가짜 워드프레스 보안 플러그인을 조심하세요
워드프레스가 인기를 끌면서 워드프레스를 겨냥한 보안 위협도 증가하고 있습니다. 다음과 같은 3가지 기본적인 사항을 준수함으로써 워드프레스를 안전하게 사용할 수 있습니다.
- 워드프레스 코어 파일, 테마, 플러그인을 항상 최신 버전으로 업데이트하여 유지하기
- 보안 플러그인 설치하기
- 정기적인 백업
보안 플러그인은 이 글을 참고하여 적절한 것을 선택하여 설치할 수 있습니다.
보안 플러그인은 무겁기 때문에 설치가 꺼려지지만 보안이 중요하므로 저는 iThemes Security를 모든 블로그에 설치하여 사용하고 있습니다.
하지만 보안 플러그인을 선택할 때에 주의가 필요합니다. 그럴듯한 이름을 가진 가짜 보안 플러그인도 증가하고 있다고 합니다.
그 중 하나로 X-WP-SPAM-SHIELD-PRO라는 가짜 워드프레스 보안 플러그인을 Sucuri 블로그에서 다루고 있습니다. 자세한 내용은 "Fake Plugins, Fake Security"을 참고해보세요. X-WP-SPAM-SHIELD-PRO는 이름 자체는 스팸을 막아주는 보안 플러그인처럼 보이지만 백도어나 유사한 멀웨어(악성코드)가 포함된 악성 파일이 있다고 하네요.
워드프레스 플러그인을 선택할 때에는 출처가 불명확한 플러그인은 피하는 것이 좋을 듯 합니다. 그리고 WordPress.org에 올라온 플러그인도, 매우 드물지만, 악성 코드가 포함된 플러그인도 있습니다.
최근 20만 개가 넘는 사이트에 설치되어 인기를 끌던 Display Widgets 플러그인에 악성코드가 포함된 사실이 알려져서 WordPress.org 플러그인 리스트에서 삭제되었습니다. 혹시 Display Widgets을 사용하고 있다면 반드시 삭제하고 다른 플러인으로 대체하시기 바랍니다.
워드프레스 자체는 보안에 강하지만 사용자들이 업데이트를 소홀히 하거나 잘못된 플러그인이나 테마를 설치하여 보안에 문제가 생길 수 있습니다.
그리고 백업을 제대로 하지 않아서 낭패를 보는 경우를 종종 봅니다. 수시로 백업을 해놓는 습관을 들이면 불의의 사고에 대비할 수 있습니다.
만약 멀웨어에 감염되면 보안업체인 Sucuri 사이트에서 라이브 채팅(오른쪽 맨 아래에 위치)을 통해 멀웨어를 해결할 수 있는지 문의해볼 수도 있을 것 같습니다.
여기도 가짜가 판을 치는군요...ㅜㅜ
설치하기 전에 꼼꼼이 유의를 하는 수밖에 없는 것 같습니다..!!
보안 플러그인이 무거워서 설치하는 것이 달갑지 않지만 혹시나 몰라서 보안 플러그인을 블로그에 설치해놓고 있습니다. 그리고 문제가 되면 복원할 수 있도록 백업도 정기적으로 받아놓고 있고요.
네, 조심하는 수밖에 없는 것 같습니다.