WP-Footnotes 플러그인의 보안 문제

WordPress에서 각주를 다는데 사용하는 플러그인인 wp-footnotes보안 문제가  2/4일에 보고 되었다.

내용

  • WP-Foonotes 이 사용 중 일 것
  • php.ini에 register_global이 “On” 상태여야 한다는 것

두 가지가 만족될 때 wp-foonotes의 특정 옵션에 자기가 원하는  HTML/JS 코드를 실행할 수 있다 라는 것인데, 대부분의 웹 서버들의 경우 php.ini의 reigster_global이 Off이기 때문에 (아주 오래된 코드들을 실행해야하는 legacy server가 아니라면야) 큰 파급효과는 일단 없는 것 같다.

해결책

  1. PHP 코드를 아는 사람이면 해당 관리자 옵션 페이지를 수정해서 코드를 삽입할 수 있는 부분을 제거하거나
  2. 그렇지 않은 경우 php.ini 의 register_global 을 찾아서 Off이면 신경끄거나, On이면 Off로 바꿀 수 있는지 확인할 것
  3. register_global=On 이고 바꿀 권한이 없거나 바꿀 수 없는 상황인 경우 패치가 나올 때까지 wp-footnotes를 disable 할 것

몇 일전에 일념 형이 고어핀드 블로그 같은 각주달리지 못하냐고 하시길래 wp-footnotes를 사용하기 시작했는데 이게 뭔 횡액인지 Orz (그래도 뭐 그랑엘베르는 php.ini 설정은 제대로(?)되어있어서…)

Published by

rein

나는 ...

5 thoughts on “WP-Footnotes 플러그인의 보안 문제”

  1. 안녕하세요. 따로 적을 곳이 없어 이 글에서 문의드립니다. 워드프레스로 바꾸는 중인데 이상하게 wp-footnotes 플러그인이 동작하지 않네요. rein님께서는 잘 사용하셔서 여쭤 봅니다.

    워드프레스 2.6.1이고 테마가 관계 있는지 모르겠지만 dark(http://www.ilemoned.com/wordpress/wptheme-dark)이며, 현재 플러그인은 akismet과 wp-footnotes만 활성화했습니다. 사용법 대로 서버에 올리고 사용했지만 각주로 처리하지 않고 문장에 (( )) 그대로 표시하는데 혹시 원인을 아시는지요. 아니면 2.6.1은 지원하지 않는 걸까요.

  2. Miren / 저도 그거 처음에 동작 안한다고 생각했는데,

    내용 ((각주))

    처럼 내용과 각주의 (( 사이에 공백이 “한 개 이상” 있어야 제대로 동작합니다. 한국어 표기의 경우 (를 앞과 붙여서 쓰는데 그 경우엔 제대로 동작을 안해서 영어에서 쓰듯이 ( 를 한 칸 띄워서 썼더니 잘 되더라구요;

    2.6.1 (2.6.1 개발), 2.7 (현재 개발버젼)에서 모두 동작하는 것을 확인했으니 버젼 문제는 아마 아닐 것 같습니다.

  3. 고맙습니다. 원인은 모르겠지만 해결됐습니다.
    옛날 글을 옮기는 중이었는데 각 문단을 합쳤다 다시 엔터로 나눠주고 저장해 보니 각주가 동작합니다. 모든 글을 그렇게 다시 옮겨야 할지도 모르겠네요. ㅡㅡ;;

Leave a Reply