해킹으로 인한 워드프레스 사이트 멀웨어 감염 치료 및 복원
어제는 이상한 광고 사이트로 리디렉션되는 멀웨어(악성코드)에 감염된 사이트를 치료하고 복구하는 작업을 맡았습니다.
사이트를 살펴보니 관리자 아이디와 비밀번호가 취약하여 봇에 의해 해킹된 후에 멀웨어가 심어진 것처럼 보였습니다. 사이트에 접속하면 외부 사이트로 이동하게 되어 관리자 페이지에도 접속할 수 없었습니다.
의심스러운 파일을 모두 제거하고 관리자 페이지에 로그인해보니 예상대로 이상한 관리자 계정이 하나 추가되어 있었습니다. 그리고 이미지 업로드 폴더에 삭제할 수 없는, modify로 시작하는 이상한 파일들이 생성되어 있었습니다.
닷홈에 요청하여 삭제해달라고 했지만 '서버 측에서도 확인해 본 결과 첨부 이미지에 보여지는 modify로 시작하는 파일은 조회가 되지 않습니다'라는 답변을 받았습니다.
이 파일들은 멀웨어에 감염된 상태에서 생성되는 임시 파일이 아닐까 추정해봅니다. 멀웨어를 모두 제거하고 오늘 확인해보니 더 이상 위의 그림과 같은 파일들이 없네요.
의심스러운 파일을 모두 삭제하고 멀웨어 스캔을 해보니 1000개가 넘는 파일이 멀웨어에 감염되었다고 표시되었습니다. 어쩔 수 없이 모든 파일을 교체하는 작업에 착수했지만, 사이트 속도가 너무 느려서 작업이 쉽지 않았습니다. 특히 비주얼 컴포저를 활성화하면 사이트가 매우 느려졌습니다.
사이트가 느린 이유는 여러 가지가 있겠지만 웹호스팅 서버 자체가 안 좋아서 워드프레스 테마와 플러그인에서 요구하는 사양에 부합하지 않은 것이 주된 이유처럼 보였습니다. 그래서 닷홈에 다시 PHP 환경 설정값을 높여줄 수 있는지 문의해보았습니다.
예상했지만, 위와 같은 답변을 받았습니다. '다른 사용자와 서버를 공유하는 쉐어링(공유) 서비스의 특성상 서버의 전역 설정의 수정은 도움드리기 어려운 점 양해 바랍니다. 만약, 전역 설정의 수정을 원하시는 경우 서버의 설정을 직접 하실 수 있는 서버호스팅을 이용하시는 것을 권장 드립니다.'
PHP 버전도 낮은 편이어서 PHP 7.0 이상으로 업그레이드가 가능한지도 함께 문의하니 신규로 신청하여 이용할 수 있다고 하네요.
사이트 속도가 너무 느려서 작업 시간이 예상보다 길어졌습니다. 복구를 완료한 후에 사이트에 접속은 가능하지만 관리자 페이지(www.example.com/wp-admin)에 접속하면 503 오류가 발생했습니다. (이 문제를 클라이언트에게 물어보니 닷홈에 호스팅 중인 다른 사이트에서도 관리자 페이지에 접속할 수 없는 문제가 간혹 나타난다고 하네요.)
이 문제가 워드프레스 문제인지 아니면 웹호스팅 문제인지 확인하기 위해 사이트를 사이트그라운드(Siteground)로 그대로 복제하여 테스트해보았습니다. 테스트 사이트로 이전해보니 관리자 페이지에 문제 없이 접속이 되었고, 비주얼 컴포저로 인한 심각한 속도 저하 문제도 나타나지 않았습니다. 사이트 자체에 속도를 느리게 하는 몇 개의 플러그인이 사용되고 있어서 느린 감이 있었지만, 캐시 플러그인 설치, 불필요한 기능 비활성화 등의 최적화 조치를 통해 어느 정도의 속도 개선은 가능해 보입니다.
멀웨어 치료 및 복구 작업을 할 때마다 느끼는 바지만, 사이트가 감염되면 사이트 평판에 치명적인 손상을 입을 수 있고 복구하기가 쉽지 않습니다. 그리고 복구하더라도 보안 취약점을 제거하지 않으면 사이트가 다시 감염되기도 합니다.
그러므로 악성코드에 감염되기 전에 미리 보안 조치를 하여 대비하는 것이 중요한 것 같습니다. 워드프레스 악성코드 감염이나 각종 워드프레스 문제로 인해 어려움을 겪는 경우 이 페이지에서 유료 서비스를 의뢰하실 수 있습니다.