WordPress 티켓 #30465가 10년 전에 개설되었습니다. 2025년이 마침내 해결되는 해가 될까요?
게시 됨: 2025-01-032014년 11월, Sergej Mueller라는 WordPress 개발자는 합리적인 우려를 제기했습니다. 즉, 보안상의 이유로 플러그인이 제거되더라도 사용자는 사용 중인 플러그인이 공식 저장소에서 제거되었는지 알 수 있는 방법이 없습니다. 그의 티켓(공식적으로 #30465)은 비교적 곧 종료되었지만 해결되지 않았습니다. Sergej는 이곳이 거의 10년 후에 다시 문을 열 것이라는 사실을 거의 알지 못했습니다.
그리고 2025년 초에 이에 대한 업데이트를 작성하게 되었습니다.
왜?
몇 가지 이유가 있습니다.
첫째, 이는 최근(정확하게는 지난해 10월) 발생한 일부 플러그인 보안 이벤트와 관련성이 높습니다. 이에 대해서는 곧 이야기하겠습니다. 둘째, 문제를 해결하려는 의지와 추진력이 어느 정도 뜨거워지고 있습니다. 티켓의 마지막 활동은 한 달도 채 되지 않았습니다.
그래서 Sergej의 인내심이 곧 결실을 맺게 될 것 같습니다…
티켓 개발 과정을 되돌아보는 것부터 시작해 보겠습니다. 그런 다음 최근 몇 주 동안 무슨 일이 일어났는지 살펴보겠습니다.
“고칠 수 없다”부터 WCEU 2023 무대에 오르는 것까지 🙅♂️
티켓이 처음 열렸을 때 몇 가지 응답을 받았지만 WordPress 수석 개발자 Andrew Nacin에 의해 상당히 빨리 종료되었습니다. 그는 해당 플러그인을 닫고 "수정되지 않음"이라고 표시하면서 보안 문제뿐만 아니라 다양한 이유로 플러그인 제거가 발생했다고 설명했습니다.
그 이후로 논평이 쇄도했지만, 문제를 되살리려는 누군가의 논평은 1년에 한 번 (때로는 그보다 적음) 한 번으로 끝났습니다.
그러다가 2023년 3월 에 흥미로운 일이 일어났습니다. WordPress 커뮤니티의 유명 인사인 Joost de Valk가 공식적으로 티켓을 다시 열었습니다 . 그의 주장은 WordPress가 사용자에게 플러그인이 유지되는지 여부를 알려줄 책임이 있다는 것입니다.
그는 또한 WordPress.org가 이미 플랫폼 자체에 이 정보를 표시하고 있지만 60일의 대기 기간이 지난 후에야 표시된다는 점을 지적했습니다. 그의 제안은 사용자가 실제로 플러그인을 관리하는 WordPress 백엔드에도 동일한 투명성을 제공하는 것이었습니다.
이는 스레드 전체에 새로운 열정의 물결을 일으켰습니다. 이 티켓은 너무 인기가 많아 Patchstack의 CEO이자 공동 창립자인 Oliver Sild가 WCEU 2023 연설에서 언급하기도 했습니다.
그는 이에 대해 언급했을 뿐만 아니라 프레젠테이션에 추가한 맞춤형 QR 코드를 사용하여 WCEU 참석자들이 스레드에 댓글을 남기도록 독려했습니다. 그는 또한 이 플러그를 Patchstack이 다음 해에 주최할 콘테스트의 지연된 골목길로 사용했습니다.
패치스택의 2024년 10월 이벤트 🪲
2024년 10월 Patchstack은 사이버 보안의 달을 맞아 버그 바운티 이벤트를 시작했습니다. Oliver가 WCEU 연설에서 티켓 #30465에 대해 언급한 것이 앨리웁이라면 이 이벤트의 결과는 슬램덩크가 될 것입니다.
행사에 참여한 보안 연구원들은 한 달 동안 무려 1,571건의 유효한 보안 취약점 보고서를 발견했습니다. 이는 단지 사소한 문제가 아니었습니다. 우리가 이야기하고 있는 것은 다음과 같습니다.
- 공격자가 악성 파일을 업로드할 수 있는 경우는 73개입니다.
- 67 전체 데이터베이스를 손상시킬 수 있는 SQL 주입 취약점.
- 공격자가 권한을 상승시키는 58가지 방법
- 17가지 원격 코드 실행 취약점
그 여파로 약 1,000개의 플러그인이 일시적으로 폐쇄되었습니다. 그리고 Patchstack이 이러한 문제에 대해 플러그인 개발자에게 연락하려고 시도했을 때 거의 74%에 완전히 연락할 수 없었습니다. 연락처 양식이 손상되었거나 이메일이 반송되었거나 도메인이 만료되었습니다.
흥미로운 점은 이러한 취약한 플러그인 중 상당수가 6~11년 동안 저장소에 보관되어 있었다는 것입니다. 일부는 17년까지 거슬러 올라갑니다! 그리고 그렇습니다. 이러한 플러그인을 사용하는 라이브 웹사이트가 아직 존재합니다.
말할 필요도 없이 Oliver는 스레드에서 이 모든 데이터를 활용하여 티켓 #30465를 완료할 수 있게 되었습니다. 그는 기꺼이 이를 활용했으며 이벤트에 대해 논의하는 공식 Patchstack 블로그 게시물이 게시되기 2주 전에 세부 정보 중 일부를 게시했습니다.
토론부터 실행까지 🛠️
Oliver가 댓글을 추가했을 때 스레드의 활동은 이미 눈덩이처럼 불어나고 있었기 때문에 개별적인 영향을 측정하기가 어렵습니다. 그러나 그것이 커지는 불꽃에 연료를 추가했다고 가정하는 것은 무리가 아닙니다. 특히 다른 사용자(적어도 한 명은 Patchstack 직원임)가 그의 논평을 공개적으로 지지하는 경우에는 더욱 그렇습니다.
이에 대한 응답으로 WordPress 수석 개발자 Dion Hulse(@dd32)는 여러 사항에 대해 약간의 반발을 표명했지만 오랫동안 기다려온 기능을 구현하는 실험적인 플러그인을 만들어 크게 발전했습니다.
구현은 매우 간단합니다. WordPress.org 저장소에서 플러그인이 닫히면 사용자에게 명확하지만 신중한 알림이 표시됩니다. 공황을 유발하는 빨간색 경고는 없으며 플러그인 상태에 대한 간단한 정보만 제공됩니다.
누군가 Sergej를 찾아서 "엄마, 우리가 해냈어요!" 라고 말해요.
음…거의요.
아직 WordPress 핵심의 일부는 아니지만 여기서 결승선에 가까워졌다는 느낌이 듭니다!
이제 이것이 가능하다는 것이 입증되었으므로 다음 단계는 최종 구현을 결정하는 것입니다. 그런 다음 WordPress 코어에 통합할 수 있습니다.
다음은 무엇입니까? 🎯
이 글을 쓰는 시점에서 이 기능은 WordPress 6.8(Dion Hulse 기준)에 포함하는 것이 고려되고 있지만 아직 해결해야 할 몇 가지 장애물이 있습니다. 여기에는 다음이 포함됩니다.
- 알림 시기를 확정합니다(60일 기간 연장 가능성에 대한 논의가 있음).
- 폐쇄 이유 문서 표준화.
- 사용자 인식과 개발자 지원 부담 간의 균형을 유지합니다.
- 정확한 위치 결정(사이트 상태 화면과 플러그인 예시 스크린샷에 표시된 것처럼 플러그인에서 직접).
큰 그림 🌐
WordPress 티켓 #30465의 발전은 지난 10년 동안 WordPress 보안이 어떻게 변화했는지에 대한 흥미로운 사실을 알려줍니다. 한때 극단적인 사례로 여겨졌던 문제는 생태계가 성장하고 보안 문제가 증가함에 따라 점점 더 중요해지고 있습니다.
여기에 도달하는 데 10년이 걸렸지만 실험적인 플러그인은 우리가 마침내 보안 인식과 사용자 경험의 균형을 맞추는 솔루션에 접근하고 있음을 시사합니다. 수백만 개의 WordPress 설치가 취약한 플러그인의 영향을 받을 가능성이 있기 때문에 이 기능은 빨리 제공될 수 없습니다.
개발 과정을 따라가려면 GitHub에서 실험적인 플러그인을 확인하거나 티켓 #30465를 주목하세요. 이는 10년 간의 대화가 실질적인 결과로 바뀌는 것을 목격하게 되는 흔치 않은 순간 중 하나일 수 있습니다. 💡
이 기능에 대해 어떻게 생각하시나요? 플러그인이 종료되었다는 알림을 받는 것이 WordPress 사용자로서 도움이 될 것이라고 생각하시나요? 댓글로 알려주세요. 거기서 뵙겠습니다.