공개적으로 액세스 가능한 config, 백업, 로그 파일을 제거하여 보안 강화하기
며칠 전에 멀웨어에 감염된 것으로 의심되는 워드프레스 사이트의 복구를 맡았습니다. 사이트에 접속했을 때 화면에 이상한 깨진 글자가 표시되고 로그인이 안 되는 상황이었습니다.
우선 클라이언트에게 카페24의 복원 기능을 사용하여 복원을 시도해볼 것을 권했습니다. 하지만 복원을 시도하니 오류가 발생했습니다.
특이하게 위의 사진과 같이 'DATA가 예기치 않은 오류로 복원이 되지 않았습니다'라는 오류가 발생하면서 복구에 실패했습니다. 카페24는 지난 일주일의 백업본을 제공합니다. 7일 전 데이터로 복원하려고 시도해도 마찬가지 오류가 발생했습니다. 아마 멀웨어에 그 이전에 감염된 것이 아닌가 의심되었습니다. (참고로 해외호스팅 중 하나인 SiteGround에서는 지난 30일 이내의 기간으로 복원이 가능합니다.)
이 경우 카페24에 문의하면 해결이 가능할지 모르겠습니다. 데이터 파일 자체에 문제가 있는 것인지, 아니면 카페24 시스템에 문제가 있는 것인지 모르겠네요. 웹호스팅의 자동 백업/복원 기능을 완전히 믿지 말고, 가능하면 한 번씩 직접 수동으로 백업을 받아서 컴퓨터나 클라우드에 저장하여 만약의 사태에 대비하는 것이 좋습니다.
클라이언트로부터 정식 의뢰를 받아서 사이트를 복구하고 의심되는 악성코드를 모두 제거한 후에 Wordfence로 사이트 스캔을 해보았습니다.
스캔 결과 위의 스크린샷과 같이 config.php 파일의 백업 파일을 웹호스팅 서버에 남겨두면 공개적으로 접근이 가능해서 위험하다는 경고가 표시되었습니다.
간혹 별 생각 없이 config.php 파일을 업데이트하면서 기존 config.php 파일의 이름을 config.php.old나 config.php.bak처럼 변경하여 서버에 남겨두는 경우가 있습니다. 이런 경우 브라우저에서 파일 이름을 직접 입력하여 접근이 가능한 것 같습니다.
그러므로 공개적으로 접근 가능한 config, 백업 또는 로그 파일을 서버에서 삭제하는 것이 안전할 것 같습니다.
그리고 Duplicator 플러그인을 사용하여 워드프레스 사이트를 이전한 후에 Duplicator로 생성된 백업 파일과 스크립트 파일(installer.php)을 사이트에 그대로 두는 경우도 있습니다. (의외로 이런 경우가 많은 것 같습니다.)
이 경우에도 문제가 될 수 있으므로 반드시 Duplicator 백업 파일을 삭제하는 것이 안전할 것 같습니다. 실제로 최근 구버전의 Duplicator로 생성된 스크립트 파일에 보안 취약점이 발견되어 문제가 되었습니다.
멀웨어 감염이나 해킹을 방지하기 위해 항상 워드프레스 코어 파일, 테마, 플러그인을 최신 버전으로 업데이트하고, 강력한 비밀번호를 사용하는 등 보안 관행에 주의를 기울이고, 그리고 사이트에서 백업 파일도 삭제하시기 바랍니다.
호스팅에서의 백구가 안되면 참으로 곤란한 것 같습니다.
저는 성격이 급해서 복구를 누르고 나서 최대 10분정도 기다려야 되는데 그 사이를 못 참고 몇번 클릭을 한 적이 있습니다..ㅋㅋ
몇 주전에 old 파일이 있는 것 같아서 이상하다고 생각을 해서 지운 적이 있는데 역시나 위험 하군요..
전 config.php 파일 등을 업데이트하면서 기존 파일을 별 생각 없이 config.php.old 비슷하게 이름을 지정하여 서버에 그대로 남겨둔 경우가 간혹 있었습니다.
(이번에 이 글을 작성하면서 관리 중인 사이트 몇 군데를 살펴보니 다행히 그런 파일은 없네요.ㅎㅎ)
카페24에서는 특히 용량이 부족해질 때 복원을 시도하면 일부 파일이 날아가는 경우가 있습니다. 운이 없으면 아예 복구도 안 될 수도 있고요. 아주 드문 경우이지만, 이런 문제를 겪는 분들이 있습니다. 가급적 수동으로 별도로 백업을 해 놓으면 안전한 것 같습니다.