s1.part.3.word camp seoul-2010-wordpress-lmh
DESCRIPTION
워드캠프 서울 2010 세션 1 - 파트 3 임민형 (큐로보프레스 개발자)TRANSCRIPT
WordPress Plugin & Security임민형
㈜시맨틱스큐로보프레스WordCamp Seoul 2010
PowerPoint template by Lester Chan http://lesterchan.net/
• Hooks란?– 사전적 정의 : (갈)고리, 걸이; (낚싯바늘로) 낚다 등– S/W 관점: 각종 프로그램에서 발생하는 기능호출, 메시지, 이벤트 등을 중간에서 바꾸거나 가로채는기술.
– 주로 크래킹의 관점에서 사용. (예)키로거
WordPress Plugin & Security [ 18 ]
플러그인 개발
• Anctions란?– 사전적 정의 : 행동, 조치, 동작– Actions는 워드프레스가 동작할 때 후킹을 지원하는
Action API를 이용하여 직접 만든 PHP function들을원하는 부분에서 실행이 되도록 함.
– Actions Functions(has_action, add_action 등)
플러그인 개발
WordPress Plugin & Security [ 20 ]
• Filters란?– 사전적 정의 : 여과, 필터(특정정보차단) 등– Filters는 워드프레스가 동작할 때 후킹을 지원하는
Filter API를 이용하여 어떤 값이 데이터베이스 또는브라우저에 보내어 지기 전에 수정하도록 함.
– Filter Functions(has_filter, add_filter 등)
플러그인 개발
WordPress Plugin & Security [ 21 ]
• 플러그인 개발 기본 구조/*Plugin Name : 플러그인 이름Plugin URI : 플러그인 홈페이지Description: 플러그인 설명Author : 개발자Version : 버전Author URI : 개발자 홈페이지*/function 사용자정의함수(){
}플러그인 API함수(‘hook_name’,’사용자정의함수’);
플러그인 개발
WordPress Plugin & Security [ 22 ]
플러그인과 보안
• 보안 이슈– 오픈소스로 취약점이 모두 공개– 서비스형 블로그보다 설치형 블로그가 공격 대상이될 확률이 높음
– 블로그는 개인의 정보가 많이 저장되어있음.
WordPress Plugin & Security [ 29 ]
• 원격 admin password 초기화(ver.2.8.3 이하)– Admin 계정 password 초기화– 새로운메일로초기화된 password를받음
보안 사고 사례
WordPress Plugin & Security [ 30 ]
보안 사고 사례
WordPress Plugin & Security [ 31 ]
• 지능형 웜(`10.04.08)– 특정글의링크를통해공격대상을정함– 스스로관리자계정을만듬– 자바스크립트를이용해스스로를숨겨인지하지못하도록함
• 대규모 악성코드 유포(`10.04.08)– Siteurl의값을변형– 악의적인웹사이트로연결하는 iFrame삽입– 해당사이트는악성코드를유포– 악성코드에감염되면또다른번형악성코드를설치– 허위백신을설치하여금전결제를유도
보안 사고 사례
WordPress Plugin & Security [ 32 ]
• 플러그인을 통한 해킹– 관련분야가아닌일반사용자에게는구분이어려움– 대부분의인터넷이용자비밀번호는동일– 이메일에는개인정보의집합체
플러그인과 보안
WordPress Plugin & Security [ 34 ]
보안 대책
• Admin 계정 및 패스워드 변경• Wp-config.php 접근 통제• 패스워드를 사용하는 플러그인은 주의• 지속적인 업데이트 관리
WordPress Plugin & Security [ 36 ]
File Name : .htaccess (permissions to chmod 644)
<Files wp-config.php>Order Deny, AllowDeny from All</Files>
– 추측을 통한 공격 예방(brute-force attack, forceful browsing)– 흔히 사용하는 관리자 계정보다는일반적인 계정이 상대적으로 보안을 높일 수 있는 방법
– 패스워드는 가급적 중요서비스와는 다르게 설정