최근 워드프레스에서 멀웨어에 감염된 사례가 간혹 목격되어 워드프레스 멀웨어 제거 방법에 대한 SecurePress 사이트의 글을 참고하여 정리해보았습니다. 워드프레스 사이트가 악성코드에 감염된 경우 아래 방법을 참고하여 제거를 시도해보시기 바랍니다.
참고로 아래의 방법에 따라 멀웨어(악성코드)가 의심되는 스크립트를 제거하더라도 데이터베이스(DB)에 멀웨어가 심어져 있으면 문제가 재발될 수 있으므로 DB도 체크해보는 것이 좋을 것입니다. 멀웨어에 감염될 경우 많은 시간과 노력이 들 수밖에 없고 최악의 경우 사이트를 다시 제작해야 하는 경우도 있습니다.
아래 절차를 수행하기 전에 백업을 실시해놓는 것은 좋습니다. 백업은 웹호스팅 업체에서 제공하는 기능을 이용하거나, UpdraftPlus 같은 플러그인을 사용할 수 있습니다. 백업을 하지 않고 진행할 경우, 악성코드 제거 과정에서 문제가 발생할 경우 복구가 불가능할 수 있습니다.
멀웨어에 감염되는 이유
워드프레스는 보안에 안전하지만, 업데이트를 소홀히 할 경우 멀웨어에 감염될 수 있습니다.
- 업데이트를 소홀히 하는 경우. 워드프레스 코어, 테마, 플러그인을 가급적 최신 버전으로 업데이트하여 유지해야 합니다.
- 오래된 플러그인을 사용하는 경우. 오랫동안 업데이트가 안 되고 방치되는 플러그인을 사용할 경우 악성코드에 감염되거나 사이트가 해킹당할 수 있습니다. 테마도 마찬가지입니다.
- 보안에 취약한 테마나 플러그인을 사용하는 경우. 워드프레스에는 정말로 많은 테마와 플러그인이 있습니다. 사실 누구나 테마나 플러그인을 만들 수 있으므로 모든 테마와 플러그인이 안전하다고 생각해서는 안 됩니다. 가능한 경우 많은 사람들이 사용하는 테마나 플러그인을 사용하면 조금 안심할 수 있습니다.
- 어둠의 경로를 통해 다운로드하거나 구입한 테마 또는 플러그인을 사용하는 경우. 일부 사이트에서 엘리멘터 프로나 아바다 등의 테마를 저렴하게 판매하거나 무료로 다운로드를 제공하기도 합니다. 출처가 불분명한 테마나 플러그인을 입수하여 사용할 경우 악성코드에 감염될 우려가 있습니다. 실제로 이런 사례를 자주 목격합니다.
- 공유호스팅에서 다른 사이트가 멀웨어에 감염되는 경우. 한 서버에 많은 사이트를 설치하여 사용할 경우 다른 사이트가 감염되면 해당 서버 내의 모든 사이트가 감염될 우려가 있습니다.
- 보안이 취약한 웹호스팅 이용. 간혹 특정 웹호스팅을 이용하는 사이트가 멀웨어에 자주 감염되는 사례를 목격합니다.
- 보안에 취약한 아이디나 약한 비밀번호를 사용하는 경우. admin, 사이트의 도메인명과 동일한 아이디 등을 사용자 이름으로 사용하거나 비밀번호가 약한 경우 보안에 취약할 수 있습니다. 로그인 정보를 여러 명이 공유하는 경우에도 위험할 수 있습니다.
카페24의 경우 7일 간 백업본을 제공하지만, 멀웨어에 감염된 시점이 7일 이전인 경우가 자주 있습니다. 사이트에 악성코드에 감염되었는지 여부를 초기에 인지하지 못하는 경우가 많습니다. 많은 멀웨어가 로그인 상태에서는 작동하지 않고 방문자(비로그인 사용자)로 사이트에 접속할 때 이상한 스팸 사이트로 리다이렉션 되는 등의 증상을 보입니다. 이 때문에 사이트를 정상적인 상태로 복원하기에 너무 늦게 인지하는 경우가 종종 있습니다.
멀웨어 감염 시 나타나는 증상
- 서버에 이상한 이름의 파일들이 생성되어 있는 경우가 많습니다.
- 사이트 접속 시 이상한 사이트(스팸 사이트 등)로 리디렉션될 수 있습니다.
- 이상한 플러그인이 생성되어 있을 수 있습니다.
- .htacces, wp-config.php 파일 등에 이상한 난독화된 코드가 추가되어 있을 수 있습니다.
- 추가한 적이 없는 이상한 사용자가 추가되어 있을 수 있습니다.
- 극단적인 경우이지만 사이트 파일들이 모두 삭제되어 사이트에 접속이 불가능해지는 경우도 드물지만 있습니다. 이 경우에는 백업본이 없으면 사이트 복구가 불가능합니다.
- 크롬 브라우저에서 악성코드에 감염된 사이트로 인식되어 사이트 접속이 차단될 수 있습니다.
- 이외에도 이상한 증상이 나타날 수 있습니다.
패스트코멧, 케미클라우드 등의 호스팅에서 Imunify360을 사용하여 멀웨어 스캔하기
패스트코멧이나 케미클라우드 등의 호스팅을 이용하는 경우 Imunify360 툴을 사용하여 악성코드를 검사할 수 있습니다.
cPanel에 로그인한 후에 Security » Imunify360을 클릭하여 Imunify360 툴에 접근할 수 있습니다.
Start scanning 버튼을 누르면 시스템 전체에 대하여 멀웨어 스캔이 시작됩니다.
스캔 결과 악성코드에 감염된 파일이 없으면 위의 그림과 같이 NO RESULT FOUND가 표시됩니다. 만약 멀웨어에 감염된 파일이 표시된다면, 사이트를 백업한 후에 감염된 파일들을 검토하여 악성코드를 제거할 수 있을 것입니다.
클라우드웨이즈를 이용하는 경우 사이트에 보안이 취약한 워드프레스 버전이나 테마, 플러그인이 설치되어 있으면 보안 취약점 경고 알림이 날아옵니다.
참고로 패스트코멧이나 케미클라우드는 블루호스트와 비슷한 레벨의 해외 호스팅으로 저렴하게 가성비 좋은 호스팅을 원하는 경우 괜찮은 선택일 수 있습니다.
우리나라에서는 패스트코멧 사용자가 많은 편이고 케미클라우드는 덜 알려져 있습니다. ChemiCloud는 사용자 평가에서 좋은 점수를 받고 있고 2024년 7월 31일 서울 서버를 추가하여 우리나라에서도 사이트 속도가 빠릅니다.
클라우드웨이즈: Malware Protection 애드온 도입
클라우드웨이즈에서는 Malware Protection 기능을 도입하여 멀웨어가 감지될 경우 멀웨어 위치 등 자세한 정보를 제공합니다. Malware Protection은 데이터 파일뿐만 아니라 디비(DB)에서도 악성코드가 주입되어 있는지 스캔합니다.
사이트 복원하기
멀웨어를 복구하는 쉬운 방법은 사이트를 정상 상태의 백업본으로 복원하는 것입니다.
웹호스팅에 따라 일정 기간 백업본을 보관하기도 합니다.
- 카페24의 경우 7일 간 백업본이 제공됩니다.
- 패스트코멧도 지난 7일 이내의 백업본이 유지됩니다.
- 케미클라우드의 경우 플랜에 따라 10일에서 30일 기간의 백업본을 제공합니다.
- 클라우드웨이즈에서는 백업 설정에 따라 1주 ~ 4주 기간의 백업본이 유지될 수 있습니다.
하지만 웹호스팅에서 백업/복원 기능을 제공하더라도 개별적으로 한 번씩 전체 백업을 받아서 PC나 클라우드 스토리지에 저장하는 것이 안전할 수 있습니다.
백업본을 이용하여 복원할 경우 백업본 날짜 이후에 업데이트되었거나 추가된 콘텐츠는 사라집니다.
워드프레스 멀웨어 제거 방법
단계 1: 컴퓨터 스캔
멀웨어는 다양한 방법으로 워드프레스를 감염시킬 수 있습니다. 사용 중인 컴퓨터가 FTP 비밀번호를 유출하는 바이러스에 감염된 경우도 그 중 하나이며 실제로 매우 흔합니다. 먼저 컴퓨터가 바이러스에 감염되지 않았는지 확인하도록 합니다. 최소한 Malware Bytes로 스캔하고 AVG나 Kaspersky 같은 바이러스 방지 프로그램으로도 검사하여 다시 한번 안전한지 확인하는 것이 좋습니다.
단계 2: cPanel/FTP 비밀번호 변경
컴퓨터에 바이러스가 없는 것을 확인했다면 cPanel과 FTP 패스워드를 변경해야 합니다. 비밀번호는 랜덤하게 다소 복잡하게 설정하도록 합니다. 최소 하나 이상의 특수문자와 대소문자 및 숫자를 포함하도록 합니다. 좋은 예: Y^jsd7#jBse.
Bluehost, Siteground 등 해외 호스팅에서는 웹호스팅 서비스를 편리하게 관리할 수 있도록 cPanel을 제공합니다. cPanel이 제공되는 경우 비밀번호를 변경하도록 합니다.
단계 3: 사이트 백업
먼저 사이트 전체를 백업하여 PC나 클라우드 스토리지에 보관합니다. 반드시 데이터와 DB 모두를 백업해야 합니다.
단계 4: 워드프레스 설치 파일 다운로드
공식 사이트에서 최신 버전의 새로운 워드프레스 패키지 파일을 다운로드합니다.
단계 5: 파일 압축 해제
방금 다운로드한 zip 파일이나 tar.gz 파일의 압축을 풉니다. 지금은 압축을 푼 파일을 그대로 두도록 합니다. 나중에 이용할 것입니다.
단계 6: 워드프레스 멀웨어 감염 제거
FTP/SFTP에 접속합니다. FTP/SFTP 접속 방법은 다음 글을 참고해보세요.
wp-content 폴더와 wp-config.php 파일을 제외하고는 모두 삭제합니다.
이제 워드프레스 설치 사이트에는 다음과 같은 항목이 있을 것입니다.
- wp-content
- wp-config.php
wp-config.php 파일을 클릭하여 편집하도록 엽니다. 이상한 코드나 비정상적인 것이 없는지 확인합니다. 이 파일에 멀웨어가 있으면 임의의 텍스트로 된 긴 문자열 같은 것이 있을 것입니다 확실히 하기 위해 wp-config-sample.php 파일과 비교해볼 수 있습니다.
이제 wp-content 폴더로 이동하여 plugins와 themes 폴더 내의 모든 플러그인과 테마를 삭제합니다.
플러그인과 테마 파일들을 새롭게 다운로드하여 업로드합니다. 반드시 공식 사이트에서 다운로드하여 업로드하시기 바랍니다. 공식 사이트가 아닌, 어둠의 경로나 출처가 의심스러운 곳에서 다운로드할 경우 악성코드가 심어져 있을 수도 있습니다.
uploads 폴더 내의 모든 디렉터리를 체크하여 php 파일이나 업로드하지 않은 것이 있는지 확인합니다.
단계 7: 워드프레스 재업로드
단계 4에서 압축을 해제한 새로운 워드프레스 파일을 FTP를 통해 업로드합니다.
테마를 제거했다면 감염되지 않은 깨끗한 상태의 테마 파일들도 다시 업로드해야 합니다.
단계 8: 워드프레스 관리자 비밀번호 변경 및 플러그인 재설치
이제 알림판에 접속할 수 있을 것입니다. 알림판에 로그인하여 관리자 비밀번호를 변경하도록 합니다. 비밀번호는 항상 추측하기 어렵도록 랜덤하게 설정해야 합니다. kitten44나 tomcruise 같은 기본적인 단어를 사용하지 마십시오(실제로 이런 비번을 사용하는 사람이 있다고 하네요). 약한 비밀번호를 사용하면 해킹을 당할 수 있습니다. 그리고 admin을 관리자 계정으로 사용하지 마십시오.
Gsdi6!33&W 같은 랜덤한 패스워드를 사용하고 싶지 않다면 3개 이상의 단어로 된 흔하지 않은 문구(예: AragornLuvsArwen<3)를 사용하십시오. 강한 비밀번호는 일반적이지 않은 단어들, 최소 1개의 숫자, 1개 이상의 특수문자, 대소문자 혼합 등으로 이루어집니다.
단계 9: DB에서 악성코드 제거
많은 경우 상기의 조치로 문제가 해결되지만, 경우에 따라 데이터베이스에 악성코드가 주입되어 있을 수 있습니다. 그런 경우에는 데이터베이스(DB)에서 악성코드를 찾아서 제거해야 합니다.
예를 들어, 패치 되지 않은 Newspaper 테마를 사용할 경우 DB도 악성코드가 삽입될 수 있습니다. 자세한 내용은 다음 글을 참고하여 디비에서도 악성코드를 제거할 수 있습니다.
DB에 악성코드가 주입된 경우에는 제거가 쉽지 않을 수 있습니다. 의심되는 파일들을 모두 제거해도 멀웨어 증상이 나타나면 웹호스팅 업체에 연락하여 디비에 악성코드가 없는지 스캔을 요청해볼 수 있습니다.
악성코드 제거에 어려움을 겪는 경우 여기에서 서비스(유료)를 의뢰하실 수 있습니다.
단계 10: 구글 경고 제거하기
이제 사이트에 멀웨어가 없으므로 구글에 "이 사이트는 컴퓨터에 문제를 야기할 수 있습니다." 경고를 제거해줄 것을 요청할 수 있습니다.
이 방법으로 멀웨어가 제거되지 않는 경우
이 방법으로도 악성코드가 제거되지 않는 경우가 있습니다. 그런 경우에는 악성코드가 데이터베이스에도 심어져 있을 수 있습니다.
멀웨어에 감염되거나 사이트가 해킹당하는 경우 보통 악성코드가 파일들에 심어지지만, 경우에 따라 디비(DB)에도 함께 악성코드가 주입될 수 있습니다.
데이터베이스에서 악성코드를 체크하여 제거해야 사이트가 정상화될 것입니다. 최근 아바다 테마를 사용하는 사이트에서 이와 같은 문제를 경험한 적이 있습니다.
마치며
사이트가 악성코드에 감염되면 해결에 시간과 비용이 많이 소요될 수 있으므로 멀웨어나 악성코드에 감염되거나 해킹을 당하기 전에 미리 기본적인 보안 조치를 하여 대비하는 것이 중요합니다.
- 워드프레스 코어 파일, 테마, 플러그인 등을 최신 버전으로 업데이트
- 보안 플러그인(Wordfence, iThemes Security 등) 설치
- 정기적인 백업
위와 같은 세 가지 조치만으로도 만일의 사태에 대비할 수 있습니다. 최악의 경우 멀웨어에 감염되더라도 백업본을 이용하여 복원이 가능합니다.
멀웨어나 워드프레스, 웹호스팅 등의 문제로 어려움을 겪는 경우 아래 페이지에서 서비스(유료)를 의뢰하실 수 있습니다. 저렴한 비용에 서비스를 제공하고 있습니다.😄
유비무환(有備無患)
악성코드에 감염되거나 해킹을 당하기 전에 미리 대비하는 것이 최선 같습니다. 위에서 언급했듯이 1) 정기적인 업데이트, 2) 보안 플러그인 설치, 3) 정기적인 백업을 통해 만약의 사태에 대비할 수 있습니다.
업데이트: 이 워드프레스는 현재 클라우드웨이즈에서 Bot Protection 기능을 활성화하여 보안에 대응하고 있습니다. 클라우드웨이즈를 이용하는 경우 Bot Protection과 함께 Wordfence와 같은 보안 플러그인을 설치하여 함께 사용하는 것도 가능합니다.
안녕하세요.. 현재 국내 호스팅 업체를 통해 한 서버에 3개의 블로그를 운영 중에 있는데요. 지난 주에 서치콘솔에서 각 속성에 색인 생성 문제가 발생했다는 메시지가 일괄적으로 도착하였고, 확인해 보니 모든 블로그에 몇천개의 이상한 주소(예시 : https://abc.com/카테고리/보드게임/video-id-12)가 공통적으로 크롤링되어 있는 것을 확인했습니다.
문제는 서치콘솔에서 크롤링된 주소로 이동하면 도박 사이트로 이동되는 것이 확인되는 데, 직접 주소창에 해당 주소를 입력하면 제 블로그에 이동되어 설정된대로 없는 주소라는 메시지가 출력되고 있습니다.
일단 워드펜스와 같은 플러그인을 통해 확인해 보니 멀웨어가 감지되지는 않고, 파일질라로 서버에 접속하여 날짜순으로 파일을 확인해도 무엇이 잘못되었는지 알기가 어려운 상황인데요.
직접적으로 주소 이동이 되지 않는 상황이라 신경쓰지 않아도 될만한 상황인가와
한 서버에 설치된 블로그에 일괄적으로 발생한 상황이다 보니, 어떠한 부분을 살펴봐야할 지 모르겠어서 질문을 남겨봅니다..
감사합니다 ㅜㅜ
안녕하세요, 레이스님. 멀웨어에 감염될 경우의 증상 중 하나인 것 같네요.
악성코드에 감염되는 경우 wordfence를 설치하여 스캔해도 감지가 안 될 수 있습니다.
멀웨어를 완전히 제거한 후에 wordfence로 스캔하여 남아 있는 멀웨어를 잡아낼 수 있습니다.
또한, 디비(DB)에 악성코드가 주입되는 경우 워드펜스에서 잡아내지 못할 것입니다.
해결하는 데 어려움을 겪는 경우 서비스 의뢰(유료)를 하실 수 있습니다.
좀 오래된 글이라 답변이 늦게 달릴것 같지만 희망을 걸고 문의드립니다.
현재 고객사 사이트가 멀웨어가 걸려 고생을 하고있습니다. 디비백업을 받고, 플러그인목록과, 테마목록을 메모해두고
해당 uploads폴더와 테마의 차일드 폴더만 백업후 새로운 워드프레스 설치후 기존디비를 그대로 붓고 진행중입니다만
uploads폴더나 기존에 백업받은 파일을 쓰는데 조금 꺼림칙하네요.
그리고 추천해주신 모든 보안프로그램 iThemes Security나 Wordfence는 유료를 했을경우만
멀웨어 스캔과 방지를 해주는것 같은데 맞나요? 무료버전에서 일단 멀웨어 감염된 스캔은 안되는것 같고
무료버전만 사용해을때 추후 방지는 되는지 궁금합니다.
안녕하세요?
uploads 폴더를 체크하여 이상한 파일(php 파일)이 있는지 체크하여 삭제해주시기 바랍니다.
iThemes Security의 경우 유료 버전을 사용하면 매일 멀웨어 스캔을 하여 문제가 발생 시 메일로 통지를 해줍니다.
그러므로 멀웨어가 있다는 리포트를 받으면 백업해준 데이터와 DB를 가지고 복구할 수 있을 것입니다.
위의 설명대로 조치한 후에 멀웨어 증상이 나타나는지 체크해보시기 바랍니다.
경우에 따라 DB에도 멀워에 코드가 심어져 있을 수 있습니다.
보안 플러그인의 무료 버전을 사용해도 보통 괜찮을 것 같습니다.
저는 이 블로그와 영문 버전에만 유료 버전을 설치했고, 나머지는 모두 무료 버전을 이용하고 있습니다.
문제가 잘 해결되기를 바랍니다.
----
참고로 다음 네이버 카페에서 워드프레스 관련 정보를 공유하고 워드프레스 사용자들과 커뮤니케이션할 수 있습니다. 그리고 궁금한 사항을 질문할 수도 있습니다.
https://cafe.naver.com/wphomepage
워드님 조언 덕분에 백업 복원 진행하여 사이트가 정상으로 돌아왔습니다. 다시한번 감사드립니다.
혹시 워드님은 현재 보안 플러그인을 사용하고 계신지요?
문제가 잘 해결되어 다행이네요 :)
멀웨어에 감염되면 복원할 수 있는 경우 복원하는 것이 최선 같습니다.
저는 iThemes Security 플러그인을 주로 사용합니다.
여러 가지 플러그인이 있으므로 마음에 드는 것을 선택하여 사용하시면 됩니다.
만약 멀웨어 치료를 위해서 파일을 웹서버에서 내컴퓨터로 다운로드 할 경우 내컴퓨터가 감염되지는 않을까요? 검색해보아도 웹서버에 있는 파일을 치료하는 방법을 못찾겠네요 ㅠㅠ
저는 컴퓨터에 바이러스 스캔 프로그램이 설치되어 있어서 웹서버에 있는 파일이나 이메일 첨부된 파일을 다운로드할 때 악성코드가 의심되는 경우에 자동으로 삭제되더군요.
아래에도 언급했듯이 먼저 백업본이 있는지 확인하여 백업본을 사용하여 사이트를 복원해보시기 바랍니다.
안녕하세요. 워드님!
제가 관리중인 사이트가 해킹을 당한것 같습니다. 엉뚱한 아이디가 관리자로 등록되어 있고 멀웨어 바이러스까지 감염되었네요 ㅠㅠ
몇가지 질문 드려도 될까요?
1. 위의 과정처럼 삭제 후 재설치를 거치면 테마 세팅이나 플러그인 설정, 그리고 추가된 css 내용은 모두 리셋되지 않을까요?
2. 멀웨어 치료과정은 파일을 다운로드하여 컴퓨터에서 malwarebytes 프로그램으로 치료하는 것인가요? 아니면 서버에 있는 파일을 치료할 수 있는 툴이 있나요?
안녕하세요?
백업본이 있다면 사이트를 복원해보시기 바랍니다.
백업본이 없다면 웹호스팅 업체에 한 번 문의해보시기 바랍니다.
직접 멀웨어를 치료하는 것이 쉽지 않을 수 있습니다. 방법은 위에서 제시되어 있으니 숙지하신 후에 진행해보시기 바랍니다.
먼저는 백업을 확실히 해 두시기 바랍니다.
차일드 테마를 만들지 않고 테마 소스 파일을 직접 수정한 경우에는 수정 사항이 모두 사라질 것입니다. 플러그인 소스 파일을 직접 수정한 경우에도 마찬가지이고요.
사이트를 복구한 후에는 가능한 한 워드프레스와 테마, 플러그인을 최신 버전으로 업데이트해야 멀웨어가 재발하지 않을 것입니다.
사이트그라운드에 자동백업되어 있어 복원은 가능한데 문제는 동일 서버에 두개의 도메인을 운영중이라서 복원을 하게되면 두개의 도메인 모두 과거로 돌아가버려서 약 일주일간 올라온 게시물이 모두 없어지게 되는 문제가 있습니다.
혹시 이런 방법이 가능할까요?
1. 멀웨어 감염되지 않은 A 사이트를 현재시점으로 백업 진행한다.(UpdraftPlus를 이용)
2. 사이트 그라운드의 백업을 이용하여 서버 전체를 일주일 전 시점으로 복원한다.
3. A 사이트의 현재시점 백업본으로 A사이트만 Updraft 를 이용하여 복원한다.
사이트그라운드에서 복원하실 때 Full Account를 선택하지 말고 개별 폴더를 선택하여 복원해보시기 바랍니다.
사이트그라운드(https://www.thewordcracker.com/go/siteground )에서는 아시다시피 30일 이내의 기간으로 복원이 가능합니다. 전체 사이트를 복원할 수도 있지만, 개별 폴더별, 개별 DB별로도 복원이 가능합니다.
https://www.thewordcracker.com/miscellaneous/%ED%95%B4%EC%99%B8-%ED%98%B8%EC%8A%A4%ED%8C%85-siteground%EC%97%90%EC%84%9C-%EB%B0%B1%EC%97%85-%EB%B3%B5%EC%9B%90-%EA%B8%B0%EB%8A%A5-%EC%97%85%EB%8D%B0%EC%9D%B4%ED%8A%B8/