6 years, 7 months 전-
안녕하세요, 워드프레스를 처음 사용하는 입문자입니다.
매뉴얼이나 가이드들을 보면서 사이트를 만들어 봤는데,
여러 보안 문제들이 있어서 해결 방안이 있는지 문의드립니다.
1. XSS(Cross-Site Script)
Admin 화면에서 Posts에 Add New Post를 할 때 제목에 스크립트를 넣을 수가 있습니다.
예를 들어서 <script>alert(“XXX”)</script>라고 제목에 넣으면, 실제 해당 post가 작성이 되고, 조회를 했을 때 alert창이 나오게 됩니다.
제목을 입력할 때엔 특수문자는 HTML Entities로 치환이 되도록 하는 기능이 필요할 것 같은데, 어느 파일에 어느 형식으로 해야할지를 모르겠습니다.
기존에 관련된 내역들이 있을 것 같은데, 관련 자료가 있거나 추가 플러그인으로 해결이 가능하다면 조언 부탁드립니다.
2. 파일업로드 취약점
위와 동이랗게 Post 메뉴에서 Add Media를 들어가면, 파일 업로드를 할 수가 있습니다.
여기에 html 파일들을 올리면 바로 올라갈 수가 있고, 다른 확장자들도 모두 업로드가 가능합니다..
화이트리스트 방식으로, 업로드가 가능한 확장자명을 지정해 주거나, 아니면 추가 플러그인이 있을 것 같은데,
관련한 자료나 조언이 있으면 부탁드립니다.
감사합니다.
안녕하세요
기본적으로 문의하신
1번의 경우 제 워드프레스 사이트에서 테스트 해봤는데 문제 없습니다. 텍스트 타입으로 저장되어 alert 이 발생하지 않습니다.
2번의 경우:
http://msyk.es/blog/adding-removing-allowed-filetypes-wordpress-media-library/참고하셔서 파일타입으로 막으시면 될거 같습니다.
그리고 보안관련 플러그인 설치 추천드립니다.
- 답변은 로그인 후 가능합니다.