워드프레스 6.0.3 업데이트
https://wordpress.org/support/wordpress-version/version-6-0-3/
보안패치 위주이기 때문에 반드시 해주시길바랍니다~
보안 팀은 책임감 있게 취약점을 보고하고 이번 릴리스에서 수정할 수 있도록 해준 다음 사람들에게 감사드립니다.
- wp-mail.php를 통해 XSS 저장(이메일로 게시) – JPCERT를 통해 Mitsui Bussan Secure Directions, Inc.의 Toshitsugu Yoneyama
- `wp_nonce_ays`에서 리디렉션 열기 – devrayn
- 보낸 사람의 이메일 주소는 wp-mail.php에 노출됩니다. – JPCERT를 통해 Mitsui Bussan Secure Directions, Inc.의 Toshitsugu Yoneyama
- 미디어 라이브러리 – SQLi를 통해 반영된 XSS – WordPress 보안 팀의 Ben Bidner와 Automattic의 Marc Montpas가 독립적으로 이 문제를 발견했습니다.
- wp-trackback.php의 CSRF – Simon Scannell
- 사용자 지정 프로그램을 통해 저장된 XSS – WordPress 보안 팀의 Alex Concha
- 50790 에 도입된 공유 사용자 인스턴스 되돌리기 – WordPress 보안 팀의 Alex Concha 및 Ben Bidner
- 댓글 편집을 통해 WordPress Core에 XSS 저장 – 타사 보안 감사 및 WordPress 보안 팀의 Alex Concha
- REST 용어/태그 엔드포인트를 통한 데이터 노출 – Taintor보다
- 여러 부분으로 구성된 이메일의 콘텐츠 유출 – Thomas Kräftner
- `WP_Date_Query`의 부적절한 삭제로 인한 SQL 주입 – Michael Mazzolini
- RSS 위젯: 저장된 XSS 문제 – 타사 보안 감사
- 검색 블록에 저장된 XSS – WP 보안 팀의 Alex Concha
- 기능 이미지 차단: XSS 문제 – 타사 보안 감사
- RSS 차단: 저장된 XSS 문제 – 타사 보안 감사
- 위젯 블록 XSS 수정 – 타사 보안 감사
달소
1등 달소님! 안녕하세요. 오랜만에 인사드리네요ㅎㅎ
다름이아니라 워드프레스 운용중 보안관련 문의를 드리고자 댓글드려요.
https://웹주소/readme.html 같이 뒤에 붙는 기본 파일들..
즉 루트-wordpress폴더안에 있는 파일들에 대해서 어떻게 처리를 해야할까요?
보안상 취약하여 "wp-content 폴더와 wp-config.php 파일을 제외하고는 모두 삭제" 하라는 블로그 글을 보긴 했는데
백업을 위해 1readme.html 처럼 앞에 무의미한 숫자를 넣어 변경해주는게 나을지요..?
좋은 의견 있으시면 부탁드립니다..
추가로 테스트하며 궁금한게 생겼는데요. https://svrforum.com/readme.html 을 접속해보니 당연히 404에러가 발생하네요ㅋㅋ.. 해당 화면은 따로 만드셨나요? 아님 플러그인을 통해 다 처리를 하신건가요? 저는 WPS Hide Login 플러그인을 쓰는데 차단만 되고 404페이지가 따로 뜨진 않네요.
안녕하세요~ 서버포럼은 라이믹스라는 CMS 기반으로 운영되고있어서 페이지가 없어서 404가 뜨는것입니다.
워드프레스의 경우 nginx rewrite설정으로 404처리를 해줄수도있을듯합니다!
감사합니다! 처음 댓글드린 보안취약점 관련..해당 파일들은 어떻게 하면 좋을까요?
삭제하셔도 무방할듯합니다!
cmt alert
신고
"님의 댓글"
이 댓글을 신고하시겠습니까?
