뉴스페이퍼 테마가 설치된 워드프레스 사이트의 멀웨어 치료

뉴스페이퍼(Newspaper)는 뉴스, 매거진, 웹진, 블로그 사이트 구축에 많이 사용되는 인기 워드프레스 테마 중 하나입니다. 하지만 작년 9월경에 뉴스페이퍼 테마에 보안 취약점이 존재하여 테마를 업데이트하지 않은 사이트가 멀웨어에 감염되는 사례가 발생했습니다. 뉴스페이퍼 테마를 사용하는 경우 반드시 최신 버전으로 업데이트하고, 사이트를 방문하여 링크를 클릭할 때 이상한 사이트로 이동하는 문제가 발생하지 않는지 관찰하시기 바랍니다.

지난주에 워드프레스 사이트에서 링크를 클릭하면 팝업으로 이상한 사이트가 표시되는 문제 해결을 맡았습니다. 사이트를 살펴보니 뉴스페이퍼 테마의 보안 취약점을 악용한 악성코드에 감염되어 스팸 사이트로 리디렉션되는 문제가 발생하고 있었습니다.

뉴스페이퍼 테마가 설치된 워드프레스 사이트의 멀웨어 치료

사이트가 악성코드에 감염되었거나 해킹된 것으로 의심이 되면 Sucuri 멀웨어 스캔 사이트에서 악성코드를 스캔할 수 있습니다. 하지만 이 사이트의 스캔 결과는 100% 신뢰할 수는 없습니다. 악성코드에 감염되어도 겉으로 보이는 증상(예: 이상한 사이트로 리디렉션)이 없으면 정상적인 사이트로 판단할 수 있습니다.

멀웨어 감염이 의심되는 사이트를 Sucuri 멀웨어 스캔 사이트에서 검사해보니 멀웨어에 감염되었다(Malware Detected)는 경고가 표시되었습니다.

 More Details를 클릭해도 별다른 정보는 없었습니다.

사이트에 로그인하여 살펴보니 워드프레스와 테마가 최신 버전이 아니았습니다. 워드프레스

뉴스페이퍼 테마의 경우 12.1.1 버전으로 최신 버전이 아니었습니다.

FTP를 통해 웹 서버를 살펴보았지만, 악성코드로 의심될 만한 파일들은 루트 폴더에는 없었습니다. 악성코드에 감염되면 보통 웹 서버에 이상한 파일들이 생성됩니다. 다음 글에서 이상한 파일들의 예시를 살펴볼 수 있습니다.

워드프레스 버전을 유지한 상태에서 멀웨어 제거 작업

백도어 코드가 쉽게 찾을 수 없는 파일에 숨겨져 있을 수 있습니다.

뉴스페이퍼 테마의 보안 취약점을 악용한 해킹/멀웨어의 경우 데이터와 DB가 모두 감염됩니다. 데이터에서 악성코드에 감염된 파일들을 제거하고, DB에서도 악성코드를 삭제해야 합니다.

데이터에서 악성코드 감염 파일들을 모두 제거한 후에 사이트가 정상화되었습니다. 하지만 DB에도 악성코드가 심어져 있을 수 있으므로 찾아서 제거해야 합니다.

phpMyAdmin 등에 접속하여 다음과 같은 쿼리를 실행하여 해당 문제의 옵션을 찾아서 삭제합니다.

select option_value from wp_options where option_name = 'td_live_css_local_storage';

이 작업을 직접 하기 어려운 경우 웹호스팅 업체에 연락하여 td_live_css_local_storage 옵션을 삭제해줄 것을 요청할 수 있습니다.

카페24를 이용하는 경우 고객지원을 통해 요청할 수 있습니다. (카페24는 보안 문제로 phpMyAdmin 서비스를 종료했기 때문에 phpMyAdmin에 접속하려면 이 툴을 직접 설치해야 합니다.)

클라우드웨이즈를 이용하는 경우 다음 글을 참고하여 데이터베이스에 접속할 수 있습니다.

클라우드웨이즈 DB 접속 방법

DB 작업은 되돌릴 수 없으므로 반드시 백업을 확실히 한 후에 작업을 진행하시기 바랍니다.

멀웨어를 비롯한 워드프레스 문제나 웹호스팅 등의 문제로 어려움을 겪는 경우 여기에서 서비스(유료)를 의뢰하실 수 있습니다.😄

참고

https://avada.tistory.com/2897

엘리멘터 무료 버전 vs. 프로 버전 비교

https://avada.tistory.com/3046

해외웹호스팅: 클라우드웨이즈 vs. 블루호스트 vs. 카페24 비교 (Cloudways vs. Bluehost vs. Cafe24)

https://avada.tistory.com/2335

워드프레스 GeneratePress 테마 라이선스 (+요금제)