워드프레스, 최신 업데이트에 집착할 필요는 없습니다.

수개월 전 모 스타트업으로부터 자사 사이트에 대한 리뷰 요청을 받았습니다. 해당 사이트는 수십 개의 플러그인 설치된 상태였는 데 놀랍게도 워드프레스, 테마, 플러그인 업데이트 알림이 전혀 없는 최신 버전이었습니다.

왜 모두 최신 버전을 유지하는 지 여쭤봤더니, 웹에서 그래야 한다고 봤다는 답변을 들었습니다. 속으로 스타트업 업데이트에 얼마나 많은 시간을 썼을지 생각하니 안타까운 생각이 들었습니다.

사실 최근에도 어떤 블로그에서 최신 버전을 유지해야 한다는 글을 보고 이 글을 씁니다.

보안과 업데이트는 무관한 경우가 많습니다.

소프트웨어의 업데이트 크게 기능의 변경(추가, 수정, 삭제)과 버그 수정(보안 취약성, 기타 기능적 오류)로 나누어 볼 수 있습니다. 당연히 보안 취약성 해소가 아닌 다른 목적으로 이루어지는 업데이트가 많습니다. 따라서, 보안을 위해 항상 최신 버전을 유지라하는 건 논리적 모순입니다.

역으로 새로운 기능 변경을 위해 새로운 버그가 포함될 수도 들어갈 수도 있습니다. 이건 모든 소프트웨어의 숙명과도 같습니다. 최신 업데이트는 ‘최선’이 아니라 그냥 ‘신상’이라고 이애하는 게 좋습니다. 모든 소프트웨어의 최신 버전은 장단점이 공존하고, 이걸 선택하는 건 사용자의 몫입니다. 하지만, 보안을 이유로 모든 걸 최신으로 업데이트할 필요는 없습니다. 

가장 큰 비용은 시간입니다.

워드프레스 관련 업데이트에는 백업, 업데이트, 점검과 같은 시간이 들어갑니다. 개인이 취미나 관심, 학습을 목적으로 워드프레스를 계속 업데이트하는 건 아무 문제도 되지 않습니다. 하지만, 기업이라면 문제가 달라집니다.

대부분의 IT기업 또는 IT부서에서 가장 큰 비용을 차지하는 건 인건비입니다. 그리고, 워드프레스를 포함한 모든 CMS(Content Management System)의 가장 큰 도입 목적도 이를 해소하는 데에 있습니다. 최신 버전 유지는 역설적으로 워드프레스 도입 목적을 훼손할 수 있습니다.

코어의 보안은 자동 업데이트됩니다.

워드프레스 코어는 너무 오래된 버전이 아니라면, 자동으로 업데이트됩니다.  사용 중인 윈도가 최신 버전이 아니라도 보안 업데이트가 적용되는 것과 같습니다.

WordPress versions 5.2.3 and earlier are affected by these bugs, which are fixed in version 5.2.4. Updated versions of WordPress 5.1 and earlier are also available for any users who have not yet updated to 5.2

– 5.2.4 보안 릴리즈 안내 문구 –

위의 보안 릴리즈 안내를 보면, 이전 버전에도 적용된다고 명시되어 있습니다. 예를 들어 당신의 사이트가 4.7.3을 사용하고 있다면, 보안 릴리즈에 따라 4.7.4로 자동으로 업데이트됩니다.

필요할 때 때 업데이트하면 됩니다.

테마, 플러그인에 보안 취약점이 있을 떄

보안취약점이 있으면 당연히 업데이트해야 합니다. 워드프레스 관련 보안 취약성을 리포트하는 WPScan Vulnerability Database을 기준으로 보면, 매월 수십개의 플러그인과 테마의 보안 취약점이 올라옵니다. 그러나, 수 만개의 플러그인과 테마가 존재하는 걸 고려하면, 내 사이트에 해당하는 취약점은 그리 많지 않습니다. 
저희 회사가 관리하는 사이트를 기준으로 보면, 보통 1년에 3~10건 내외의 취약점이 보고되며 해당 사항만 업데이트하고 있습니다.

어떤 테마, 플러그인이 보안취약점이 있는지 알기 위해 관련 뉴스를 모니터링할 필요는 없습니다. WordFence, MangeWP 같은 플러그인이나 SaaS를 이용해 보안취약점에 대한 알림을 받으면 됩니다.

필요한 기능이 추가되었을 때

사실 새로운 기능 때문에 업데이트하는 경우는 그리 많지 않습니다. 꼭 필요한 기능이었다면 해당 테마나 플러그인을 애초에 선택하지 않았을 테니까요. 하지만 사이트를 활발하게 사이트를 변경하는경우에 해당 기능이 필요하다면 그때 업데이트하면 됩니다.

이를 위해 업데이트 알림이 있을 때마다 매번 변경로그(Changelog)를 클릭할 필요는 없습니다. 주요 기능변화가 있다며 해당 개발사의 뉴스레터나 블로그 등에 해당 내용이 올라옵니다. 웹사이트가 사용하는 테마, 주요 플러그인 개발사의 블로그나 뉴스레터를 구독하면 됩니다.

단, 국내 전용 플러그인의 경우 사용자 규모가 적어 제대로 리포팅되지 않을 확률이 높습니다. 따라서 국내 전용 플러그인은 예외적으로 보안 변경로그를 잘 보거나 최신 버전 사용을 추천합니다.

호스팅 환경이 변경되었을 때

잘 관리되는 있는 워드프레스 전용 호스팅은 Nginx, PHP가 유지보수 버전에서 누락되는 경우 이를 호스팅 환경에서 제외합니다. 예를 들어 PHP 7.2에서 빌드된 사이트인 데 호스팅 업체에서 해당 버전의 지원을 중단하는 경우 어쩔 수 없이 업데이트해야 합니다.

그래도 2년에 한 번 정도는 전체 업데이트를

앞서 최신 버전 업데이트에 시간을 낭비하지 말라고 말씀 드렸지만, 당연히 최신 버전의 소프트웨어가 제공하는 기술적 혜택은 분명히 존재합니다. 때로는 최신 기능일 수도 있고, 더 빠른 성능일 수도 있습니다.

개인적으로 2년 정도 주기로 전체 업데이트를 권장합니다. 역동적으로 관리되는 사이트라면 대부분 그 이전에 리뉴얼을 하는 경우가 많아 이를 전체 업데이트의 기회로 삼으면 좋습니다.