워드프레스 웹사이트를 운영하는 사용자들에게 심각한 보안 경고가 나왔습니다. 1년 이상 업데이트가 중단된 이른바 '방치된 플러그인(abandoned plugins)' 목록과 이들 플러그인에 존재하는 알려진 보안 취약점을 검색할 수 있는 무료 도구가 공개되었기 때문입니다. 이 도구는 워드프레스닷오알지(WordPress.org)와 워드펜스(Wordfence)의 데이터를 기반으로 매월 1일 자동으로 업데이트됩니다.
현재 이 목록에는 총 90개의 방치된 플러그인이 포함되어 있으며, 그중 47개는 이미 활성 상태의 보안 취약점을 가지고 있는 것으로 확인되었습니다. 특히 6개는 치명적인(Critical) 위험 수준, 15개는 높은(High) 위험 수준으로 분류되었습니다. 이들 플러그인을 사용하는 사이트는 420만 개 이상으로 추정되며, 이는 상당수의 워드프레스 웹사이트가 잠재적인 해킹 공격에 노출되어 있음을 의미합니다. 예를 들어, 'Limit Login Attempts' 플러그인은 치명적인 취약점을 가지고 있음에도 30만 개 이상의 사이트에서 여전히 사용 중입니다.
플러그인이 업데이트되지 않으면 보안 취약점이 발견되어도 패치되지 않고, 최신 워드프레스 및 PHP 버전과의 호환성 문제도 발생합니다. 해커들은 이러한 방치된 플러그인을 집중적으로 노려 공격을 시도하며, 이미 공개적으로 문서화된 취약점은 공격 코드가 존재할 가능성이 높습니다. 따라서 워드프레스 사용자들은 자신의 사이트에 설치된 플러그인 중 이 목록에 있는 것이 있다면 즉시 제거하거나 다른 대안 플러그인으로 교체하여 웹사이트의 보안을 강화해야 합니다. 이는 웹사이트와 사용자 데이터를 보호하는 가장 기본적인 조치입니다.