워드프레스 악성코드(멀웨어) 제거 작업

워드프레스 사이트를 안전하게 운영하려면 워드프레스, 테마, 플러그인들을 항상 최신 버전으로 유지하고, 강력한 비밀번호를 사용하는 등 보안 수칙을 준수해야 합니다. 또한, 정기적으로 백업을 하면 사이트에 문제가 발생 시 사이트를 복원할 수 있습니다.

일부 웹호스팅 업체에서는 자동 백업본을 제공하기도 합니다. 하지만 호스팅 업체의 백업 기능에 의존하지 말고 직접 백업본을 다운로드하여 PC에 저장하는 것이 안전합니다.

워드프레스 악성코드(멀웨어) 제거 작업

악성코드(멀웨어)에 감염되는 사이트 대부분은 업데이트를 제대로 하지 않은 것이 원인인 것 같습니다. 오랫동안 업데이트가 안 되고 방치되는 플러그인도 삭제하는 것이 안전합니다. 업데이트를 소홀히 하면 사이트가 악성코드에 감염되거나 해킹을 당할 수 있습니다.

악성코드에 감염되면 방문자들이 사이트 접속 시 이상한 사이트로 이동하는 현상이 발생할 수 있습니다. 로그인 상태에서는 리디렉션이 발생하지 않아서 관리자가 오랜 기간 악성코드 감염 사실을 인지하지 못하는 경우도 있습니다.

멀웨어 감염이 의심되는 경우 FTP에 접속하여 워드프레스 관련 폴더를 살펴보면 이상한 이름의 파일들이 생성되어 있을수 있습니다.

위의 그림에서는 의미가 없는 이상한 글자로 된 PHP 파일들이 생성되어 있음을 볼 수 있습니다. 또한, 그리고 플러그인이나 테마 파일들이 감염되어 이상한 코드가 삽입되어 있는 경우가 많습니다. 

사이트가 해킹 당한 경우 해커가 이상한 플러그인을 설치하기도 합니다.

최근 멀웨어 제거 작업을 한 사이트에는 뉴스페이퍼(Newspaper) 테마가 설치되어 있었지만 Elementor 페이지 빌더와 다른 테마에 포함된 플러그인도 일부 설치되어 있었습니다. 그리고 오랫동안 업데이트가 되지 않아서 사실상 방치된 플러그인도 제법 있었습니다.

불필요한 플러그인은 모두 삭제하는 것이 안전합니다. 그리고 워드프레스 코어, 테마, 플러그인은 항상 최신 버전으로 업데이트하는 것이 좋습니다. 한동안 업데이트가 안 되고 방치된 플러그인은 삭제해야 합니다.

뉴스페이퍼 테마에는 tagDiv Composer라는 자체 페이지 빌더가 있습니다. 뉴스페이퍼를 사용하는 사이트에서 엘리멘터와 같은 페이지 빌더를 추가로 설치하여 활성화하면 사이트 오류가 발생할 수 있고 사이트 속도에도 부정적인 영향을 미칩니다("워드프레스 뉴스페이퍼 테마에 대한 몇 가지 질문과 답변" 참고).

악성코드에 감염된 경우, 제대로 악성코드를 제거하지 않으면 재발할 수 있습니다. 확실히 악성코드를 제거한 후에 Wordfence 플러그인 등의 보안 플러그인을 설치하여 멀웨어 스캔을 실시하여 남아 있는 악성코드 감염 파일들을 제거해야 합니다.

악성코드를 제대로 제거하지 않은 상태에서 Wordfence 플러그인을 설치하여 스캔하더라도 효과가 없을 수 있습니다. 반드시 모든 멀웨어 감염 의심 파일들을 제거한 후에 Wordfence를 설치하여 스캔해보시기 바랍니다.

멀웨어에 감염되어 관리자 페이지에 로그인하지 못하는 경우에는 phpMyAdmin에 접속하여 DB에서 비밀번호를 재설정할 수 있습니다. (간혹 사이트가 해킹당하면서 DB가 초기화가 되는 경우도 있습니다. 혹은 FTP를 통해 서버에 접속했을 때 모든 파일들이 삭제되는 경우도 있습니다. 이런 경우에는 백업본이 없으면 사이트 복구는 불가능합니다.)

며칠 전에는 사용자 섹션에 이상한 사용자가 있어서 삭제한 후에 사이트가 제대로 표시되지 않는 문제를 맡은 적이 있습니다. 

사이트가 아마 해킹을 당해 이상한 사용자가 추가되었고 스팸 글들이 해당 사이트를 통해 발행되어 구글에 스팸 글들이 노출되는 상황이었습니다. 이상한 사용자를 삭제하면서 사이트의 일부 페이지들도 함께 삭제되는 문제가 발생했습니다.

이 경우 일부 콘텐츠가 제거되었기 때문에 백업본이 없다면 소실된 콘텐츠(페이지나 글등)는 복구할 수 없습니다.

문제의 사이트가 FastComet이라는 해외 호스팅에서 호스팅되고 있었습니다. FastComet은 지난 7일 간의 백업본을 제공합니다. 

FastComet에 연락하여 사이트를 며칠 전으로 복원한 다음, 문제가 되는 사용자를 삭제하여 문제를 해결했습니다. 사용자를 삭제할 때에는 조심하여 삭제해야 합니다. 잘못 삭제할 경우 일부 콘텐츠가 함께 삭제될 수도 있습니다. 이후에 멀웨어 감염 여부를 체크해보니 다행히 악성코드는 발견되지 않았습니다.

다음의 경우에는 악성코드 감염을 의심해볼 수 있습니다.

1. 이상한 사이트로의 리디렉션 발생 (경우에 따라 방문자들만 리디렉션되고 로그인 사용자나 관리자는 리디렉션이 안 될 수도 있음)
2. 구글에서 내 사이트로 검색 시 스팸 글들이 색인되어 노출될 때
3. 사용자 섹션에 이상한 관리자 계정 생성
4. FTP로 접속 시 이상한 PHP 파일 생성 (대표적인 현상)
5. .htaccess 파일이나 wp-config.php 또는 다른 PHP 파일에 이상한 코드가 추가되는 경우
6. 갑자기 사이트 속도가 느려짐
7. 방문자가 별로 없는 데 트래픽이 급증
8. 관리자 페이지에 비밀번호가 잘못되었다면서 로그인이 안 됨

[참고*사이트가 해킹 당하거나 멀웨어에 감염되어 복구에 어려움을 겪거나 기타 워드프레스 관련 문제가 있는 경우 여기에서 서비스를 의뢰하실 수 있습니다. 최소한의 비용으로 문제를 해결해드립니다.*]

참고

https://avada.tistory.com/2881

티스토리에서 워드프레스 이전 작업

https://avada.tistory.com/2871

워드프레스 ERR_TOO_MANY_REDIRECTS 문제 해결하기

https://avada.tistory.com/2659

워드프레스 엘리멘터 헤더 템플릿 만들기 (헤더 & 푸터 커스텀)