며칠 전에 Elementor Pro가 설치된 워드프레스 사이트가 멀웨어(Malware)에 감염되어 스팸 사이트로 이동하는 문제를 해결하는 작업을 맡았습니다. 로그아웃 상태에서 워드프레스 사이트에 접속하면 “Loading… Please bear with us. This will be brief”라는 영어로 된 문구가 표시되는 화면이 잠시 나타났습니다.
그런 다음, 곧바로 아마존 사이트를 사칭한 것과 같은 이상한 사이트가 표시되었습니다. 설문조사에 참여하고 아이폰을 받으라는 내용 같습니다.
엘리멘터 프로가 설치된 워드프레스에서 멀웨어 제거 작업
요즘은 멀웨어가 교묘해져서 관리자로 로그인하면 리디렉션이 발생하지 않고, 방문자(비로그인 사용자)로 사이트에 접속하면 이상한 사이트로 이동하는 경우가 많습니다. 이 때문에 관리자가 한동안 사이트가 악성코드에 감염되었는지를 알지 못하는 경우가 있습니다. 그러면 자치하면 쉽게 복구할 수 있는 기회를 놓치게 됩니다.
악성코드에 감염된 것으로 의심이 되면, 해당 사이트를 멀웨어에 감염되기 전 상태로 되돌리면 문제가 간단히 해결됩니다.
사이트를 이전 상태로 복구한 후에는 반드시 보안 조치를 취해야 합니다. 그렇지 않으면 다시 멀웨어에 감염될 위험이 있습니다.
카페24는 최근 7일 이내의 백업본으로 복원이 가능하며, 패스트코멧도 7일치 자동 백업본을 제공합니다. 클라우드웨이즈는 설정에 따라 최대 한 달 동안의 자동 백업본을 보관할 수 있습니다.
하지만 이러한 방법으로 사이트를 복원하면 백업 시점 이후에 추가된 콘텐츠가 사라질 수 있으므로, 복원을 결정하기 전에 신중하게 고려해야 합니다. 잘못하면 중요한 데이터를 잃을 수 있습니다. 최신 콘텐츠를 보존해야 한다면, 멀웨어를 제거하고 보안을 강화하는 작업이 필요합니다.
FTP로 접속해 보니 플러그인 폴더 안에는 ‘_org’로 끝나는 플러그인들이 있었으며, 백업 파일을 윈도우에서 압축 해제할 때 Elementor Pro를 포함한 일부 플러그인과 테마 파일에서 악성코드가 발견되었다는 경고가 나타났습니다.
작업 과정은 다음과 같습니다: 1) 백업본을 다운로드하여 멀웨어에 감염된 파일들을 제거했고, 2) 이후 클라우드웨이즈에서 테스트 사이트를 설정하여 복원 작업을 진행했습니다. 3) 복원 이후, Wordfence를 활용하여 사이트 전체에 대한 악성코드 스캔을 실시, 악성코드가 완전히 제거되었음을 확인했습니다.
데이터 용량이 큰 경우, 압축 파일을 업로드한 후 SSH를 통해 서버에서 직접 압축을 해제하는 방식이 훨씬 효율적입니다.
데이터 파일이나 폴더를 압축하여 업로드한 후 SSH를 통해 압축을 해제하는 방식으로 데이터를 업로드했습니다. 특히 해외 호스팅 서비스를 이용할 때, 서울 리전이 아닌 경우 업로드나 다운로드에 상당한 시간이 소요될 수 있습니다. 이때 압축을 이용하면 시간을 절약할 수 있습니다.
클라우드웨이즈는 Vultr의 서울 리전을 제공하며, DigitalOcean의 경우 싱가포르 리전을 사용할 수 있습니다. 서울 리전이 아닌 해외 리전을 이용할 때에는 직접 다량의 파일을 업로드하려 하면 시간이 많이 걸릴 수 있습니다. 이 경우 파일과 폴더들을 압축하여 업로드하는 방법을 고려해 보시는 것이 좋습니다.
리눅스 환경에서 파일을 압축 해제하는 방법에 대해서는 관련 문서나 지침을 참조하시기 바랍니다. 이 방법을 통해 시간을 절약하고 데이터 전송 과정을 더욱 효율적으로 만들 수 있습니다.
파일을 대량으로 삭제해야 하는 경우에도 SSH를 이용하면 빠르게 파일들과 폴더들을 삭제할 수 있습니다.
악성코드나 워드프레스와 관련하여 어려움을 겪는 경우 여기에서 서비스(유료)를 의뢰하실 수 있습니다.
참고
