 위해 배를 탔습니다. WordFence, Sucuri, JetPack, MalCare 등과 같이 무료 및 유료로 제공되는 수십 가지의 뛰어난 보안 플러그인이 있습니다.

워드프레스 보안 플러그인

#2. 백업, 백업 및 백업

사이트 백업은 비즈니스의 모든 수익 창출 전략만큼 필수적입니다. 사이버 공격의 경우 모든 데이터가 손실되지 않도록 웹 사이트를 보호하는 데 편리합니다. 안타깝게도 일부 WooCommerce 판매자는 여전히 이를 간과하고 있습니다.

예상치 못한 WooCommerce 취약점으로부터 상점을 보호하려면 견고한 WordPress 백업 플러그인을 선택해야 합니다.

WordPress 파일, 데이터베이스, 플러그인 및 테마와 같은 모든 유형의 데이터를 처리하는 플러그인을 찾으십시오. 또한 유연한 백업 일정도 제공해야 합니다.

#삼. 로그인 보안 강화

WordPress 로그인 페이지는 항상 악의적인 공격의 표적이 된다는 것을 알고 있습니다. 로그인 보안을 강화해야 합니다.

  • 로그인 시도 제한
  • 기본 로그인 URL 숨기기
  • "admin"을 사용자 이름으로 사용하지 않기
  • 2단계 인증(2FA) 사용

#4. SECURE 테마 및 플러그인 설치

보안 테마 및 플러그인은 인증되고 신뢰할 수 있는 소스에서 제공되는 테마를 나타냅니다. 여기에는 WordPress 플러그인 저장소, 테마 디렉토리, WooCommerce 마켓플레이스, 평판이 좋은 타사 개발자 등이 포함됩니다.

그 외에도 인터넷에서 엄청나게 저렴한 가격으로 판매되는 null WordPress 플러그인 및 테마를 사용하지 않도록 하십시오.

null WordPress 테마와 플러그인은 형편없다는 것을 기억하십시오! 이들은 악성코드의 컨테이너이자 공격을 위한 백도어일 뿐입니다.

안전한 테마와 플러그인이 사이트 보안에 얼마나 큰 영향을 미치는지 아무리 강조해도 지나치지 않습니다. 이유를 알아보려면 WordPress 보안 통계를 확인하십시오.

#5. SSL 인증서 설치

사이트에 SSL 인증서가 있습니까? 그렇다면 축하합니다. 상점에 보안 계층을 추가한 것입니다. 귀하와 귀하의 고객의 모든 기밀 데이터는 안전합니다.

SSL 인증서는 고객과 상점 간에 교환되는 데이터가 암호화되도록 합니다. 그 시점에서 은행 세부 정보, 두 사람 간의 거래 등을 포함한 고객의 모든 기밀 데이터는 안전합니다.

당신의 대답이 "아직은 아니다"라면, 당신은 당신의 상점에 대한 SSL 인증서를 최대한 빨리 받아야 합니다! 왜요? Google은 SSL을 순위 요소 중 하나로 포함했기 때문입니다.

워드프레스 SSL 인증서 (이미지 출처)

#6. 정기적으로 사이트 업데이트

대부분의 사이트 소유자는 새 버전이 충돌을 일으킬까봐 걱정하기 때문에 사이트 업데이트를 잊어버리거나 싫어하는 경향이 있습니다. 정말 나쁜 습관입니다.

그 외에도 WordPress와 WooCommerce를 업데이트하는 것만으로는 충분하지 않습니다. 사이트의 모든 플러그인이 최신 상태인지 확인해야 합니다. 사용하지 않거나 최신 버전의 WordPress에서 테스트되지 않은 플러그인도 제거하십시오.

전문가 팁: 업데이트 일정을 만들고 놓치지 않도록 유지하세요.

WooCommerce는 여전히 안전합니까?

예, 확실히!

WordFence Threat Intelligence에 따르면 손상된 저장소의 증거는 극히 적습니다. 따라서 WooCommerce 사이트를 손상시키는 광범위한 공격이 없으며 WooCommerce는 여전히 안전하고 강력합니다.

이 기사에서는 WooCommerce 취약점이 무엇인지, 사이트 소유자에게 어떤 영향을 미치며 WooCommerce가 이 문제에 어떻게 대응했는지 설명했습니다.

또한 취약점으로부터 WooCommerce 스토어를 보호하기 위한 모범 사례도 보여주었습니다.

이 WooCommerce 취약점에 대한 의견이 있습니까? 아래 의견 섹션에서 생각을 공유하십시오!