Embed Size (px)
DESCRIPTION
워드캠프 서울 2010 세션 1 - 파트 3 임민형 (큐로보프레스 개발자)
Citation preview
WordPress Plugin & Security임민형
㈜시맨틱스큐로보프레스WordCamp Seoul 2010
PowerPoint template by Lester Chan http://lesterchan.net/
Overview
• 플러그인 이란?
• 플러그인 설치
• 플러그인 개발
• 플러그인과 보안
• 보안 대책
WordPress Plugin & Security [ 2 ]
플러그인이란?
[ 3 ] WordPress Plugin & Security
[ 4 ]
10,385104,089,948
플러그인이란?
• 워드프레스에 다양한 기능을 쉽게 추가
WordPress Plugin & Security [ 5 ]
<방문자 통계>
플러그인이란?
• 워드프레스에 다양한 기능을 쉽게 추가
WordPress Plugin & Security [ 6 ]
<눈내리는 효과>
플러그인이란?
• 워드프레스에 다양한 기능을 쉽게 추가
WordPress Plugin & Security [ 7 ]
<모바일 웹브라우저을 위한 페이지 변환>
플러그인이란?
• 워드프레스에 다양한 기능을 쉽게 추가
WordPress Plugin & Security [ 8 ]
<이미지 3D Wall>
플러그인이란?
• 워드프레스에 다양한 기능을 쉽게 추가
WordPress Plugin & Security [ 9 ]
<트위터 위젯>
플러그인설치
[ 10 ] WordPress Plugin & Security
플러그인 설치
• Dashboard를 통한 자동 설치
WordPress Plugin & Security [ 11 ]
플러그인 설치
• Dashboard를 통한 자동 설치
WordPress Plugin & Security [ 12 ]
플러그인 설치
• WordPress.org 또는 기타 웹을 통한 수동설치
WordPress Plugin & Security [ 13 ]
플러그인 설치
• WordPress.org 또는 기타 웹을 통한 수동설치
WordPress Plugin & Security [ 14 ]
/wp-content/plugins/
플러그인 적용
• 설치한 플러그인의 적용
WordPress Plugin & Security [ 15 ]
플러그인개발
[ 16 ] WordPress Plugin & Security
플러그인 개발
• Hooks(Hooking)• Actions• Filiters
Wordpress Plugin & Security [ 17 ]
• Hooks란?– 사전적 정의 : (갈)고리, 걸이; (낚싯바늘로) 낚다 등– S/W 관점: 각종 프로그램에서 발생하는 기능호출, 메시지, 이벤트 등을 중간에서 바꾸거나 가로채는기술.
– 주로 크래킹의 관점에서 사용. (예)키로거
WordPress Plugin & Security [ 18 ]
플러그인 개발
WordPress Plugin & Security [ 19 ]
플러그인 개발
• Anctions란?– 사전적 정의 : 행동, 조치, 동작– Actions는 워드프레스가 동작할 때 후킹을 지원하는
Action API를 이용하여 직접 만든 PHP function들을원하는 부분에서 실행이 되도록 함.
– Actions Functions(has_action, add_action 등)
플러그인 개발
WordPress Plugin & Security [ 20 ]
• Filters란?– 사전적 정의 : 여과, 필터(특정정보차단) 등– Filters는 워드프레스가 동작할 때 후킹을 지원하는
Filter API를 이용하여 어떤 값이 데이터베이스 또는브라우저에 보내어 지기 전에 수정하도록 함.
– Filter Functions(has_filter, add_filter 등)
플러그인 개발
WordPress Plugin & Security [ 21 ]
• 플러그인 개발 기본 구조/*Plugin Name : 플러그인 이름Plugin URI : 플러그인 홈페이지Description: 플러그인 설명Author : 개발자Version : 버전Author URI : 개발자 홈페이지*/function 사용자정의함수(){
}플러그인 API함수(‘hook_name’,’사용자정의함수’);
플러그인 개발
WordPress Plugin & Security [ 22 ]
• 워드프레스 함수의 이용– DB에 저장된 관리자 이메일을 블로그 메인 상단에출력하는 플러그인
플러그인 개발
WordPress Plugin & Security [ 23 ]
[ 24 ]
• 타 서비스 API를 이용한 개발– 큐로보API를 이용한 포스트 등록 시 태그 자동 추출
플러그인 개발
WordPress Plugin & Security [ 25 ]
• 타 서비스 API를 이용한 개발– 큐로보API를 이용한 포스트 등록 시 태그 자동 추출
플러그인 개발
WordPress Plugin & Security [ 26 ]
• 타 서비스 API를 이용한 개발– 큐로보API를 이용한 포스트 등록 시 태그 자동 추출
플러그인 개발
WordPress Plugin & Security [ 27 ]
플러그인과보안
[ 28 ] WordPress Plugin & Security
플러그인과 보안
• 보안 이슈– 오픈소스로 취약점이 모두 공개– 서비스형 블로그보다 설치형 블로그가 공격 대상이될 확률이 높음
– 블로그는 개인의 정보가 많이 저장되어있음.
WordPress Plugin & Security [ 29 ]
• 원격 admin password 초기화(ver.2.8.3 이하)– Admin 계정 password 초기화– 새로운메일로초기화된 password를받음
보안 사고 사례
WordPress Plugin & Security [ 30 ]
보안 사고 사례
WordPress Plugin & Security [ 31 ]
• 지능형 웜(`10.04.08)– 특정글의링크를통해공격대상을정함– 스스로관리자계정을만듬– 자바스크립트를이용해스스로를숨겨인지하지못하도록함
• 대규모 악성코드 유포(`10.04.08)– Siteurl의값을변형– 악의적인웹사이트로연결하는 iFrame삽입– 해당사이트는악성코드를유포– 악성코드에감염되면또다른번형악성코드를설치– 허위백신을설치하여금전결제를유도
보안 사고 사례
WordPress Plugin & Security [ 32 ]
• 플러그인을 통한 해킹– twitme플러그인의다음소스삽입후재배포
– 각종정보수집
플러그인과 보안
WordPress Plugin & Security [ 33 ]
• 플러그인을 통한 해킹– 관련분야가아닌일반사용자에게는구분이어려움– 대부분의인터넷이용자비밀번호는동일– 이메일에는개인정보의집합체
플러그인과 보안
WordPress Plugin & Security [ 34 ]
워드프레스보안대책
[ 35 ] WordPress Plugin & Security
플러그인과 보안
보안 대책
• Admin 계정 및 패스워드 변경• Wp-config.php 접근 통제• 패스워드를 사용하는 플러그인은 주의• 지속적인 업데이트 관리
WordPress Plugin & Security [ 36 ]
File Name : .htaccess (permissions to chmod 644)
<Files wp-config.php>Order Deny, AllowDeny from All</Files>
– 추측을 통한 공격 예방(brute-force attack, forceful browsing)– 흔히 사용하는 관리자 계정보다는일반적인 계정이 상대적으로 보안을 높일 수 있는 방법
– 패스워드는 가급적 중요서비스와는 다르게 설정
감사합니다!Q&A
[ 37 ] WordPress Plugin & Security
WordCamp 2010 Seoul
![[Seoul e government] seoul map geospatial information platform](https://img.pdfslide.tips/doc/110x75/58776db91a28ab5b568b5269/seoul-e-government-seoul-map-geospatial-information-platform.jpg)
