뉴스페이퍼가 설치된 워드프레스 사이트를 방문자들이 사이트를 방문하면 0.roselinetoday.com으로 리디렉션되는 멀웨어를 치료하는 작업을 맡았습니다. 사이트에서 멀웨어 감염 의심 파일들을 모두 제거했지만, 리디렉션 현상이 지속되어 DB에 악성코드가 주입된 것을 발견하여 제거하니 문제가 해결되었습니다.
워드프레스 뉴스페이퍼 테마: 0.roselinetoday.com으로 리디렉션되는 멀웨어
Vultr의 Plesk 패널을 통해 호스팅되는 워드프레스 사이트가 악성코드에 감염되어 악성코드 제거 및 사이트 이전 작업을 맡았습니다.
사이트에 방문자가 많으므로 사이트 중단을 최소화하면서 악성코드를 제거하여 클라우드웨이즈(Cloudways)로 이전해야 했습니다.
Plesk 패널에서는 멀웨어 스캔을 하여 악성코드가 발견되면 경고를 표시하는 기능이 있는 것 같습니다.
클라이언트께서 뉴스페이퍼 테마를 정식으로 구입하지 않고 구글링하여 출처가 알 수 없는 곳에서 다운로드하여 설치했다고 합니다.
출처가 불분명한 곳에서 유료 테마나 엘리멘터 프로와 같은 유료 플러그인을 다운로드하거나 저렴하게 구입하는 경우 악성코드가 심어져 있을 수 있습니다. 비용을 조금 아끼려다 더 큰 비용을 치를 수 있으므로 유료 테마나 플러그인은 가능하면 공식 사이트에서 구입하시기 바랍니다.
워드프레스 사이트에 로그인하여 살펴보니 이상한 사용자들이 추가되어 있었습니다.
이 유형의 멀웨어에 감염되면 expander, greeceman, crander 등과 같은 아이디로 된 관리자가 추가되어 있을 수 있습니다. 사용자 리스트에 모르는 사용자가 등록되어 있다면 멀웨어에 감염되었거나 사이트가 해킹된 것입니다.
사이트에서 악성코드를 모두 제거하고 Wordfence로 스캔했을 때 멀웨어 감염 파일이 없었지만, 비로그인 상태에서 사이트에 접속하면 0.roselinetoday[.]com과 같은 이상한 사이트로 리디렉션되는 현상이 발생했습니다.
이 문제에 대하여 체크해보니 Website redirected to 0.roselinetoday.com? Learn how to fix it와 같은 글을 발견했습니다. 이 멀웨어에 감염되면 다음과 같은 사이트로 리디렉션될 수 있다고 합니다.
https://cdn.rdntocdns.com/rthrttu.php
https://away.taskscompletedlists.com/jtytyusy
https://come.taskscompletedlists.com/7MjvR5
https://go.recordsbluemountain.com/7MjvR5
https://gogo.recordsbluemountain.com/zbLzKF
https://0.bluelitetoday.com/?p=hfswkobumm5gi3bpha4dini&sub1=cars&sub3=jekitas5
https://0.bluefiretobind.com/index.php?p=gmzdkzdfmq5dcobygyza&sub1=clerss&sub3=fkitas2데이터베이스(DB)에서 코드를 찾아서 제거했습니다. 악성코드가 한 군데가 아닌 여러 군데 주입되어 있었습니다. 모두 찾아서 제거하니 리디렉션 문제가 더 이상 나타나지 않았습니다.
해당 악성코드는 난독화되어 알아보기 어렵게 되어 있었습니다.
뉴스페이퍼 테마는 작년에 보안 취약점이 발견되어 문제가 되었습니다. 일부 사이트가 악성코드에 감염되었으며, 업데이트가 나온 이후에도 지속적으로 패치되지 않는 사이트가 악성코드에 감염되고 있습니다. 악성코드 양상도 처음의 단순한 패턴에서 더 정교해지는 것 같습니다.
그러므로 뉴스페이퍼 테마의 구 버전을 사용한다면 즉시 최신 버전으로 업데이트하고, 사이트가 악성코드에 감염되지 않았는지 멀웨어 스캔을 해보시기 바랍니다.
패스트코멧(FastComet) 또는 케미클라우드(ChemiCloud) 호스팅을 이용하는 경우 Imunify360 도구를 사용하여 악성코드를 스캔하여 제거할 수 있습니다. cPanel에 로그인한 후에 Security » Imunify360 툴을 클릭하여 Imunify360를 이용할 수 있습니다. (케미클라우드는 서울 서버를 제공하므로 우리나라에서도 속도가 빠릅니다.)
악성코드에 감염된 모든 파일을 제거하고 DB에에서도 악성코드를 제거하면 사이트가 정상화될 것입니다.
그리고 다음과 같은 조치가 필요합니다.
- 워드프레스, 테마, 플러그인을 최신 버전으로 업데이트하여 유지합니다.
- 오랫동안 업데이트가 안 되는 플러그인은 삭제합니다.
- 비밀번호는 강력하게 설정하고 다른 사람과 공유하지 않습니다.
- 정기적으로 백업합니다.
- 보안 플러그인을 설치합니다.
워드프레스 악성코드 제거나 기타 워드프레스 또는 웹호스팅 관련 문제로 어려움을 겪는 경우 여기에서 서비스(유료)를 의뢰하실 수 있습니다.
참고
https://cafe.naver.com/wphomepage/41922
서울 서버를 제공하는 ChemiCloud 워드프레스 호스팅 가입 방법 및 워드프레스 설치
블루호스트 등 해외호스팅은 국내호스팅에 비해 디스크 용량과 트래픽면에서 훨씬 유리하지만 우리나라에서 속도가 느릴 수 있습니다. 특히 무거운 테마를 설치하면 속도가 느려지는 경...
cafe.naver.com
https://avada.tistory.com/2897
엘리멘터 무료 버전 vs. 프로 버전 비교
엘리멘터(Elmentor)는 500만 개가 넘는 사이트에 설치되어 사용되고 있는 인기 워드프레스 페이지 빌더 플러그인입니다. 엘리멘터는 무료 버전과 프로 버전으로 제공됩니다. Elementor 프로 버전에서
avada.tistory.com
https://avada.tistory.com/2335
워드프레스 GeneratePress 테마 라이선스 (+요금제)
워드프레스에는 정말 많은 테마가 있습니다. 테마 라이선스는 테마마다 조금씩 다릅니다. 아바다, 엔폴드, 뉴스페이퍼 등 테마포레스트 테마의 경우 동일한 라이선스가 적용됩니다(참고). Generat
avada.tistory.com