워드프레스 일기의 워드프레스 악성코드 44

워드프레스 Ad Inserter, WPCode 플러그인을 통한 악성코드 유입 위험

Ad Inserter와 WPCode는 많은 워드프레스 사이트에서 사용되고 있는 인기 플러그인입니다. Ad Inserter를 사용하면 구글 애드센스 광고를 정교하게 배치가 가능합니다. WPCode를 사용하면 FTP에 접속할 필요 없이 워드프레스 알림판에서 헤더와 푸터 섹션에 스크립트를 추가할 수 있습니다.하지만 이들 플러그인은 해커에 의해 악성코드(멀웨어)가 유입되는 통로로 이용되기도 합니다. 최근 들어 WPCode 플러그인을 통해 악성코드가 유입되는 사례가 증가하고 있습니다. Ad Inserter 또한 악성코드가 유입되는 경로로 사용되기도 합니다. 관리자 페이지에서 자바스크립트 코드나 PHP 코드를 삽입할 수 있는 기능이 제공되는 플러그인이나 테마를 사용할 때에는 보안에 유의하시기 바랍니다.워드프레스 A..

워드프레스 WPCode 플러그인을 통한 악성코드 유입 증가

WPCode는 FPT에 접속하여 테마 파일을 편집하지 않고도 워드프레스 알림판에서 쉽게 스크립트를 헤더나 푸터에 삽입하도록 지원하는 인기 워드프레스 플러그인입니다. 하지만 이 플러그인은 HTML/자비스크립트뿐만 아니라 PHP 코드로 삽입이 가능하여 악성코드가 주입되는 통로로 활용되기도 합니다.워드프프레스 WPCode 플러그인을 통해 악성코드 유입이 증가하고 있습니다WPCode는 200만 개가 넘는 사이트에 설치되어 이용되고 있는 인기 워드프레스 플러그인 중 하나입니다.😄이 플러그인은 본래 Insert Headers and Footers by WPBeginner라는 명칭으로 릴리스되었지만 이후에 WPCode라는 이름으로 변경되었습니다.이 플러그인이 이처럼 인기를 끌고 있는 이유는 FTP에 접속할 필요 없..

카페24: FTP/SSH에서 파일을 삭제할 수 없는 문제 (feat. 멀웨어 감염)

카페24에 호스팅된 워드프레스 사이트에서 멀웨어를 제거하는 작업을 지난주에 맡았습니다. 사이트는 열리지 않았고 FTP를 통해 서버에 접속하니 .htaccess, index.php 등 많은 파일이 악성코드에 감염된 상태였습니다. 하지만 이상하게 파일을 삭제하려고 시도하니 삭제가 되지 않는 문제가 발생했습니다. SSH에 접속하여 파일 삭제를 시도해도 삭제가 되지 않았습니다. 이때까지 카페24 사이트에서 많은 멀웨어 제거 작업을 했지만 SSH에서 파일이 삭제되지 않는 현상은 처음 접했습니다.아마존 AWS나 Vultr 등 서버를 직접 세팅한 경우에는 서버 세팅 문제로 인해 파일이나 폴더가 삭제가 안 되는 경우가 있지만, 카페24에서는 SSH에서 파일이 삭제가 안 되는 경우는 매우 드문 것 같습니다.이 문제에 대..

외국인 개발자에게 작업 의뢰 시 조심하세요 (워드프레스 악성코드)

클라이언트께서 운영하는 워드프레스 사이트에 이상한 스크립트가 로드되는 문제의 해결을 맡았습니다. 페이지 소스를 살펴보니 헤더 섹션에 아래 그림과 같이 이상한 자바스크립트 파일이 로드되고 있었습니다.해당 JS 파일을 클릭해 보면 난독화된 코드가 표시되었습니다. 하지만 어디에서 해당 코드가 추가되는지를 찾는 것이 쉽지 않았습니다. 모든 데이터 파일과 데이터베이스(DB)를 체크해 보았지만 문제의 JS 코드를 로드하는 코드가 보이지 않았습니다.외국인 개발자에게 작업 의뢰 시 조심하세요문제의 사이트는 카페24에서 호스팅되고 있었는데, 해당 사이트와 또 하나의 사이트에 대하여 클라이언트께서 방글라데시 개발자에게 코딩 작업을 맡겼는데, 두 사이트 모두에서 위와 같은 현상이 발생했습니다. (총 3개 사이트 중 외국인 ..

워드프레스 멀웨어: 플러그인 업로드 시 UploadGuard Blocked 에러

최근 카페24에 설치된 워드프레스 사이트에 접속하지 못하는 문제로 클라이언트로부터 문제해결 요청을 받았습니다. 사이트를 살펴보니 모든 폴더에 .htaccess 파일이 생성되어 있어서 사이트에 대한 접속이 차단되어 있는 상태였습니다. 사이트가 멀웨어에 감염된 것으로 보였습니다. 우선 접속만 가능하게 해 달라는 요청에 따라 모든 .htaccess 파일을 삭제하니 접속 문제는 해결되었습니다.이후에 Quform 등 일부 플러그인을 업로드하려고 시도하거나 워드프레스 알림판에서 플러그인을 검색하여 설치하려고 시도할 때 일부 플러그인이 설치가 안 되면서 UploadGuard Blocked 화면이 표시되는 현상이 발생했습니다. 워드프레스 멀웨어: 플러그인 업로드 시 UploadGuard Blocked 에러FTP에 접속..

워드프레스 멀웨어: wp-config.php 파일 감염 치료

워드프레스는 전 세계적으로 가장 많이 사용되는 CMS(Content Management System)이지만 보안 관행을 무시할 경우 보안 위협에 노출될 수 있습니다. 특히, 사이트의 핵심 설정 파일인 wp-config.php에 악성코드가 삽입될 경우, 심각한 보안 문제가 발생할 수 있습니다. 이번 글에서는 wp-config.php 파일에 포함될 수 있는 악성코드 예제와 그 위험성, 그리고 대응 방법을 알아보겠습니다.워드프레스 멀웨어: wp-config.php 파일 감염 치료wp-config.php 파일 내의 수상한 코드최근 워드프레스 사이트가 이상한 스팸 사이트로 리디렉션되는 현상으로 클라이언트께서 멀웨어 제거를 의뢰해 왔습니다.사이트에서 악성코드를 모두 제거한 후에 Wordfence 보안 플러그인을 설..

워드프레스 워드펜스 보안 플러그인: "Scan Stage Failed" 오류

어제 블루호스트(Bluehost)에서 멀웨어를 제거하고 비슷한 레벨의 호스팅 서비스인 케미클라우드(ChemiCloud)로 이전하는 작업을 수행했습니다.케미클라우드에 테스트 사이트를 하나 만들어서 멀웨어를 제거한 후에 워드펜스(Wordfence)로 악성코드 스캔을 시도했습니다. 하지만 그림과 같이 Scan Stage Failed 경고가 표시되면서 멀웨어 스캔을 시작하지 못하는 문제가 발생했습니다. 스캔 중지 요청이 수신되어 멀웨어 스캔을 시작할 수 없는 경우 확인 사항에 대하여 살펴보겠습니다.워드프레스 워드펜스(Wordfence) 보안 플러그인: "Scan Stage Failed" 오류가 발생하는 경우 확인 사항블루호스트에 설치된 워드프레스 사이트에서 테이블(표)을 만들어 숏코드로 페이지에 입력한 후 저장..

워드프레스: 구글 서치 콘솔에 중국어 콘텐츠가 색인되는 경우

한국어로 운영하는 사이트에 대하여 구글에서 일본어나 중국어 콘텐츠가 색인되어 노출되는 경우가 있습니다. 네이버 카페에 구글 서치 콘솔에 중국어 콘텐츠가 크롤링되는 문제에 대하여 질문하신 분이 계십니다. 일본어나 중국어, 아랍어 등 이상한 언어로 된 콘텐츠가 구글 등의 검색엔진에 노출된다면 사이트가 해킹을 당했거나 악성코드에 감염되었을 가능성이 높습니다.워드프레스: 구글 서치 콘솔에 중국어 콘텐츠가 색인되는 경우이상한 언어로 된 콘텐츠가 내 사이트에 대하여 구글 등 검색엔진에 노출된다면 멀웨어 감염이나 해킹을 의심해 볼 수 있습니다. 실제로 비슷한 사례를 접한 적이 있습니다. 지난달 초에 구글 검색 결과에 일본어 콘텐츠가 노출되는 문제의 해결을 맡았는데, 결론적으로 사이트가 멀웨어에 감염되면서 DB에 악성..

워드프레스 사이트에서 일본어 키워드 스팸 해킹 문제

드물지만 사이트가 해킹당하거나 멀웨어에 감염되면서 구글 등 검색엔진에 일본어 콘텐츠가 검색되는 경우가 있을 수 있습니다. 구글에서 워드프레스 사이트 주소를 검색했을 때 일본어 쇼핑 관련 콘텐츠가 노출되는 문제로 클라이언트로부터 연락을 받았습니다.구글에서 사이트 주소로 검색해보니 그림과 같이 일본어 키워드들로 된 콘텐츠가 검색되었습니다.이런 증상은 사이트가 해킹되거나 악성코드에 감염되었을 때 나타날 수 있습니다.워드프레스 사이트에서 일본어 키워드 스팸 해킹 문제워드프레스 사이트는 보안에 강하지만 다음의 경우 보안이 취약해져서 사이트가 해킹되거나 멀웨어에 감염될 수 있습니다.워드프레스 코어, 테마, 플러그인을 최신 버전으로 업데이트하지 않는 경우보안에 취약한 플러그인이나 테마 사용 시쉬운 비밀번호나 admi..

워드프레스 악성코드 제거 작업

어제 한글날에 클라이언트로부터 워드프레스 사이트에서 악성코드 제거 작업을 의뢰받았습니다. 쇼플릭이라는 워드프레스 호스팅에서 운영되고 있던 워드프레스 사이트였는데, 사이트 접속이 접속이 되지 않아 호스팅 업체에 물어보니 사이트가 멀웨어에 감염되었다고 합니다.실제로 사이트에 접속해 보니 악성코드에 감염된 이상한 파일들이 있었습니다. 백업본을 사용하여 테스트 서버에 사이트를 만들어 복원한 후에 악성코드 제거 작업을 진행했습니다.워드프레스 악성코드 제거 작업어제 2024년 10월 9일은 578돌 한글날이라고 하네요. 세종대왕님께서 만든 한글 덕분에 오늘날 우리나라 문화가 세계로 뻗어나가는 것 같습니다.😄워드프레스 사이트를 운영하면서 신경 써야 할 부분이 보안 같습니다. 워드프레스 자체는 보안에 강하지만 업데이..