워드프레스 멀웨어 제거 및 클라우드웨이즈로의 이전
최근 패스트코멧(FastComet)에 호스팅된 워드프레스 사이트가 멀웨어에 감염되어 호스팅 업체로부터 사이트가 차단되는 문제로 멀웨어 제거 및 호스팅 업체 이전 작업 의뢰를 받았습니다.
패스트코멧에서 악성코드로 사이트가 차다된다면 우선 호스팅 업체에 연락하여 자신의 IP 주소에 대한 접근을 허용받은 후, FTP를 통해 서버에 접속하여 수상한 파일들을 스캔하고 삭제해야 합니다.
저는 FTP를 통해 데이터를 백업하고 phpMyAdmin을 통해 데이터베이스를 엑스포트(Export)한 후, 악성코드를 제거한 다음 클라우드웨이즈(Cloudways)로 이전했습니다.
이전 과정에서는 기존 서버와 새로운 서버의 PHP 버전을 일치시키는 것이 중요합니다. 패스트코멧과 클라우드웨이즈 모두 PHP 버전을 쉽게 변경할 수 있으므로, 이전 중 발생할 수 있는 오류를 최소화하기 위해 버전을 맞추는 것이 좋습니다.
또한, 악성코드가 데이터와 데이터베이스 모두에 존재할 수 있으므로, 이를 철저히 검사하고 제거해야 합니다. 사이트를 최신 버전으로 업데이트하는 것도 재발 방지에 도움이 됩니다. 악성코드에 감염되는 서버에 이상한 파일들이 존재할 수 있습니다.
멀웨어를 제거하고 사이트를 이전한 후 며칠 동안 이상이 없었지만 갑자기 서버 제공자가 서버를 차단하는 일이 발생했습니다. 살펴보니 해당 멀웨어는 MS 워드 파일이나 PDF 파일을 사용자가 열 때 사이트의 특정 URL을 호출하는 방식으로 작동했습니다. 멀웨어를 제거하면서 이상한 파일들을 모두 삭제했기 때문에 존재하지 않는 URL을 요청하였고, 이를 서버 제공자가 의심스러운 활동으로 감지한 것으로 보입니다.
저는 .htaccess 파일에 특정 디렉터리에 대한 접근을 차단하는 코드를 추가했습니다. 예를 들어, 'mokozy' 디렉터리에 대한 접근을 차단하려면 다음과 같은 코드를 사용할 수 있습니다:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule ^mokozy/ - [F,L]
</IfModule>
클라우드웨이즈에 사이트에는 악성코드가 없고 DB에서도 스크립트를 확인하여 악성코드가 없는 것을 확인했다고 메일을 보내니 서버 제공자가 서버 차단을 해제해주었습니다.
워드프레스는 보안에 강한 플랫폼이지만, 테마와 플러그인의 정기적인 업데이트와 보안 관행을 준수하지 않으면 해킹이나 멀웨어 감염의 위험이 있습니다. 따라서, 정기적인 백업과 보안 점검을 통해 사이트의 안전성을 유지하는 것이 중요합니다.
원문 출처:
