멀웨어 감염으로 인해 워드프레스 관리자 페이지 로그인 오류 문제

워드프레스 정보를 제공하는 블로그 Avada 2021. 10. 15. 16:44 • 댓글:

클라께서 워드프레스 관리자 페이지에 로그인하지 못하는 문제로 연락해왔습니다. 문제를 살펴보니 로그인 오류 문제의 원인이 멀웨어(악성코드) 감염으로 인한 것이었습니다. 워드프레스 관리자 페이지에 로그인할 수 없는 문제의 원인은 다양합니다. 드물지만 멀웨어 감염으로 인해 관리자 페이지에 로그인하지 못하는 경우도 있습니다.

멀웨어 감염으로 인해 워드프레스 관리자 페이지 로그인 오류 문제

워드프레스 사이트는 정상적으로 작동하지만 관리자 페이지에 로그인을 시도하면 "Warning: require(/www/wp-admin/wp-blog-header.php): failed to open stream: No such file or directory in /www/wp-admin/index.php on line 20..." 오류가 발생하면서 관리자 페이지에 접속하지 못하는 문제를 맡게 되었습니다.

FTP에 접속해보니 이상한 파일이 생성되어 있었습니다.

위의 그림에서 about.php 파일과 sts.php 파일은 워드프레스 설치 파일에 포함되지 않는 파일입니다. 이상한 파일들이 생성되어 있으면 사이트가 멀웨어에 감염되었을 가능성이 높습니다.

실제로 위의 파일들의 내용을 보기 위해 다운로드를 시도하니 시스템에서 바이러스로 인식하면서 파일을 삭제했습니다. 

또한, 이번에는 모든 폴더에 .htaccess 파일이 생성되어 있었고, .htaccess 파일에 다음과 같은 코드가 포함되어 있었습니다.

<FilesMatch ".(py|exe|php)$">
 Order allow,deny
 Deny from all
</FilesMatch>
<FilesMatch "^(about.php|radio.php|index.php|content.php|lock360.php)$">
 Order allow,deny
 Allow from all
</FilesMatch>

Deny direct access to all .php files except index.php 문서에 의하면 index.php 파일에만 접근이 가능하도록 하고 싶은 경우 다음과 같은 코드를 .htaccess 파일에 추가할 수 있습니다.

<Files *.php>
    Order Deny,Allow
    Deny from all
    Allow from 127.0.0.1
</Files>

<Files index.php>
    Order Allow,Deny
    Allow from all
</Files>

각 폴더 내의 .htaccess 파일에 포함된 코드 때문에 관리자 페이지에 접속할 수 없는 문제가 발생했던 것으로 보입니다.

 

about.php, radio.php, content.php, lock360.php 파일도 워드프레스 설치 파일에 없는 파일입니다.

악성코드 제거 작업을 하면서 각 폴더에 있는 모든 .htaccess 파일도 삭제했습니다. 그리고 Wordfence 플러그인을 설치하여 멀웨어가 남아있는지 체크했습니다.

참고로 카페24에 Wordfence를 설치하여 멀웨어 스캔을 실행하니 'Fatal error: Allowed memory size of 536870912 bytes exhausted (tried to allocate 1052672 bytes) in ...' 오류가 발생하면서 스캔에 실패했습니다.

이 경우 보통 PHP 메모리 제한 크기를 늘려주면 문제가 해결됩니다만, 카페24에서는 이상하게 이 문제가 해결되지 않아 조금 시간이 걸렸습니다. (이 문제를 해결하는 방법에 대해서는 시간이 될 때 한 번 정리해보겠습니다.)

마치며

워드프레스 자체는 보안에 강하지만 잘못된 보안 관행 때문에 악성코드에 감염되거나 해킹을 당할 수 있습니다. 이번에 문제가 된 사이트의 경우 워드프레스 관리자 아이디와 비밀번호가 보안에 취약하게 설정되었고, 보안 플러그인 등이 설치되어 있지 않았습니다.

1) 워드프레스, 테마, 플러그인을 항상 최신 버전으로 업데이트하고, 2) 오랫동안 업데이트가 안 되는 플러그인은 삭제하고, 3) 비밀번호는 숫자와 특수문자 등을 포함하여 강력하게 설정하는 것이 바람직합니다. 그리고 보안 플러그인이 보안에 도움이 되며, 정기적으로 백업하는 것도 매우 중요합니다.

멀웨어에 감염될 경우 웹호스팅 업체에서 제공하는 복원 서비스를 통해 문제가 해결되지 않는 경우가 많습니다. 가령 카페24의 경우 지난 7일간의 백업본을 유지하고 있습니다. 그 이전에 멀웨어에 감염된 경우 7일 전 데이터로 복원해도 문제는 해결되지 않습니다.

멀웨어 등의 문제로 인해 어려움을 겪는 경우 여기에서 서비스(유료)를 의뢰하실 수 있습니다.

참고

https://avada.tistory.com/411

 

워드프레스 멀웨어 악성코드 치료 및 복구

지난 주에는 여러 건의 멀웨어에 감염된 워드프레스 사이트를 복구하는 일을 맡았습니다. 악성코드에 감염된 사이트를 치료하면서 업데이트와 백업이 얼마나 중요한지 새삼 느끼게 되었습니다

avada.tistory.com

https://avada.tistory.com/2402

 

워드프레스 Divi 테마용 무료 블로거 레이아웃 팩 (Blogger Layout Pack) 공개

인기 워드프레스 테마 중 하나인 Divi 테마용 무료 블로거 레이아웃 팩(Blogger Layout Pack)이 10월 4일(우리나라 시각으로 10월 5일 새벽)에 공개되었습니다. Divi 테마를 개발한 Elegant Themes에서는 매주

avada.tistory.com