엘리멘터 프로 설치 사이트의 멀웨어 제거 작업

엘리멘터 프로가 설치된 워드프레스 사이트가 악성코드에 감염되어 이상한 사이트로 리디렉션되는 문제를 해결하는 작업을 맡았습니다. 워드프레스 사이트에 접속하면 아래와 같이 Loading... Please bear with us. This will brief라는 문구가 표시되는 화면이 잠시 표시되었습니다.

잠시 후에 "축하합니다" 문구와 함께 Applie iPhone 14 Pro 상품을 얻을 수 있는 설문에 참여하라는 화면이 표시되었습니다.

엘리멘터 프로 설치 사이트의 멀웨어 제거 작업

멀웨어에 감염될 경우 로그인 상태에서는 리디렉션이 발생하지 않는 경우가 많아서 관리자가 악성코드 감염을 빠르게 캐치하지 못할 수도 있습니다. 그런 경우 자동 백업본을 사용한 복원이 불가능할 수 있습니다.

이런 문제가 발생할 경우, 사이트를 악성코드가 발생하기 전 상태로 되돌리면 문제가 해결됩니다. 사이트를 되돌린 후에 보안 조치를 해주어야 합니다. 그렇지 않으면 또다시 멀웨어에 감염될 수 있습니다.

카페24의 경우 지난 7일 이내의 기간으로 복원이 가능합니다. 패스트코멧도 7일 자동 백업본이 제공됩니다. 클라우드웨이즈의 경우 백업 설정에 따라 1개월 간 자동 백업본이 유지될 수 있습니다.

다만, 이 방법으로 사이트를 롤백(되돌리기)하면 백업본 이후에 업데이트한 콘텐츠가 사라지므로 이 방법을 이용할지 신중하게 결정하시기 바랍니다. 잘못할 경우 중요한 자료가 사라질 수 있습니다. 최신 콘텐츠를 유지해야 하는 경우에는 멀웨어를 제거하고 보안 조치를 해야 합니다.

FTP를 통해 접속하니 플러그인 폴더에 _org로 끝나는 플러그인들이 있었고, 백업본 압축을 윈도우에서 해제하려고 하니 Elementor Pro 등 일부 플러그인과 테마 내의 파일에서 악성코드가 감지되었다는 경고가 표시되었습니다.

작업은 백업본을 받아서 멀웨어에 감염된 파일들을 제거한 다음, 클라우드웨이즈에 테스트 사이트를 설치하여 복원하였습니다. 그런 다음, 최종적으로 Wordfence를 사용하여 악성코드 스캔을 실시하여 악성코드가 완전히 제거되었음을 확인했습니다.

데이터가 큰 경우 압축 파일로 업로드한 후에 SSH에서 압축을 해제하면 편리합니다.

저는 데이터 파일/폴더를 압축하여 업로드한 다음, SSH에서 압축을 해제하는 방법으로 데이터를 업로드했습니다. 특히 해외호스팅을 이용하는 경우, 서울 리전이 아니어서 업로드/다운로드에 시간이 많이 걸릴 때 이 방법을 이용하면 편리합니다.

(클라우드웨이즈의 경우 Vultr에서 서울 이전이 제공됩니다. DigitalOcean의 싱가포로 리전을 사용하는 경우 직접 많은 파일을 업로드하려고 시도하면 시간이 꽤 소요될 수 있습니다. 시간을 단축하고 싶은 경우 파일을 압축하여 업로드하는 것을 고려하시기 바랍니다.)

리눅스에서 파일 압축 해제 방법은 다음 글을 참고해보세요:

FTP에서 tar.gz 파일 압축 해제하기 - 웹사이트

많은 파일을 삭제하는 경우에도 SSH에서 삭제하면 빠르게 파일들을 삭제할 수 있습니다.

리눅스에서 폴더와 파일을 완전히 삭제하는 방법

멀웨어나 기타 워드프레스 관련하여 어려움을 겪는 경우 여기에서 서비스(유료)를 의뢰하실 수 있습니다.

참고

https://avada.tistory.com/2897

엘리멘터 무료 버전 vs. 프로 버전 비교

https://avada.tistory.com/3046

해외웹호스팅: 클라우드웨이즈 vs. 블루호스트 vs. 카페24 비교 (Cloudways vs. Bluehost vs. Cafe24)

https://avada.tistory.com/3272

아마존 라이트세일에서 클라우드웨이즈로 워드프레스 이전 작업