워드프레스 일기의 보안 취약점 4

워드프레스 사이트 전체를 비밀번호로 보호하고 싶은 경우가 있을 수 있습니다. 예를 들어, 사이트를 리뉴얼하거나 신규로 제작하는 경우 일반 사용자는 접근하지 못하도록 하고 비밀번호를 아는 사용자만 접속할 수 있도록 할 수 있습니다. 이런 상황에서 Hide My Website라는 플러그인을 사용할 수 있습니다.워드프레스 사이트를 비밀번호로 보호하는 Hide My Website 플러그인워드프레스 사이트에 접속하려면 비밀번호를 입력해야 하는 플러그인으로 Hide My Site가 있었습니다. 저는 테스트 사이트에 이 플러그인을 주로 설치했지만 2023년 8월에 보안 문제로 인해 워드프레스 플러그인 저장소에서 제거되었습니다.😥워드프레스 저장소에 등록된 플러그인이나 테마에 보안 취약점이 발견되면 먼저 개발자에게 보..

많은 해외 호스팅에서는 cPanel 환경을 제공합니다. 최근 cpanel 웹호스팅 서버 제어판에서 이메일에 사용되는 소프트웨어의 일부에서 발견된 log4j 자바 라이러브리의 치명적인 결함을 수정하는 패치를 내놓았습니다. 이 취약점 자체는 Log4Shell이라 명명되었습니다. Apache 버전을 2.16으로 업그레이드해야 이 문제를 해결할 수 있다고 합니다. cPanel 플러그인에 Log4j 취약점 발견 Log4j란 Log for Java(Apache Open Source Log Library)의 약어이며 자바 기반 로깅 유틸리티로 디버깅용 도구로 주로 사용되고 있습니다. Log4j는 많은 온라인 소프트웨어 제품에 drop-in 기능을 추가하는 자바 라이브러리로 최종 사용자들이 보통 다운로드하여 사용하는 ..

YITH WooCommerce Wishlist(우커머스 위시리스트) 플러그인은 현재 50만 개 이상의 워드프레스 사이트에 설치되어 사용되고 있으며 우커머스 쇼핑몰에서 고객들이 상품의 “찜” 목록을 만들 수 있는 인기 플러그인 중 하나입니다(“워드프레스용 YITH 우커머스 위시리스트 플러그인” 참고). 보안업체인 Sucuri에서 YITH WooCommerce Wishlist에 영향을 미치는 SQL 주입 취약점(SQL Injection vulnerability)을 발견하여 보안 권고를 발행했습니다. 이 플러그인을 사용하는 경우 반드시 최신 버전(현재 2.2.0 버전)으로 업데이트하시기 바랍니다. 만약 업데이트를 할 수 없는 상황인 경우에는 Sucuri Firewall이나 비슷한 기술을 이용하는 것이 있다고 ..

stackoverflow에 올라온 'CWE-259 hard-coded password' 보안 문제에 대한 답변: The reason you are getting the hard-coded password flaw is because in line three of your snippet you are hard-coding your password in a variable. This is because you are storing sensitive information (username and password) in the source code, which is a flaw because your can source can be decompiled. One way to fix this flaw is to s..