단비스토어에서는 워드프레스에 대한 잘못된 정보를 바로 잡는 연재를 시작합니다.
주로 다룰 주제는 일반 사용자 뿐 아니라, 워드프레스 업계에 까지 잘못 알려진 것들입니다.
연재의 목적은 누군가를 비난하기 위해서가 아니라, 오해로 인한 피해를 막고 올바른 워드프레스 활용을 알리기 위해서입니다. 사실, 몇 가지는 수년 전에는 저희도 잘 모르던 내용도 있습니다.
연재의 첫 시작은 많은 분들을 괴롭히는 업데이트에 대한 오해입니다.

예전에 고객에게 사이트 설계에 대한 중간 리뷰 중에 발생한 일입니다.

고객으로 부터 업데이트가 안되어 있다는 클레임을 받았습니다. 저희가 부연 설명을 하긴 했지만, ‘당연히 항상 업데이트해야 한다’는 믿음이 확고해 조금 당황스러웠습니다. 해당 담당자는 수년간 워드프레스로 사이트를 제작하신 디자이너였습니다. (저희에게 설계를 의뢰하시는 고객의 50% 정도는 내부에 개발자나 디자이너가 있습니다.)

물론 저희도 최종 결과물은 모두 업데이트된 상태로 제공하죠. 하지만 이슈가 없다면, 설계 과정에서 업데이트에 시간을 쓰지는 않습니다. 이후에도 수 차례 비슷한 이야기를 들으면서, 제대로된 정보를 알리고 싶었습니다.

워드프레스의 보안 릴리즈는 최신이 아니어도 됩니다.

먼저, 워드프레스 자체 즉 코어는 너무 너무 오래된 버전이 아니라면, 자동으로 업데이트 됩니다. 사용 중인 윈도가 최신 버전이 아니라도 보안 업데이트가 적용되는 것과 같습니다.

WordPress versions 5.2.3 and earlier are affected by these bugs, which are fixed in version 5.2.4. Updated versions of WordPress 5.1 and earlier are also available for any users who have not yet updated to 5.2

– 5.2.4 보안 릴리즈 안내 문구 –

위의 보안 릴리즈 안내를 보면, 이전 버전에도 적용된다고 명시되어 있습니다. 예를 들어 당신의 사이트가 4.7.3을 사용하고 있다면, 보안 릴리즈에 따라 4.7.4로 자동으로 업데이트됩니다.

나머지는 보안 이슈가 있을 때!

워드프레스 관련 보안 취약성을 리포트하는 WPScan Vulnerability Database을 기준으로 보면, 매월 수십개의 플러그인과 테마의 보안 취약점이 올라옵니다. 그러나, 수 만개의 플러그인과 테마가 존재하는 걸 고려하면, 내 사이트에 해당하는 취약점은 그리 많지 않습니다.
저희가 관리하는 사이트를 기준으로 보면, 보통 1년에 5건 내외의 취약점이 보고되며 해당 사항만 업데이트하고 있습니다.

이렇게 해보세요.

워드프레스 관련 보안 뉴스를 모니터링 하거나, 민감하게 지켜볼 필요는 없습니다. 더군다나 모든 걸 최신 버전으로 업데이트 하느라 소중한 시간을 투자할 필요도 없습니다. 단지 아래의 간단한 프로세를 따르시면 됩니다.

취약점 모니터링
WordFence 같은 보안 플러그이이나 MangeWP와 같은 웹 서비스를 이용해 내가 사용하는 플러그인, 테마의 취약점에 대해 리포트를 받습니다.

선택적인 업데이트
해당 플러그인과 테마에 대해서만 업데이트합니다. 물론 기존 버전은 백업하는 게 좋습니다. FTP 등을 이용해 직접 백업하는 것도 좋고, WP Rollback 같은 플러그인을 써도 됩니다.

단, 국내 플러그인은 상시 업데이트

국내에서만 사용되는 플러그인은 취약점 리포트가 반영되지 않을 가능성이 높습니다. 따라서, 국내 플러그인은 최신 버전 유지를 추천드립니다.

최신 버전은 ‘최선’이 아니라 ‘신상’

모든 소프트웨어의 최신 버전은 장단점이 공존하고, 이걸 선택하는 건 당신의 몫입니다. 하지만, 보안을 이유로 모든 걸 최신으로 업데이트하실 필요는 없습니다.
모든 CMS(Content Management System)의 가장 큰 목적은 운영 효율성입니다. 당연히 워드프레스도 마찬가지입니다. 당신과 동료의 소중한 시간을 지키는 것이 중요합니다.