워드프레스 uploads 폴더나 다른 폴더에 위의 그림과 같이 이상한 파일이 생성되는 경우가 있을 수 있습니다.
이 경우 보통 멀웨어에 감염되어 나타나는 현상 중 하나입니다. 이런 파일을 모두 삭제해도 시간이 지나면 또 생성됩니다.
멀웨어/악성코드/해킹의 원인
다음과 같이 업데이트를 소홀히 하거나 보안에 신경을 쓰지 않을 때 해킹을 당하거나 멀웨어에 감염될 수 있습니다.
- 워드프레스 코어를 최신 버전으로 업데이트하지 하지 않는 경우
- 워드프레스 테마 또는 플러그인을 최신 버전으로 업데이트하지 않는 경우
- 관리자 ID로 admin, administrator나 사이트 도메인과 동일한 이름을 사용하는 경우
- 관리자 비밀번호가 너무 짧은 경우
- 오랫동안 업데이트되지 않은 플러그인/테마를 사용하는 경우
- 출처가 불분명한 곳에서 테마나 플러그인을 다운로드하여 사용하는 경우 (유료 테마나 플러그인을 불법적인 사이트에서 내려받으면 위험합니다. 악성 코드가 심어져있을 가능성이 높습니다.)
- 보안 문제가 있는 플러그인을 사용하는 경우 (누구나 플러그인을 만들 수 있기 때문에 보안에 문제가 있는 플러그인이 배포될 수도 있습니다. 항상 출처가 명확한 곳에서 다운로드받고 최신 버전으로 업데이트합니다.)
워드프레스는 보안에 강하지만 사이트 보안을 소홀히 하면 문제가 발생할 수 있습니다. 워드프레스가 인기 있는 CMS이다 보니 보안 취약점이 있는 워드프레스 사이트를 타겟으로 하는 많은 공격(주로 '봇'에 의한 공격)이 이루어집니다. (만약 사용자가 별로 없는 플랫폼이라면 아무리 허술한 시스템이라도 공격을 하는 악의적인 사용자는 별로 없을 것입니다.)
그러므로 워드프레스 코어, 테마, 플러그인을 최신 버전으로 유지하고 비밀번호를 매우 복잡하게 설정하는 등의 노력을 통해 안전하게 사이트를 운영할 수 있습니다.
그리고 정기적인 백업을 해주면 불의의 사고를 당하더라도 쉽게 복구할 수 있습니다.
멀웨어/해킹 시 증상
만약 악성코드에 감염되거나 해킹된다면 다음과 같은 증상이 발생할 수 있습니다.
- 방문자가 사이트를 방문할 때 이상한 광고가 표시됩니다. 경우에 따라 모바일에서만 광고가 표시되는 경우도 있습니다. 또, 간혹 로그인하지 않은 사용자들에게만 이런 증상이 나타나서 관리자가 문제를 빨리 인식하지 못할 수도 있습니다.
- 방문자가 사이트를 방문하면 이상한 사이트로 이동(리디렉션)할 수 있습니다.
- uploads 디렉터리나 다른 디렉터리에 이상한 파일이 생성됩니다.
- 사이트 트래픽이 증가하여 사이트가 다운되거나 차단될 수 있습니다. 비트코인 같은 암호화폐(가상화폐)를 채굴하는 코드가 심어지는 경우 사이트에 트래픽 부하가 발생할 수 있습니다.
- 사이트가 탈취당해 관리자 페이지에 로그인할 수 없게 될 수 있습니다.
조치
이런 문제가 발생할 경우 먼저 백업을 철저히 한 후에 악성코드 치료를 시도해야 합니다. 백업은 반드시 데이터 파일과 DB를 함께 해야 합니다. 간혹 FTP를 통해 데이터 파일(워드프레스 관련 파일)만 다운로드하는 경우가 있는데, 그러면 추후에 사이트를 복원할 수 없게 됩니다. 반드시 DB도 함께 백업합니다. DB는 phpMyAdmin에 접속하여 가능합니다.
phpMyAdmin을 통해 DB를 백업하는 방법은 워드프레스 테스트 사이트 만들기에서 "백업 다운로드하기" 부분을 참고해보시기 바랍니다.
만약 웹호스팅 업체에서 백업본을 제공하는 경우 이전 백업본으로 되돌려서 문제가 해결되는지 확인해봅니다. 예를 들어, 카페24의 경우 지난 7일 이내의 기간으로 롤백할 수 있습니다. 해외 호스팅 중 하나인 사이트그라운드(SiteGround)에서는 지난 30일 이내의 기간으로 되돌릴 수 있습니다. 블루호스트(Bluehost) 공유호스팅에서는 Daily(일간), Weekly(주간), Monthly(월간) 백업을 제공합니다.
간혹 사이트를 관리하지 않다가 너무 늦게 문제를 발견하는 경우가 있습니다. 또는, 관리자 계정으로 로그인했을 때 문제가 나타나지 않고 비로그인 사용자에게만 증상이 나타나는 멀웨어에 감염되면 관리자가 문제를 빨리 인식하지 못하는 경우도 있습니다.
드물지만 해커가 모든 설치 파일을 삭제하는 경우가 있습니다. 이 경우에는 백업 파일이 없으면 복구가 불가능합니다. 이런 경우는 매우 드물지만 한 번씩 이런 문제를 겪는 분을 봅니다. 이 상황에서는 웹호스팅에 연락하여 백업본이 없는지 문의하거나 사이트를 제작해준 업체에 연락하여 저장해놓은 파일이 없는지 확인할 수 있습니다.
백업본이 없어 롤백하는 것이 불가능하거나 너무 늦게 발견되어 복원을 해도 문제가 나타나는 경우에는, 백업을 한 후에 멀웨어 치료를 시도할 수 있습니다. 직접 멀웨어를 치료하고 싶은 경우 다음 글을 참고해보시기 바랍니다.
※ 사용자 리스트에 이상한 사용자가 있으면 모두 삭제하고, 관리자 아이디와 비밀번호, FTP 비밀번호, 웹호스팅 비밀번호까지 모두 변경하도록 합니다.
마치며
참고로 멀웨어를 제거하더라도 보안 취약점은 그대로 존재하게 됩니다. 이 때문에 멀웨어 치료 후에 재발하는 경우가 많습니다. 멀웨어 치료 후에는 보안 조치를 하여 문제가 재발하지 않도록 하는 것도 중요합니다.
멀웨어에 감염되어 사이트에 원치 않는 광고가 표시되거나 이상한 스팸 사이트나 카지노 도박 사이트나 게임 사이트 혹은 성인 사이트로 이동하게 되면 사이트 평판이 크게 손상될 수 있습니다. 그러므로 미리 대비하는 것이 최선입니다.
멀웨어 감염이나 해킹으로 인해 어려움을 겪는 경우 여기에서 서비스(유료)를 의뢰하실 수도 있습니다.
참고로 최근 워드프레스에 임의로 파일이 삭제될 수 있는 문제가 발견되어 4.9.7 버전에서 문제가 수정되었습니다. 만약 이전 버전을 사용하고 있다면 가급적 최신 버전으로 업데이트하시기 바랍니다. 오랫동안 업데이트를 하지 않았다면 백업을 받아놓은 후에 업데이트를 실시하거나 테스트 사이트를 만들어서 업데이트 테스트를 실시한 후에 업데이트를 하는 것이 안전합니다. 테스트 사이트를 만들어 테스트를 하는 방법은 다음 글을 참고해보세요.