파일이나 폴더의 권한을 777로 설정하는 것이 위험하다는 것은 잘 알려져 있습니다.
간혹 파일 권한 문제로 인해 웹호스팅 업체에서 폴더나 파일의 권한을 777로 설정하라고 제시하는 경우가 있습니다. 하지만 WordPress.org에서는 777로 권한을 설정하는 것을 피해야 한다고 명시하고 있습니다.
Avoid having any file or directory set to 777.
권한에 문제가 있는 경우 폴더는 755, 파일은 644로 설정하여 문제가 해결되는지 확인해보시기 바랍니다.
서버를 직접 운영하는 경우에는 폴더의 권한을 직접 설정하여 문제를 해결할 수 있습니다.
예시:
chown -R {username}:apache uploads/
find ./uploads/ -type d -exec chmod 2775 {} \;
find ./uploads/ -type f -exec chmod 664 {} \;
웹호스팅을 맡기고 있는 경우 웹호스팅 업체와 논의해야 하여 문제 해결을 시도해 보아야 할 것입니다.
어제 PHP 7.3으로 세팅된 웹호스팅 서버에서 운영되던 워드프레스 사이트가 접속이 되지 않는 문제를 맡게 되었습니다. 담당자에 의하면 777 권한 때문에 디도스 공격을 받았다고 하네요.
사이트를 살펴보니 테마와 플러그인이 2017년도에 처음 사이트가 만들어진 이후에 한 번도 업데이트가 되지 않았고, 워드프레스만 최신 버전으로 업데이트되어 있었습니다.
조금 더 살펴보니 사이트에 설치된 아바다 테마와 모든 플러그인이 멀웨어에 감염되어 있었습니다.
2017년도에 백업해 놓은 파일들로 복원하여 사이트는 정상화되었지만 사이트가 느리게 로딩되었고 아바다 테마가 제대로 작동하지 않았습니다. 테마를 최신 버전으로 업데이트하려고 시도하니 PHP 버전이 너무 낮아서 오류가 발생했습니다.
웹호스팅 업체는 워드프레스가 보안에 취약해서 그렇다면서 모든 것을 워드프레스 탓으로 돌리고 있다고 하네요.
하지만 웹호스팅의 PHP 버전이 너무 낮아서 테마와 플러그인을 업데이트하지 못하는 현상이 나타났고, 권한을 777로 설정해 놓는 바람에 보안 문제가 가중되었습니다.
워드프레스, 테마, 플러그인을 항상 새로운 버전으로 업데이트하고 오래된 플러그인은 사용하지 않는 것이 안전합니다.
워드프레스에서 권장하는 PHP 버전은 7.3 이상입니다. PHP 5.3을 비롯하여 PHP 5.x 버전은 수명 만료일(End-of-Life: EOL)이 이미 도래했기 때문에 PHP 5 버전을 사용하는 것은 보안상 안전하지 않습니다.
워드프레스는 보안 문제가 해결되고 성능이 향상된 새로운 버전이 지속적으로 릴리즈되고 있습니다. 안전하게 사이트를 운영하려면 항상 최신 버전을 유지하시기 바랍니다.
그리고 폴더나 파일의 권한을 777로 설정하면 위험하기 때문에 가급적 피하시기 바랍니다.