워드프레스 강좌 / 멀웨어 제거, 치료하는 방법
워드프레스와 멀웨어
워드프레스를 사용하는 사이트가 많다보니 공격도 많이 당합니다. 멀웨어에 감염되어서 사이트가 느려지거나, 서버 자원을 필요 이상으로 소비하거나, 다른 사이트로 리다이렉트시키는 등의 문제가 발생합니다.
멀웨어에 감염되면 index.php나 wp-config.php 등 주요 파일이 변형됩니다. 그리고 이상한 파일이 여기저기 잔뜩 생성됩니다. 따라서 치료 방법은 단순합니다. 변형된 파일은 문제 없는 파일로 교체하고, 이상한 파일은 삭제하면 됩니다.
문제는 그러한 파일을 찾는 게 쉽지 않다는 것입니다. 어떻게 처리하는 게 가장 수월할까요?
치료하기 전에
백업
감염된 상태이기는 하지만, 혹시 필요할 수 있으니 백업합니다.
.htaccess, wp-config.php
- 아래 방법을 적용하기 전에 제일 먼저 할 것은 .htaccess와 wp-config.php의 감염 여부를 확인하는 것입니다. 워드프레스를 설치, 운영하면서 생성된 파일이기 때문입니다.
- 실행 권한이 있다면 권한을 제거하고, 파일을 열어서 이상한 코드가 있다면 삭제합니다. wp-config.php는 wp-config-sample.php와 비교하면 찾기가 수월합니다.
- 감염되기 전의 백업 파일이 있다면, 그 파일과 비교해도 됩니다.
비밀번호 변경
- 워드프레스 로그인 비밀번호부터 호스팅 계정의 비밀번호, 데이터베이스 비밀번호 등 바꿀 수 있는 비밀번호는 다 바꿉니다.
- 만약 데이터베이스의 비밀번호를 바꾸었다면 wp-config.php에 있는 비밀번호도 수정해주여야 합니다. 코드는 다음처럼 생겼습니다.
define('DB_PASSWORD', 'xxx');
플러그인을 사용할 수 있는 경우
감염된 파일을 찾는 방법은 여러 가지가 있지만, 플러그인의 도움을 받는 게 쉽습니다. 관련 플러그인이 여러 가지가 있는데, 사용자가 많은 Wordfence Security를 사용해보겠습니다.
플러그인을 설치하고 활성화합니다. 이메일을 등록하라고 나오는데, 등록해야 사용 가능합니다.
[Wordfence - Scan]에서 START NEW SCAN을 클릭하면 검사합니다.
검사 결과는 다음처럼 나옵니다.
- 기존 파일에 악성 코드가 추가된 것은 REPAIR를 클릭해서 교체를 할 수 있습니다.
- REPAIR가 없는 것은 새로 추가된 악성 파일입니다. FTP 등으로 접속해서 삭제합니다.
플러그인을 사용할 수 없는 경우
만약 플러그인을 사용할 수 없다면 지울 수 있는 것은 다 지우고 깨끗한 파일로 교체합니다.
워드프레스 코어
- 사용중인 버전과 같은 버전의 워드프레스를 다운로드합니다.
- wp-content 디렉토리와 .htaccess와 wp-config.php를 제외한 나머지를 다 지웁니다.
- 다운로드 한 워드프레스를 wp-content를 제외하고 업로드합니다.
플러그인과 테마
- 플러그인과 테마도 코어를 처리한 방식과 같은 방식으로 교체합니다. 즉, 플러그인과 테마를 새로 다운로드하고, 기존 파일들을 삭제한 후, 다운로드한 것을 업로드합니다.
사용자가 업로드한 파일들
- 코어와 플러그인, 테마를 교체해도 문제가 계속 된다면 남아있는 건 wp-content/uploads 디렉토리입니다.
- 사용자가 업로드한 파일들, 플러그인 등이 생성한 파일들은 wp-content/uploads 디렉토리에 모여있는데, 여기는 하나씩 살펴보는 수밖에 없습니다.
워드프레스 강좌 / 플러그인 / Korea SNS / 카카오톡 등 한국형 SNS 공유 플러그인
Korea SNS Korea SNS는 포스트 등을 SNS에 쉽게 공유(게재)할 수 있게 해주는 플러그인입니다. 가장 큰 특징은 카카오톡, 라인, 밴드, 네이버 블로그 등 한국에서 많이 사용하는 SNS를 지원한다는 것입니다. 현재 지원하는 SNS는 다음과 같습니다. Facebook Twitter Google Kakao Story Kakaotalk Link Naver Line Naver Band Naver Blog 설치 에서 Koran SNS로 검색하여 플러그인을 추가하고 활성화시킵니다. 설정 설정은 에서 할 수 있습니다. 어떤 ...
워드프레스 강좌 / 자동 업데이트와 자동 업데이트 끄는 방법
자동 업데이트 워드프레스는 코어, 플러그인, 테마, 번역 네가지 분류로 업데이트를 하고, 업데이트는 보통 마이너 업데이트, 메이저 업데이트로 구분합니다. (코어는 워드프레스 자체를 의미합니다.) 워드프레스 기본 설정 하에서는 마이너 업데이트와 번역 업데이트는 자동으로 업데이트합니다. 즉, 사용자가 아무런 작업을 하지 않아도 백그라운드에서 업데이트를 해버리는 것이죠. 메이저 업데이트는 알림이 뜨고, 사용자가 직접 업데이트를 합니다. 보안 측면에서는 자동 ...
워드프레스 강좌 / 플러그인 / Loco Translate / 번역 파일을 수정하거나 새로 만드는 플러그인
번역 워드프레스, 플러그인, 테마는 번역 파일을 이용해서 각 나라의 언어로 표현될 수 있도록 만들어집니다. 번역 파일은 보통 자동으로 설치되고, 다운로드 받아서 사용할 수도 있습니다. 하지만, 번역 파일이 존재하지 않는 플러그인이나 테마가 있을 수도 있고, 번역 파일이 있어도 번역이 마음에 들지 않을 수도 있습니다. 그럴 땐 직접 번역 파일을 만들거나 수정하여 사용할 수 있습니다. Loco Translate Loco ...
워드프레스 강좌 / 플러그인 / DW Question & Answer / 질문과 답변 게시판 플러그인
게시판 형식은 여러 가지가 있습니다. 그 중 하나가 Q&A 형식의 게시판입니다. 질문을 남기면 답변을 달고, 질문자는 여러 답변에서 원다는 답을 채택하는 시스템입니다. Stack Overflow, 네이버 지식인과 비슷하다고 할 수 있습니다. 워드프레스에도 그런 형식의 게시판을 만들 수 있는 플러그인들이 있습니다. 그 중 하나가 DW Question & Answer입니다. 설치하고 사용하는 방법을 알아보겠습니다. 설치와 설정 워드프레스 ...
워드프레스로 만는 A라는 사이트의 콘텐츠를 워드프레스로 만든 B라는 사이트로 옮길 때 사용하는 것이 내보내기와 가져오기입니다. 내보내기 내보내기는 에서 합니다. 사용하는 테마나 플러그인에 따라, 내보내는 콘텐츠가 적을 수도 있고... 많을 수도 있습니다. 내보낼 콘텐츠를 선택한 다음 를 클릭합니다. 다운로드하는 파일은 텍스트만 포함한 XML 파일로, 파일 크기는 그리 크지 않습니다. 가져오기 가져오기는 에서 합니다. ...
워드프레스를 설치할 때 관리자 계정을 만들고 메일 주소를 입력합니다. 워드프레스가 자동 업데이트 되거나, 댓글이 달리는 등 주요 사건이 발생하면 그 메일로 알림을 보냅니다. 따라서 수신 가능한 메일 주소로 설정하고, 변경이 필요하면 바로바로 업데이트하는 것이 좋습니다. 워드프레스 이메일 주소 변경하기 으로 이동합니다. 이메일 주소를 입력합니다. 을 클릭합니다. 새로운 이메일 주소로 인증 메일이 ...
워드프레스 강좌 / 워드프레스, 테마, 플러그인 업데이트 하는 방법
업데이트 워드프레스는 워드프레스 코어, 플러그인, 테마, 번역 네가지 범주로 업데이트 됩니다. 기능 추가/개선을 위한 업데이트라면 업데이트를 하지 않거나 미룰 수 있지만, 보안 관련 업데이트는 바로바로 해주는 것이 좋습니다. 업데이트는 워드프레스 관리자에서 할 수도 있고, FTP 등을 이용하여 파일 교체 방식으로 할 수도 있습니다. 워드프레스 관리자에서 하는 게 편하므로, 특별한 이유가 없다면 관리자 ...
워드프레스 강좌 / 플러그인 / List Category Posts / 다양하게 글 목록 출력시켜주는 플러그인
워드프레스 기본 위젯에 최근 글 위젯이 있습니다. 최신 글 목록을 보여주는 위젯으로 제목 또는 제목과 날짜를 출력해줍니다. 워낙 단순한 기능의 위젯이라 불편한 점이 좀 있습니다. 요약글을 보여주지도 못하고, 썸네일을 출력할 수도 없습니다. 글쓴이를 보여주거나 특정 카테고리의 글만 출력하지도 못합니다. 이를 해결해주는 플러그인 중의 하나가 List category posts입니다. 원하는 카테고리의 글을 원하는 양식으로 ...
워드프레스 강좌 / 플러그인 / WP Login Timeout Settings / 세션 타임 변경 플러그인
워드프레스에 로그인하면 2일 동안 로그인 상태가 유지됩니다.(웹브라우저를 닫으면 로그아웃 됩니다.) 로그인할 때 에 체크하면 14일 동안 로그인 상태가 유지됩니다.(웹브라우저를 닫아도 로그아웃되지 않습니다.) 로그인 상태를 유지하는 기간이 짧거나 길게 느껴진다면 변경할 수 있습니다. 테마의 functions.php를 수정하는 방법도 있지만, 플러그인을 사용하는 게 편합니다. WP Login Timeout Settings를 설치하고 활성화합니다. 기간 변경의 필요가 없어서인지 사용자가 ...
워드프레스는 페이지, 글, 카테고리, 태그, 사용자 정의 링크 등으로 메뉴를 만들 수 있습니다. 그리고 그 메뉴는 테마가 제공하는 위치에 배치를 합니다. 하나의 메뉴를 여러 곳에 배치할 수도 있고, 위젯에 추가하는 것도 가능합니다. 메뉴 생성과 관리는 에서 합니다. 화면 옵션 메뉴에 추가할 수 있는 아이템은 여러 가지가 있습니다. 그리고 테마나 플러그인으로 ...