S1.part.3.word camp seoul-2010-wordpress-lmh
Upcoming SlideShare
Loading in...5
×
 

S1.part.3.word camp seoul-2010-wordpress-lmh

on

  • 2,495 views

워드캠프 서울 2010

워드캠프 서울 2010

세션 1 - 파트 3

임민형 (큐로보프레스 개발자)

Statistics

Views

Total Views
2,495
Views on SlideShare
1,566
Embed Views
929

Actions

Likes
2
Downloads
29
Comments
0

12 Embeds 929

http://203.253.78.138 401
http://ssamture.net 313
http://wordcamp.wordpress.kr 186
http://wordcamp.kopress.kr 12
http://dev.ssamture.net 5
url_unknown 3
http://bloter.ssamture.net 3
http://www.jsd.or.kr 2
http://webcache.googleusercontent.com 1
http://ssamture.phps.kr 1
http://127.0.0.1 1
http://kopress.kr 1
More...

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

S1.part.3.word camp seoul-2010-wordpress-lmh S1.part.3.word camp seoul-2010-wordpress-lmh Presentation Transcript

  • WordPress Plugin & Security 임민형 ㈜시맨틱스 큐로보프레스 WordCamp Seoul 2010 PowerPoint template by Lester Chan http://lesterchan.net/
  • Overview • 플러그인 이란? • 플러그인 설치 • 플러그인 개발 • 플러그인과 보안 • 보안 대책 WordPress Plugin & Security [2]
  • 플러그인이란? WordPress Plugin & Security [3]
  • 104,089,948 10,385 [4]
  • 플러그인이란? • 워드프레스에 다양한 기능을 쉽게 추가 <방문자 통계> WordPress Plugin & Security [5]
  • 플러그인이란? • 워드프레스에 다양한 기능을 쉽게 추가 <눈내리는 효과> WordPress Plugin & Security [6]
  • 플러그인이란? • 워드프레스에 다양한 기능을 쉽게 추가 <모바일 웹브라우저을 위한 페이지 변환> WordPress Plugin & Security [7]
  • 플러그인이란? • 워드프레스에 다양한 기능을 쉽게 추가 <이미지 3D Wall> WordPress Plugin & Security [8]
  • 플러그인이란? • 워드프레스에 다양한 기능을 쉽게 추가 <트위터 위젯> WordPress Plugin & Security [9]
  • 플러그인 설치 WordPress Plugin & Security [ 10 ]
  • 플러그인 설치 • Dashboard를 통한 자동 설치 WordPress Plugin & Security [ 11 ]
  • 플러그인 설치 • Dashboard를 통한 자동 설치 WordPress Plugin & Security [ 12 ]
  • 플러그인 설치 • WordPress.org 또는 기타 웹을 통한 수동설치 WordPress Plugin & Security [ 13 ]
  • 플러그인 설치 • WordPress.org 또는 기타 웹을 통한 수동설치 /wp-content/plugins/ WordPress Plugin & Security [ 14 ]
  • 플러그인 적용 • 설치한 플러그인의 적용 WordPress Plugin & Security [ 15 ]
  • 플러그인 개발 WordPress Plugin & Security [ 16 ]
  • 플러그인 개발 • Hooks(Hooking) • Actions • Filiters Wordpress Plugin & Security [ 17 ]
  • 플러그인 개발 • Hooks란? – 사전적 정의 : (갈)고리, 걸이; (낚싯바늘로) 낚다 등 – S/W 관점: 각종 프로그램에서 발생하는 기능호출, 메시지, 이벤트 등을 중간에서 바꾸거나 가로채는 기술. – 주로 크래킹의 관점에서 사용. (예)키로거 WordPress Plugin & Security [ 18 ]
  • 플러그인 개발 WordPress Plugin & Security [ 19 ]
  • 플러그인 개발 • Anctions란? – 사전적 정의 : 행동, 조치, 동작 – Actions는 워드프레스가 동작할 때 후킹을 지원하는 Action API를 이용하여 직접 만든 PHP function들을 원하는 부분에서 실행이 되도록 함. – Actions Functions(has_action, add_action 등) WordPress Plugin & Security [ 20 ]
  • 플러그인 개발 • Filters란? – 사전적 정의 : 여과, 필터(특정정보차단) 등 – Filters는 워드프레스가 동작할 때 후킹을 지원하는 Filter API를 이용하여 어떤 값이 데이터베이스 또는 브라우저에 보내어 지기 전에 수정하도록 함. – Filter Functions(has_filter, add_filter 등) WordPress Plugin & Security [ 21 ]
  • 플러그인 개발 • 플러그인 개발 기본 구조 /* Plugin Name : 플러그인 이름 Plugin URI : 플러그인 홈페이지 Description: 플러그인 설명 Author : 개발자 Version : 버전 Author URI : 개발자 홈페이지 */ function 사용자정의함수(){ } 플러그인 API함수(‘hook_name’,’사용자정의함수’); WordPress Plugin & Security [ 22 ]
  • 플러그인 개발 • 워드프레스 함수의 이용 – DB에 저장된 관리자 이메일을 블로그 메인 상단에 출력하는 플러그인 WordPress Plugin & Security [ 23 ]
  • [ 24 ]
  • 플러그인 개발 • 타 서비스 API를 이용한 개발 – 큐로보API를 이용한 포스트 등록 시 태그 자동 추출 WordPress Plugin & Security [ 25 ]
  • 플러그인 개발 • 타 서비스 API를 이용한 개발 – 큐로보API를 이용한 포스트 등록 시 태그 자동 추출 WordPress Plugin & Security [ 26 ]
  • 플러그인 개발 • 타 서비스 API를 이용한 개발 – 큐로보API를 이용한 포스트 등록 시 태그 자동 추출 WordPress Plugin & Security [ 27 ]
  • 플러그인과 보안 WordPress Plugin & Security [ 28 ]
  • 플러그인과 보안 • 보안 이슈 – 오픈소스로 취약점이 모두 공개 – 서비스형 블로그보다 설치형 블로그가 공격 대상이 될 확률이 높음 – 블로그는 개인의 정보가 많이 저장되어있음. WordPress Plugin & Security [ 29 ]
  • 보안 사고 사례 • 원격 admin password 초기화(ver.2.8.3 이하) – Admin 계정 password 초기화 – 새로운 메일로 초기화된 password를 받음 WordPress Plugin & Security [ 30 ]
  • 보안 사고 사례 • 지능형 웜(`10.04.08) – 특정 글의 링크를 통해 공격대상을 정함 – 스스로 관리자계정을 만듬 – 자바스크립트를 이용해 스스로를 숨겨 인지하지 못하도록 함 WordPress Plugin & Security [ 31 ]
  • 보안 사고 사례 • 대규모 악성코드 유포(`10.04.08) – Siteurl의 값을 변형 – 악의적인 웹사이트로 연결하는 iFrame 삽입 – 해당 사이트는 악성코드를 유포 – 악성코드에 감염되면 또다른 번형 악성코드를 설치 – 허위백신을 설치하여 금전 결제를 유도 WordPress Plugin & Security [ 32 ]
  • 플러그인과 보안 • 플러그인을 통한 해킹 – twitme 플러그인의 다음 소스 삽입 후 재 배포 – 각종 정보 수집 WordPress Plugin & Security [ 33 ]
  • 플러그인과 보안 • 플러그인을 통한 해킹 – 관련 분야가 아닌 일반 사용자에게는 구분이 어려움 – 대부분의 인터넷 이용자 비밀번호는 동일 – 이메일에는 개인정보의 집합체 WordPress Plugin & Security [ 34 ]
  • 플러그인과 보안 워드프레스 보안 대책 WordPress Plugin & Security [ 35 ]
  • 보안 대책 • Admin 계정 및 패스워드 변경 – 추측을 통한 공격 예방(brute-force attack, forceful browsing) •– Wp-config.php 접근 통제 흔히 사용하는 관리자 계정보다는 • 패스워드를 사용하는 플러그인은 주의 일반적인 Name : .htaccess (permissions to chmod 644)방법 File 계정이 상대적으로 보안을 높일 수 있는 – 패스워드는 가급적 중요서비스와는 다르게 설정 <Files wp-config.php> • 지속적인 업데이트 관리 Order Deny, Allow Deny from All </Files> WordPress Plugin & Security [ 36 ]
  • WordCamp 2010 Seoul 감사합니다! Q&A WordPress Plugin & Security [ 37 ]