워드프레스 검색 결과 일본어 스팸 노출 해킹 멀웨어 제거

워드프레스 사이트가 악성코드에 감염되어 구글 크롬 브라우저에서 사이트에 접속하면 '위험한 사이트' 경고가 표시되는 문제 해결을 맡았습니다. 사이트를 살펴보니 크롬 브라우저에 위험한 사이트 경고가 표시되었고, 구글에서 해당 사이트 주소로 검색하면 검색 결과에 일본어 스팸 콘텐츠가 표시되었습니다.

워드프레스는 보안에 강하지만, 워드프레스, 테마, 플러그인을 최신 버전으로 업데이트하지 않거나 보안 취약점이 있는 테마나 플러그인을 사용하는 경우 보안이 취약해져 사이트가 해킹당하거나 멀웨어에 감염될 가능성이 있습니다.

워드프레스 검색 결과 일본어 스팸 노출 해킹 멀웨어 제거

멀웨어에 감염되면 악성코드를 제거하는 것이 쉽지 않고, 제거하더라도 사이트를 최신 상태로 업데이트하고 보안 조치를 하지 않으면 재발할 가능성도 있습니다.

사이트가 악성코드에 감염될 경우 스팸 사이트로 리디렉션되거나 구글 크롬에서 '위험한 사이트' 경고가 표시될 수 있습니다.

위와 같은 경고가 표시된다면 아무도 해당 사이트를 방문하려고 하지 않을 것입니다. 이로 인해 심각한 SEO 문제가 발생하고 방문자가 급격히 줄어들 수 있습니다.

구글 검색엔진에서 문제의 사이트 도메인으로 검색해보니 해당 사이트 주소로 일본어 스팸 콘텐츠가 노출되고 있었습니다.😥

이런 유형의 공격을 '일본어 SEO 스팸 해킹'이라고 합니다.

네이버에서도 검색해보니 네이버에서는 한글 콘텐츠가 앞쪽에 표시되었고, 뒤쪽에서 러시아어와 그리스어 등의 스팸 콘텐츠가 검색되었습니다.

외국어로 된 콘텐츠를 복사하여 챗GPT에 물어보니 불법 온라인 카지노/도박/베팅 사이트에 대한 SEO 스팸 콘텐츠라고 하네요. 네이버에서는 러시아어, 그리스어, 일부 영어가 혼합된 형태이고 불법적인 스팸 콘텐츠가 검색 결과에 표시되는 반면, 구글에 노출되고 있는 일본어 콘텐츠의 경우 일본어 기반 중고거래·리셀 상품 스팸(쇼핑 스팸)으로 분야가 조금 다르네요.

해커가 사이트에 침입 → DB나 테마 파일에 스크립트 삽입→ 사이트에 가짜 페이지 수백~수천 개 자동 생성 → 구글에서 스팸 쇼핑몰처럼 보여서 검색 결과가 오염됩니다.

해당 사이트는 카페24에서 호스팅되고 있었습니다. FTP를 통해 웹서버에 접속해 보니 예상대로 이상한 이름의 파일들이 눈에 띄었습니다.

위의 그림에서 tech5pr.php 파일이 확실히 이상한 이름의 파일로 백도어 역할을 하는 악성코드로 의심됩니다. 그리고 sitemap1633.xml이라는 다소 이상한 사이트맵 파일이 있는데, 일본어 키워드 스팸 해킹 피해를 입은 사이트에서 이런 사이트맵 파일이 발견되는 것 같습니다. 이러한 이상한 사이트맵 내의 항목들이 구글 등 검색엔진에 노출될 수 있습니다.

파일 내용을 살펴보면 아래와 같이 난독화되어 알아보기 어렵게 되었습니다.

또한, 플러그인 폴더에도 비정상적으로 보이는 플러그인이 몇 개 눈에 띄었습니다.

WP Required Boot이라는 플러그인의 파일을 열어보면 Official WordPress plugin(공식 워드프레스 플러그인)이라고 설명하지만 당연히 멀웨어입니다. 

백도어 기능을 하는 플러그인이 대부분 'Official WordPress plugin'이라고 설명되어 있어 언뜻 보면 워드프레스 공식 플러그인으로 잘못 인식할 수도 있을 것 같습니다.

이런 플러그인은 특이하게 site.css 파일을 로드하는데, css 파일 내에 악성코드가 심어져 있습니다.

테마 폴더에도 이상한 이름의 파일이 생성되어 있었습니다.

해당 사이트에는 베스트셀링 테마인 아바다 테마가 설치되어 있었습니다.

최신 버전은 아니지만 그리 오래된 버전이 아니어서 멀웨어를 제거하고 사이트를 최신 버전으로 업데이트하기로 했습니다. 이런 경우 직접 실 사이트에서 진행하기에는 리스크가 있습니다. 특히 카페24에서는 PHP 버전을 바꾸면 서버가 바뀌어서 사이트 복원 작업을 추가한 후에 작업을 해야 하고, 만약 결과가 좋지 않으면 다시 이전 상태로 되돌려야 할 수 있는데, 그런 경우 시간이 많이 걸리고 매우 번거롭습니다. 

클라우드웨이즈(Cloudways)에서 테스트 서버를 하나 만들어서 악성코드를 제거하고 최신 버전으로 업데이트한 후에 이상이 없으면 실제 사이트에 적용하기로 했습니다.

멀웨어를 제거하고 사이트를 업데이트한 후에는 보안 조치를 해주어야 합니다.

클라우드웨이즈를 이용한다면 강력한 방화벽이 작동하고 멀웨어 감지 기능이 제공되므로 별도의 보안 플러그인을 설치하지 않아도 문제는 없지만, 워드펜스와 같은 무료 보안 플러그인을 설치하면 조금 더 안심할 수 있습니다. 카페24를 이용한다면 Wordfence와 같은 보안 플러그인을 설치하면 도움이 됩니다. (해당 사이트에 이미 Wordfence와 다른 보안 플러그인이 추가로 설치되어 있었습니다만, 멀웨어에 감염된 후에 설치하면 악성코드를 제대로 제거하지 못합니다.)

👉 해킹이나 멀웨어 감염 등 워드프레스 또는 웹호스팅 관련 문제로 해결에 어려움을 겪는 경우 여기에서 서비스(유료)를 의뢰하실 수 있습니다.😄

마치며

사이트가 악성코드에 감염되어 구글 크롬 브라우저에 '위험한 사이트' 경고가 표시되면 SEO적인 측면에서 큰 문제가 발생하지만, 회사 평판에도 매우 부정적인 영향을 미칩니다.

악성코드를 완전히 제거한 후에 구글 서치 콘솔에서 검토 요청을 하면 구글 직원이 검토한 후에 악성코드가 없다고 판단되면 경고는 사라집니다. 하지만 상기 본문에서 다루는 스팸 콘텐츠 해킹 피해를 입으면 회복되는 데 시간이 걸릴 수 있으므로 빠르게 대처하는 것이 중요합니다.

참고

https://avada.tistory.com/3667

카페24 워드프레스 멀웨어 치료 작업

https://avada.tistory.com/3458

블루호스트에서 멀웨어 치료 및 클라우드웨이즈로 워드프레스 이전 작업