워드프레스 모바일 사이트에서 스팸 사이트로 이동하는 멀웨어 제거 작업

워드프레스 사이트를 PC에서 방문하면 정상적으로 작동하지만 모바일 기기에서 접속하면 이상한 스팸 사이트로 이동하는 현상을 해결하는 작업을 맡았습니다. 이런 증상은 사이트가 악성코드에 감염되었을 때 흔히 나타날 수 있습니다.

최근에는 로그인 상태로 사이트에 접속할 때에는 아무 이상이 없지만 로그이아웃 상태(게스트 상태)로 접속할 때 스팸 사이트로 리디렉션되는 경우도 흔히 발견됩니다.

워드프레스 모바일 사이트에서 스팸 사이트로 이동하는 멀웨어 제거 작업

워드프레스 사이트를 안전하게 운영하려면 몇 가지 주의 사항이 필요합니다.

1. 워드프레스 코어, 테마, 플러그인을 항상 최신 버전으로 업데이트하여 유지하기
2. 오랫동안 업데이트가 안 되는 플러그인은 삭제
3. 보안 취약점이 발견된 플러그인도 제거
4. 정기적인 백업
5. 보안 플러그인 설치
6. 강력한 비밀번호 사용 등

워드프레스는 보안에 강력하지만 업데이트를 소홀히 하면 멀웨어에 감염되거나 사이트가 해킹을 당할 수 있습니다.

클라우드웨이즈(Cloudways) 등 일부 웹호스팅에서는 사이트에 보안이 취약한 워드프레스 버전이나 테마, 플러그인이 설치되어 있는지 스캔하여 보안 취약점이 발견된 테마나 플러그인이 존재할 경우 이메일로 알림을 보냅니다.

문제의 사이트의 경우 모바일에서 방문하고 버튼을 누르면 maxkora[.]o-o[.]lol, ejabate[.]e-e[.]life 등 비정상적인 주소의 사이트로 리디렉션되는 현상이 발생했습니다. 한 번 리디렉션이 일어난 후에는 일정 시간 동안 증상이 없다가 시간이 지나면 또 증상이 발생했습니다. 리디렉션 주소는 방문할 때마다 변하는 것 같았습니다.

온라인 멀웨어 스캔 사이트에서 체크해보니 실제로 사이트가 악성코드에 감염된 것으로 표시되었습니다.

악성코드에 감염되어도 온라인 멀웨어 스캔 사이트에서 검사할 경우 잘 감지하지 못하는 경우가 많습니다. 이 사이트에 대해서는 알려진 javascript 멀웨어 리다이렉트(Known javascript malware) 악성코드가 감지되었습니다.

More Details를 클릭하면 상세한 악성코드가 표시됩니다.

위의 그림에 표시되는 코드를 복사하여 텍스트 파일로 저장하려고 하니 윈도우에서 악성코드가 감지되었다면 코드를 삭제해버리네요.😄

멀웨어를 제거하려면 데이터와 DB 모두에서 악성코드를 찾아서 삭제해야 합니다. 보통은 워드프레스 관련 파일에 악성코드가 주입되는 경우가 많지만, 파일에 삽입된 모든 악성코드를 제거해도 리디렉션 현상이 발생한다면 DB에 악성코드가 주입되었을 가능성이 높습니다.

이번 작업에서도 악성코드가 데이터베이스에도 주입되어 있어서 모두 찾아서 제거했습니다.

참고로 단순히 악성코드를 제거하는 것만으로 충분하지 않을 수 있습니다. 근본적인 원인을 제거하지 않으면 추후에 다시 멀웨어에 재감염될 수 있습니다.

워드프레스 악성코드 감염이나 기타 워드프레스 또는 웹호스팅 관련 문제로 어려움을 겪는 경우 여기에서 서비스(유료)를 의뢰하실 수 있습니다.

참고

https://avada.tistory.com/3458

블루호스트에서 멀웨어 치료 및 클라우드웨이즈로 워드프레스 이전 작업

https://avada.tistory.com/2897

엘리멘터 무료 버전 vs. 프로 버전 비교

https://avada.tistory.com/3046

해외웹호스팅: 클라우드웨이즈 vs. 블루호스트 vs. 카페24 비교 (Cloudways vs. Bluehost vs. Cafe24)