사용자들은 호스트 업체, 보안 업체 등의 경고를 통하지 않고서는 어떤 플러그인에 악성코드가 포함되어 있는지 알기 어렵습니다. 또한 워드프레스에서 로그인을 한 상태에서는 스팸 콘텐츠가 표시되지 않을 수도 있으니 보안과 관련해서 관심있게 정보를 듣지 않으면 가짜 보안 플러그인을 알아내기 쉽지 않습니다.
워드프레스 사용자가 많아지면서 보안을 위험하게 만드는 가짜 보안 플러그인도 증가하고 있습니다. X-WP-SPAM-SHIELD-PRO라는 플러그인은 보안 플러그인 이름을 사용하는 가짜 보안 플러그인이므로 해당 이름으로 된 플러그인은 사용하시면 안됩니다.
얼마전 20만개가 넘는 워드프레스 홈페이에 사용되었던 Display Widgets에 악성코드(외부 서버에서 허락없이 콘텐츠를 삽입하고 사용자 데이터를 수집하는 등의 코드)가 포함된 채 배포된 것이 얼마전 밝혀져 WordPress.org에서 영구적으로 삭제 되었습니다. Display Widgets는 많이 사용된 플러그인이므로 아직 해당 내용을 모르는 많은 홈페이지에서는 아직도 사용되고 있을 것입니다. 현재 이 글을 보시는 워드프레스 사용자분들은 플러그인 중 Display Widgets 플러그인을 사용하고 있다면 바로 삭제하시기 바랍니다.
워드프레스 자체는 보안에 강하지만 사용자들이 업데이트를 소홀하거나 잘못된 플러그인이나 테마를 설치하면 보안에 문제가 생길 수 있습니다.
그러므로 아래의 3가지 가장 기본적인 사항을 지켜서 보안에 소홀하지 않도록 습관을 드려야 합니다.
- 워드프레스, 테마, 플러그인은 항상 최신 버전으로 업데이트
- 보안 플러그인(가짜 보안 플러그인은 제외)은 반드시 설치
- 정기적인으로 백업하는 습관
가장 기본적이지만 소중한 홈페이지를 지키는 중요한 습관이므로 홈페이지를 관리하실 때 소홀해 지지 않도록 주의하시기 바랍니다.
참고로 아이린앤컴퍼니에서 홈페이지 제작 시 설치해 드리고 있는 iThemes Security 플러그인 업데이트를 잊지 않고 하시면 큰 문제는 없을 것 같습니다.