*랭커(ranker) 님 글에 댓글을 달지 않고 새로운 thread 를 시작하는 이유는 댓글이 너무 깊어지면 구글검색에 노출이 잘 되지 않는 경향이 있어서…. 몇년후라도 워드프레스 사이트 운영하고 계신분이 해킹을 당해서 구글에서 해결책을 찾으실 때 이 글이 노출되길 바라는거죠.
//////////////////////////////////////////////////////////////////
랭커(ranker) :
헉!! 그런 방법도 있었나요? (이미지에 악성 스크립트를 집어넣고, 그 이미지를 업로드해서 backdoor shell 을 구축하는 방법: 이미지 injection 이라고 합니다.)
저 같은 경우 커뮤니티 활성화를 위해서 방문자들이 bbPress 게시판이나 buddypress에 사진(미디어)을 업로드할 수 있게 해놨는데… 이거 위험한 건가요?
갑자기… 생각치도 못했던 고민거리가 생겼네요. ㅠㅠ
////////////////////////////////////////////////////////
CDN 을 사용한다면. 방문자/회원이 이미지를 올릴 수 있게 허용한다고 보안상 위험해지지 않습니다,
한국내 여러 대형 커뮤니티들을 봐도, 이미지는 CDN 에 올려지게 하는 사이트가 대부분 입니다. 방문자/회원이 올리는 이미지/사이트 이미지 전체를 CDN 을 통해 보관하는 방식은 보안문제 뿐만아니라, 사이트 속도, 비용절감 차원에서 권유되는 방식입니다.
워드프레스를 사용하는 사이트 운영자는 무료로 여러 CDN 을 골라서 쓸 수 있습니다. 복잡한 설치도 필요없게 워드프레스 CDN 플러그인들도 존재합니다.
https://wordpress.org/plugins/tags/cdn
http://www.wpexplorer.com/free-cdn-services-for-wordpress/ (이 외에도 구글링 조금 하시면 무료로 CDN 서비스 제공하는 회사들을 많이 찾으실 수 있을겁니다. 물론 이 회사들은 님의 사이트가 활성화 되서 유료로 CDN 을 사용해주길 바라면서 무료로 서비스를 제공하는 것 입니다.) *CDN 을 유료로 사용하셔도 bandwidth 당 비용계산을 해보시면 CDN 이 더 저렴하다는 결론을 얻게 되실 것 입니다.
////////////////////////////////////////////////
워드프레스 보안관련 플러그인
https://wordpress.org/plugins/tags/security
이 중 뭘 쓰시더라도 안쓰시는 것 보다 좋은거고, 방문자의 사이트 접속 후 패턴 분석을 통해 수익을 극대화 하는 용도로 사용할 수 도 있습니다.
마지막으로 작년말 (2014)부터 극성을 부리고 있는 xml-rpc 를 통한 brute force 공격 방지하기.
xml-rpc 를 비활성화 하시면 됩니다. 어떻게? 플러그인 하나 설치하시면 됩니다.
https://wordpress.org/plugins/disable-xml-rpc/
////////////////////////////////////////////////////////
워드프레스가 보안상 취약한가?
제로보드 (XE) 나 그누보드에 비하면 워드프레스는 보안상 훨씬 더 안전한 CMS 입니다.
단지 워드프레스 사이트 관련 해킹에 관한 이야기를 더 많이 접하게 되는 이유는:
한국에 CMS 점유율을 보면
워드프레스 : 54 ~ 56%
제로보드+XE : 30~31%
그누보드 : 12%~ 13%
*가비아, w3techs 등, 통계를 내는 기관마다 약간씩 차이가 있습니다.
(이게 2014년 자료인데 2015년에 들어와서 그누보드는 시장 점유율이 10% 미만으로 떨어졌다고 합니다.
XE 는 3년사이에 시장 점유율이 반토막이 나긴 했지만 그누보드에 비하면 나름 선방 중.)
하지만 그누보드는 그누프레스라는 워드프레스 플러그인을 출시한 상태고 (아직은 alpha 수준으로 봐야 합니다.) 그래서 장기적으로는 XE 보다는 그누보드가 더 전망이 좋습니다. (그누프레스는 아직은 multisite 에서도 작동을 하지 않고, 기존 테마들, 플러그인들과 여러가지 충돌이 발생하는데, 조만간 실제 사용가능한 플러그인이 될겁니다. 그누보드에서 그누프레스를 개발하고 계신 thisgun 님이 꽤 실력이 좋으신 프로그래머이신 관계로..)
아무튼 이래서 대한민국에서 가장 많이 사용되는 솔루션이 워드프레스니 워드프레스 관련 해킹에 관한 글을 더 많이 접하게 되는 것 입니다.
Lives in Colorado.
아, 여기서 이런 의문이 생기시는 분들이 계실겁니다. 한국에서 웹사이트 구축에 가장많이 사옹되는 CMS 가 워드프레스 라는데, 왜 워드프레스 관련 커뮤니티 하나 변변하게 없나?
워드프레스를 조금만 사용해보신 분들은 잘 알고 있는 사실이지만, 사실 워드프레스로 사이트 하나 구축할때까지 정말 웹사이트 구축에 아무것도 모르는 분이 아니시면, 질문하나 올리게 되는 경우가 매우 드뭅니다. 여기 kopress.kr 에 질문글 90% 이상이 워드프레스 사용법을 묻는 질문이지, 뭐가 작동이 안되서 올라오는 글이 아닙니다.
랭커님도 사이트 구축하시고 1년넘게 운영하시면서 뭐가 작동안되서 고생한번 해보신적이 있으신가요? 없죠!! ㅋㅋㅋ
XE 나 그누보드 공홈을 보면, 설치가 안되요. 뭐가 안되요, 이거 왜 안되죠? 이건 어떻게 만들어야 해요? 이런 질문이 태반입니다. jQuery 슬라이더라도 하나 구축해 붙여넣어야 한다, 사이트를 어떤 특정목적으로 구축해야 한다, 이러면 의뢰를 하거나, 아마추어 수준으로 만들어진 스킨 같은 것들을 가져다가 붙여넣어야 하는데 작동도 제대로 되지않고…
워드프레스의 경우는? 내 사용목적에 맞는 플러그인들을 (그것도 큰 개발 회사들이 만들어서 검증이 확실히 된 것 들이 대부분인) 설치만 하면 됩니다. 간혹 충돌이 일어나면, 같은 기능의 다른 플러그인을 (보통 수십개의 초이스가 있죠.) 중 하나를 골라쓰면 됩니다.
이래서 워드프레스 관련 질문하시는 분들도 드물고, 워드프레스 개발관련 커뮤니티가 활성화 되지 않는 것 입니다.
또 XE 나 그누보드와 달리, 워드프레스는 개인보다는, 개발전문회사, 에이전시 같은 곳에서 주로 쓰기때문에, 그분들이 질문글 올릴일은 없죠. ㅎㅎㅎ
진짜 막히는 부분이 생기면 stackoverflow, 워드프레스 공홈에서 질문글 올리면 되고, 또 구글링만 해도 해답이 다 나오니까…
Lives in Colorado.
먼저 별도로 글을 작성해 가면서까지… 질문에 답변을 올려주신 Matthew Park님께 진심으로 감사합니다.
답변해주신 내용을 요약하자면… “CDN 을 사용하면 웹호스팅 서버에는 아예 이미지 저장이 안되고, 곧바로 CDN 서버로 업로드 되므로 이미지 injection 해킹 기법으로부터 안전하다”라고 이해했는데, 맞는거겠죠? ^^;;
그리고, 답변 내용을 읽다보니 몇가지 추가적인 궁금증이 생겼는데요.
1) CDN 플러그인을 사용하지 않고, 수동으로 CDN 서버로 이미지를 업로드할 수 있는 방법이 있을까요? 아니면, 플러그인을 커스터마이징 하면 제가 원하는 CDN 서버로 설정할 수 있을까요?(플러그인을 다운 받아 소스를 보면 제가 가능하지 여부를 알수 있는것을… 떠먹여 주는 밥에 제가 맛 들였나봐요 ^^;;)
이 질문을 하는 이유는 저 같은 경우 홈페이지에서 사용하는 이미지의 95% 이상을 피카사를 이용하고 있어서, 카페24 CDN(이미지만 가능) 용량이 남아돌거든요. 그래서, CDN을 이용한다면… 현재 제 상황에 맞게 카페24것을 이용하는게 속도가 더 빠를거 같아서 드리는 질문입니다.
2) xml-rpc 를 비활성화 하는것과 관련해서… 위 플러그인을 사용하지 않고, 아래처럼 워드프레스 자체 설정만으로는 부족한 건가요?
ㄱ. 설정 > 쓰기 > 업데이트 서비스값(디폴트 : http://rpc.pingomatic.com/)을 삭제함(공란으로 비워둠)
ㄴ. 설정 > 토론 > 핑백과 트래픽 비활성화
휴… 보안쪽으로는 여태 Login LockDown 플러그인 하나 갖고 버텼는데, 올려주신 링크 참고해서 빠른 시일내에 보안 플러그인 하나 설치해야 되겠습니다.
워드프레스 커뮤니티가 활성화가 안되는 이유 중에서… 워드프레스의 장점에 대해 말씀해주신 부분은 절실하게 동감합니다.
정말 CMS 툴 뿐 아니라 다른 프로그래밍 관련 툴들도 뭐하나 시작해보려면… 설치(설정,셋팅 등)가 절반이라고 첫부분에서부터 좌절하는 경우가 대부분인 것 같습니다.
게다가 관련 강좌(정보, 책)글을 보고 따라해봐도… 제대로 안되고 온갖 오류만 뿜어대니(물론 제 실수겠지요) 시작도 하기 전에 맥이 풀려버려요. ^^;;
그런점에서 “워드프레스는 사랑입니다.” ㅎㅎ