์ง๊ธ๊น์ง WordPress์ ์ ๋ฐ์ดํธ๋ฅผ ์ค์นํ ๋ ์ฃผ์ ๋ณด์ ์์๋ WordPress ์ธํ๋ผ ๋ฐ ์๋ฒ์ ๋ํ ์ ๋ขฐ์์ต๋๋ค(๋ค์ด๋ก๋ ํ์๋ ์์ค ํ์ธ ์์ด ํด์๋ง ํ์ธํ์ต๋๋ค). ํ๋ก์ ํธ ์๋ฒ๊ฐ ์์๋๋ฉด ๊ณต๊ฒฉ์๋ ์ ๋ฐ์ดํธ๋ฅผ ์คํธํํ๊ณ ์๋ ์ ๋ฐ์ดํธ ์ค์น ์์คํ ์ ์ฌ์ฉํ๋ WordPress ๊ธฐ๋ฐ ์ฌ์ดํธ์ ์ ์ฑ ์ฝ๋๋ฅผ ๋ฐฐํฌํ ์ ์์์ต๋๋ค. ์ด์ ์ ์ฌ์ฉ๋ ์ ๋ขฐ ์ ๋ฌ ๋ชจ๋ธ์ ๋ฐ๋ฅด๋ฉด ์ด๋ฌํ ๋์ฒด๋ ์ฌ์ฉ์ ์ธก์์ ๋์ ๋์ง ์๊ฒ ๋ฉ๋๋ค.
์ด๋ผ๋ ์ฌ์ค์ ๊ณ ๋ คํ๋ฉด
๋์งํธ ์๋ช ์ ๊ฒฝ์ฐ ์ ๋ฐ์ดํธ ๋ฐฐํฌ ์๋ฒ์ ๋ํ ์ ์ด๊ถ์ ํ๋ํด๋ ์ฌ์ฉ์ ์์คํ ์ด ์์๋์ง ์์ต๋๋ค. ๊ณต๊ฒฉ์ ์ํํ๋ ค๋ฉด ์ ๋ฐ์ดํธ๊ฐ ์๋ช ๋๋ ๋ณ๋๋ก ์ ์ฅ๋ ๊ฐ์ธ ํค๋ฅผ ์ถ๊ฐ๋ก ์ป์ด์ผ โโํ๊ธฐ ๋๋ฌธ์ ๋๋ค.
๋์งํธ ์๋ช
์ ์ฌ์ฉํ์ฌ ์
๋ฐ์ดํธ ์์ค๋ฅผ ํ์ธํ๋ ๊ตฌํ์ ํ์ํ ์ํธํ ์๊ณ ๋ฆฌ์ฆ์ ๋ํ ์ง์์ด ๋น๊ต์ ์ต๊ทผ์ ํ์ค PHP ํจํค์ง์ ๋ฑ์ฅํ๋ค๋ ์ฌ์ค๋ก ์ธํด ๋ฐฉํด๋ฅผ ๋ฐ์์ต๋๋ค. ๋ผ์ด๋ธ๋ฌ๋ฆฌ ํตํฉ ๋๋ถ์ ํ์ํ ์ํธํ ์๊ณ ๋ฆฌ์ฆ์ด ๋ํ๋ฌ์ต๋๋ค.
ํด๊ฒฐ์ฑ
์ ๋ค์๊ณผ ๊ฐ์ต๋๋ค.
๋์งํธ ์๋ช
์ ์์ฑํ๋ ๋ฐ ์๊ณ ๋ฆฌ์ฆ์ด ์ฌ์ฉ๋ฉ๋๋ค.
WordPress 5.2 ๋ฆด๋ฆฌ์ค์์ ๋์งํธ ์๋ช
ํ์ธ์ ํ์ฌ ์ฃผ์ ํ๋ซํผ ์
๋ฐ์ดํธ์๋ง ์ ์ฉ๋๋ฉฐ ๊ธฐ๋ณธ์ ์ผ๋ก ์
๋ฐ์ดํธ๋ฅผ ์ฐจ๋จํ์ง ์๊ณ ์ฌ์ฉ์์๊ฒ ๋ฌธ์ ์ ๋ํด์๋ง ์๋ ค์ค๋๋ค. ์ ์ฒด ์ ๊ฒ ๋ฐ ์ฐํ๊ฐ ํ์ํ์ฌ ๊ธฐ๋ณธ ์ฐจ๋จ์ ์ฆ์ ํ์ฑํํ์ง ์๊ธฐ๋ก ๊ฒฐ์ ํ์ต๋๋ค.
WordPress 5.2์ ๋์งํธ ์๋ช ์ง์ ์ธ์๋ ๋ค์๊ณผ ๊ฐ์ ๋ณ๊ฒฝ ์ฌํญ์ด ์์ต๋๋ค.
- ์ผ๋ฐ์ ์ธ ๊ตฌ์ฑ ๋ฌธ์ ๋ฅผ ๋๋ฒ๊น ํ๊ธฐ ์ํด "์ฌ์ดํธ ์ํ" ์น์ ์ ๋ ๊ฐ์ ์๋ก์ด ํ์ด์ง๊ฐ ์ถ๊ฐ๋์์ผ๋ฉฐ, ๊ฐ๋ฐ์๊ฐ ์ฌ์ดํธ ๊ด๋ฆฌ์์๊ฒ ๋๋ฒ๊น ์ ๋ณด๋ฅผ ๋จ๊ธธ ์ ์๋ ์์๋ ์ ๊ณต๋์์ต๋๋ค.
- ์น๋ช ์ ์ธ ๋ฌธ์ ๊ฐ ์๋ ๊ฒฝ์ฐ ํ์๋๊ณ ๊ด๋ฆฌ์๊ฐ ํน์ ์ถฉ๋ ๋ณต๊ตฌ ๋ชจ๋๋ก ์ ํํ์ฌ ํ๋ฌ๊ทธ์ธ์ด๋ ํ ๋ง์ ๊ด๋ จ๋ ๋ฌธ์ ๋ฅผ ๋ ๋ฆฝ์ ์ผ๋ก ํด๊ฒฐํ ์ ์๋๋ก ๋๋ "์ฃฝ์์ ํฐ์ ํ๋ฉด" ๊ตฌํ์ด ์ถ๊ฐ๋์์ต๋๋ค.
- ์ฌ์ฉ๋๋ PHP ๋ฒ์ ์ ๊ณ ๋ คํ์ฌ ํ์ฌ ๊ตฌ์ฑ์์ ํ๋ฌ๊ทธ์ธ์ ์ฌ์ฉํ ๊ฐ๋ฅ์ฑ์ ์๋์ผ๋ก ํ์ธํ๋ ํ๋ฌ๊ทธ์ธ ํธํ์ฑ ํ์ธ ์์คํ ์ด ๊ตฌํ๋์์ต๋๋ค. ํ๋ฌ๊ทธ์ธ์ด ์๋ํ๊ธฐ ์ํด ์ต์ ๋ฒ์ ์ PHP๊ฐ ํ์ํ ๊ฒฝ์ฐ ์์คํ ์ ์๋์ผ๋ก ์ด ํ๋ฌ๊ทธ์ธ์ ํฌํจ์ ์ฐจ๋จํฉ๋๋ค.
- ๋ค์์ ์ฌ์ฉํ์ฌ JavaScript ์ฝ๋๋ก ๋ชจ๋์ ํ์ฑํํ๊ธฐ ์ํ ์ง์์ด ์ถ๊ฐ๋์์ต๋๋ค.
์นํฉ ะธ๋ฐ๋ฒจ ; - ๊ฐ์ธ ์ ๋ณด ๋ณดํธ ์ ์ฑ ํ์ด์ง์ ์ฝํ ์ธ ๋ฅผ ์ฌ์ฉ์ ์ ์ํ ์ ์๋ ์๋ก์ด Privacy-policy.php ํ ํ๋ฆฟ์ ์ถ๊ฐํ์ต๋๋ค.
- ํ ๋ง์ ๊ฒฝ์ฐ wp_body_open ํํฌ ํธ๋ค๋ฌ๊ฐ ์ถ๊ฐ๋์ด body ํ๊ทธ ๋ฐ๋ก ๋ค์ ์ฝ๋๋ฅผ ์ฝ์ ํ ์ ์์ต๋๋ค.
- ์ต์ PHP ๋ฒ์ ์ ๋ํ ์๊ตฌ ์ฌํญ์ด 5.6.20์ผ๋ก ์ํฅ ์กฐ์ ๋์์ผ๋ฉฐ ์ด์ ํ๋ฌ๊ทธ์ธ๊ณผ ํ ๋ง์์ ๋ค์์คํ์ด์ค์ ์ต๋ช ํจ์๋ฅผ ์ฌ์ฉํ ์ ์์ต๋๋ค.
- 13๊ฐ์ ์๋ก์ด ์์ด์ฝ์ด ์ถ๊ฐ๋์์ต๋๋ค.
์ถ๊ฐ์ ์ผ๋ก ์ธ๊ธํ ์ ์๋ ๊ฒ์
๋ฌธ์ ๋ ์๋ฒ์ ํ์ผ์ ์ ๋ก๋ํ๋ ์ฝ๋์์ ๋ํ๋๋ฉฐ ์ ํจํ ํ์ผ ํ์ ํ์ธ์ ์ฐํํ๊ณ PHP ์คํฌ๋ฆฝํธ๋ฅผ ์๋ฒ์ ์ ๋ก๋ํ ๋ค์ ์น์ ํตํด ์ง์ ์คํํ ์ ์์ต๋๋ค. ํฅ๋ฏธ๋กญ๊ฒ๋ ์๋ ์ ๋ผ์ด๋ธ ์ฑํ (CVE-2018-12426)์์ ์ ์ฌํ ์ทจ์ฝ์ ์ด ์ด๋ฏธ ํ์ธ๋์์ต๋๋ค. ์ด ์ทจ์ฝ์ ์ ์ฝํ ์ธ ์ ํ ํ๋์ ๋ค๋ฅธ ์ฝํ ์ธ ์ ํ์ ์ง์ ํ์ฌ ์ด๋ฏธ์ง๋ก ๊ฐ์ฅํ์ฌ PHP ์ฝ๋๋ฅผ ๋ก๋ํ ์ ์๋๋ก ํ์ฉํ์ต๋๋ค. ์์ ์ ์ผ๋ถ๋ก ํ์ดํธ๋ฆฌ์คํธ ๋ฐ MIME ์ฝํ ์ธ ์ ํ์ ๋ํ ์ถ๊ฐ ๊ฒ์ฌ๊ฐ ์ถ๊ฐ๋์์ต๋๋ค. ๊ฒฐ๊ณผ์ ์ผ๋ก ์ด๋ฌํ ๊ฒ์ฌ๋ ์๋ชป ๊ตฌํ๋์ด ์ฝ๊ฒ ์ฐํ๋ ์ ์์ต๋๋ค.
ํนํ ํ์ฅ์๊ฐ '.php'์ธ ํ์ผ์ ์ง์ ์ ๋ก๋ํ๋ ๊ฒ์ ๊ธ์ง๋์ด ์์ง๋ง, ๋ง์ ์๋ฒ์์ PHP ์ธํฐํ๋ฆฌํฐ์ ์ฐ๊ฒฐ๋์ด ์๋ '.phtml' ํ์ฅ์๋ ๋ธ๋๋ฆฌ์คํธ์ ์ถ๊ฐ๋์ง ์์์ต๋๋ค. ํ์ดํธ๋ฆฌ์คํธ๋ ์ด๋ฏธ์ง ์ ๋ก๋๋ง ํ์ฉํ์ง๋ง ".gif.phtml"๊ณผ ๊ฐ์ ์ด์ค ํ์ฅ์๋ฅผ ์ง์ ํ์ฌ ์ด๋ฅผ ์ฐํํ ์ ์์ต๋๋ค. ํ์ผ ์์ ๋ถ๋ถ์์ MIME ์ ํ ๊ฒ์ฌ๋ฅผ ์ฐํํ๋ ค๋ฉด PHP ์ฝ๋๋ก ํ๊ทธ๋ฅผ ์ด๊ธฐ ์ ์ "GIF89a" ์ค์ ์ง์ ํ๋ ๊ฒ์ผ๋ก ์ถฉ๋ถํ์ต๋๋ค.
์ถ์ฒ : opennet.ru