워드프레스 3.0.2 보안 업데이트
지난 주 화요일(2010.11.30)에 워드프레스가 3.0.2로 업데이트됐습니다. 이번 업데이트는 SQL 인젝션 보안 위험에 따른 것으로, 의무사항입니다. 이는 사용자 권한에 대한 취약점으로, 팀 블로그처럼 다중 사용자가 운영하는 블로그라면 반드시 업데이트해야 합니다. 자세한 내용은 워드프레스 공식문서(codex)를 참조하세요.
권한이 제한된 일반 사용자(Author)가 관리자(Admin)의 권한을 행사하여, 글을 수정하거나 지울 수도 있고, 경우데 따라 폐쇄할 수도 있습니다. 서로 믿는 분들과 함께 하는 팀 블로그라더라도, 신뢰의 문제를 떠나 권한과 책임 문제 측면에서 위험을 제거할 필요가 있습니다.
이번 취약점은 워드프레스 3.0.1 이하 모든 버전에서 발견됐기에, 워드프레스 2.xx 의 구버전 블로그도 꼭 업데이트해야 합니다.
워드프레스 2.7 이후부터 자동 업데이트 기능이 제공되고 있습니다. 버튼만 한번 클릭하면 워드프레스 코어 뿐만 아니라, 각종 플러그인들도 쉽고 빠르게 업데이트할 수 있습니다. 물론 한꺼번에(bulk) 업데이트할 수도 있습니다. 이 기능을 사용하다보면, 파이어폭스(Firefox) 브라우저처럼 데스크탑 응용 프로그램 못지 않게 편리한 업데이트를 진행할 수 있습니다.
워드프레스 2.7 이전부터 사용해 왔다면, 자동 업데이트할 때 FTP 아이디와 비밀번호를 요청할 수 있습니다. 이럴 땐 wp-config.php에 FTP 아이디와 비밀번호를 입력해서, 다음부턴 원클릭으로 업데이트할 수 있습니다.