WordPress에서 각주를 다는데 사용하는 플러그인인 wp-footnotes 의 보안 문제가 2/4일에 보고 되었다.
내용
- WP-Foonotes 이 사용 중 일 것
- php.ini에 register_global이 “On” 상태여야 한다는 것
두 가지가 만족될 때 wp-foonotes의 특정 옵션에 자기가 원하는 HTML/JS 코드를 실행할 수 있다 라는 것인데, 대부분의 웹 서버들의 경우 php.ini의 reigster_global이 Off이기 때문에 (아주 오래된 코드들을 실행해야하는 legacy server가 아니라면야) 큰 파급효과는 일단 없는 것 같다.
해결책
- PHP 코드를 아는 사람이면 해당 관리자 옵션 페이지를 수정해서 코드를 삽입할 수 있는 부분을 제거하거나
- 그렇지 않은 경우 php.ini 의 register_global 을 찾아서 Off이면 신경끄거나, On이면 Off로 바꿀 수 있는지 확인할 것
- register_global=On 이고 바꿀 권한이 없거나 바꿀 수 없는 상황인 경우 패치가 나올 때까지 wp-footnotes를 disable 할 것
몇 일전에 일념 형이 고어핀드 블로그 같은 각주달리지 못하냐고 하시길래 wp-footnotes를 사용하기 시작했는데 이게 뭔 횡액인지 Orz (그래도 뭐 그랑엘베르는 php.ini 설정은 제대로(?)되어있어서…)
그러니까 여기는 문제 없는 거지? :)
아마도요;
안녕하세요. 따로 적을 곳이 없어 이 글에서 문의드립니다. 워드프레스로 바꾸는 중인데 이상하게 wp-footnotes 플러그인이 동작하지 않네요. rein님께서는 잘 사용하셔서 여쭤 봅니다.
워드프레스 2.6.1이고 테마가 관계 있는지 모르겠지만 dark(http://www.ilemoned.com/wordpress/wptheme-dark)이며, 현재 플러그인은 akismet과 wp-footnotes만 활성화했습니다. 사용법 대로 서버에 올리고 사용했지만 각주로 처리하지 않고 문장에 (( )) 그대로 표시하는데 혹시 원인을 아시는지요. 아니면 2.6.1은 지원하지 않는 걸까요.
Miren / 저도 그거 처음에 동작 안한다고 생각했는데,
내용 ((각주))
처럼 내용과 각주의 (( 사이에 공백이 “한 개 이상” 있어야 제대로 동작합니다. 한국어 표기의 경우 (를 앞과 붙여서 쓰는데 그 경우엔 제대로 동작을 안해서 영어에서 쓰듯이 ( 를 한 칸 띄워서 썼더니 잘 되더라구요;
2.6.1 (2.6.1 개발), 2.7 (현재 개발버젼)에서 모두 동작하는 것을 확인했으니 버젼 문제는 아마 아닐 것 같습니다.
고맙습니다. 원인은 모르겠지만 해결됐습니다.
옛날 글을 옮기는 중이었는데 각 문단을 합쳤다 다시 엔터로 나눠주고 저장해 보니 각주가 동작합니다. 모든 글을 그렇게 다시 옮겨야 할지도 모르겠네요. ㅡㅡ;;