해킹된 WordPress 사이트에서 백도어를 찾고 수정하는 방법
게시 됨: 2022-03-15WordPress 웹사이트가 해킹당했습니까?
해커는 웹사이트를 보호한 후에도 다시 침입할 수 있도록 백도어를 설치하는 경우가 많습니다. 백도어를 제거할 수 없다면 막을 방법이 없습니다.
이 기사에서는 해킹된 WordPress 사이트에서 백도어를 찾고 수정하는 방법을 보여줍니다.
웹사이트가 해킹되었는지 확인하는 방법
WordPress 웹 사이트를 실행하는 경우 보안을 심각하게 고려해야 합니다. 웹사이트가 하루 평균 44번 공격을 받기 때문입니다.
최고의 WordPress 보안 가이드에서 사이트를 안전하게 유지하기 위한 모범 사례를 배울 수 있습니다.
그러나 귀하의 사이트가 이미 해킹을 당했다면 어떻게 하시겠습니까?
WordPress 사이트가 해킹되었다는 징후에는 웹사이트 트래픽 또는 성능 저하, 잘못된 링크 또는 알 수 없는 파일 추가, 홈페이지 손상, 로그인 불가능, 의심스러운 새 사용자 계정 등이 있습니다.
해킹된 웹사이트를 정리하는 것은 엄청나게 고통스럽고 어려울 수 있습니다. 해킹된 WordPress 사이트를 수정하기 위한 초보자 가이드의 단계별 프로세스를 안내합니다. 또한 해커가 남긴 맬웨어가 있는지 사이트를 검사해야 합니다.
그리고 백도어를 닫는 것을 잊지 마십시오.
똑똑한 해커는 결국 웹사이트를 정리하게 될 것임을 알고 있습니다. 그들이 할 수 있는 첫 번째 일은 백도어를 설치하여 WordPress 웹사이트의 정문을 확보한 후 다시 몰래 들어갈 수 있도록 하는 것입니다.
백도어란?
백도어는 웹사이트에 추가된 코드로 해커가 탐지되지 않은 채 일반 로그인을 우회하면서 서버에 액세스할 수 있도록 합니다. 웹사이트에서 악용된 플러그인이나 취약점을 찾아 제거한 후에도 해커가 다시 액세스할 수 있습니다.
백도어는 사용자가 침입한 후 해킹의 다음 단계입니다. WordPress 사이트가 해킹되는 방법과 방지하는 방법에 대한 가이드에서 백도어가 해킹을 수행한 방법을 배울 수 있습니다.
백도어는 종종 WordPress 업그레이드 후에도 살아남습니다. 즉, 모든 백도어를 찾아 수정할 때까지 사이트가 취약한 상태로 유지됩니다.
백도어는 어떻게 작동합니까?
일부 백도어는 단순히 숨겨진 관리자 사용자 이름입니다. 사용자 이름과 암호를 입력하여 해커가 정상적으로 로그인할 수 있도록 합니다. 사용자 이름이 숨겨져 있기 때문에 다른 사람이 귀하의 웹사이트에 액세스할 수 있다는 사실조차 인식하지 못합니다.
더 복잡한 백도어를 사용하면 해커가 PHP 코드를 실행할 수 있습니다. 그들은 웹 브라우저를 사용하여 수동으로 코드를 웹사이트로 보냅니다.
다른 사람들은 WordPress 호스팅 서버로 이메일을 보내고 SQL 데이터베이스 쿼리를 실행하는 등의 작업을 수행할 수 있는 완전한 사용자 인터페이스를 가지고 있습니다.
일부 해커는 하나 이상의 백도어 파일을 남깁니다. 하나를 업로드한 후 액세스를 보장하기 위해 다른 하나를 추가합니다.
백도어는 어디에 숨겨져 있습니까?
우리가 찾은 모든 경우에 백도어는 WordPress 파일처럼 보이도록 위장했습니다. WordPress 사이트의 백도어 코드는 일반적으로 다음 위치에 저장됩니다.
- WordPress 테마 이지만 현재 사용 중인 테마가 아닐 수도 있습니다. 워드프레스를 업데이트할 때 테마의 코드를 덮어쓰지 않으므로 백도어를 두기에 좋은 곳입니다. 그렇기 때문에 모든 비활성 테마를 삭제하는 것이 좋습니다.
- WordPress 플러그인 은 백도어를 숨기기에 좋은 또 다른 장소입니다. 테마와 마찬가지로 WordPress 업데이트로 덮어쓰여지지 않으며 많은 사용자가 플러그인 업그레이드를 꺼립니다.
- 업로드 폴더에는 수백 또는 수천 개의 미디어 파일이 포함될 수 있으므로 백도어를 숨기기에 좋은 또 다른 장소입니다. 블로거는 이미지를 업로드한 다음 게시물에 사용하기 때문에 내용을 거의 확인하지 않습니다.
- wp-config.php 파일에는 WordPress를 구성하는 데 사용되는 민감한 정보가 포함되어 있습니다. 해커가 가장 많이 표적으로 삼는 파일 중 하나입니다.
- wp-includes 폴더에는 WordPress가 제대로 실행되는 데 필요한 PHP 파일이 포함되어 있습니다. 대부분의 웹 사이트 소유자가 폴더에 무엇이 들어 있는지 확인하지 않기 때문에 백도어를 찾는 또 다른 장소입니다.
우리가 발견한 백도어의 예
다음은 해커가 백도어를 업로드한 몇 가지 예입니다. 우리가 정리한 한 사이트에서 백도어는 wp-includes 폴더에 있었습니다. 파일 이름은 wp-user.php 로 순진해 보이지만 실제로는 일반 WordPress 설치에는 존재하지 않습니다.
또 다른 예에서는 업로드 폴더에서 hello.php 라는 PHP 파일을 찾았습니다. Hello Dolly 플러그인으로 위장했습니다. 이상한 점은 해커가 플러그인 폴더 대신 업로드 폴더에 넣었다는 것입니다.
.php 파일 확장자를 사용하지 않는 백도어도 발견했습니다. 한 가지 예는 wp-content.old.tmp 라는 파일이었고 우리는 .zip 확장자를 가진 파일에서도 백도어를 발견했습니다.
보시다시피, 해커는 백도어를 숨길 때 매우 창의적인 접근 방식을 취할 수 있습니다.
대부분의 경우 파일은 모든 종류의 작업을 수행할 수 있는 Base64 코드로 인코딩되었습니다. 예를 들어 스팸 링크를 추가하고, 페이지를 추가하고, 기본 사이트를 스팸 페이지로 리디렉션하는 등의 작업을 수행할 수 있습니다.
그렇다면 해킹된 워드프레스 사이트에서 백도어를 찾아 수정하는 방법에 대해 알아보겠습니다.
해킹된 WordPress 사이트에서 백도어를 찾고 수정하는 방법
이제 백도어가 무엇이며 어디에 숨겨져 있는지 알 수 있습니다. 어려운 부분은 그것을 찾는 것입니다! 그 후에 정리는 파일이나 코드를 삭제하는 것만큼 쉽습니다.
1. 잠재적인 악성 코드 검사
웹사이트에서 백도어와 취약점을 검사하는 가장 쉬운 방법은 WordPress 멀웨어 스캐너 플러그인을 사용하는 것입니다. Securi는 백도어 관련 공격 29,690건을 포함하여 3개월 동안 450,000건의 WordPress 공격을 차단하는 데 도움이 되었기 때문에 Securi를 추천합니다.
그들은 웹 사이트에서 일반적인 위협을 검색하고 WordPress 보안을 강화할 수 있는 WordPress용 무료 Sucuri Security 플러그인을 제공합니다. 유료 버전에는 하루에 한 번 실행되고 백도어 및 기타 보안 문제를 찾는 서버 측 스캐너가 포함됩니다.
잠재적인 악성 코드가 있는지 WordPress 사이트를 스캔하는 방법에 대한 가이드에서 자세히 알아보세요.
2. 플러그인 폴더 삭제
의심스러운 파일과 코드를 찾는 플러그인 폴더를 검색하는 것은 시간이 많이 걸립니다. 그리고 해커는 너무 교활하기 때문에 백도어를 찾을 수 있다는 보장이 없습니다.
가장 좋은 방법은 플러그인 디렉토리를 삭제한 다음 플러그인을 처음부터 다시 설치하는 것입니다. 이것은 플러그인에 백도어가 없는지 확인하는 유일한 방법입니다.
FTP 클라이언트 또는 WordPress 호스트의 파일 관리자를 사용하여 플러그인 디렉토리에 액세스할 수 있습니다. 이전에 FTP를 사용한 적이 없다면 FTP를 사용하여 WordPress에 파일을 업로드하는 방법에 대한 가이드를 참조하십시오.
웹사이트의 wp-content 폴더로 이동하려면 소프트웨어를 사용해야 합니다. 거기에 있으면 plugins 폴더를 마우스 오른쪽 버튼으로 클릭하고 '삭제'를 선택해야 합니다.
3. 테마 폴더 삭제
같은 방식으로 테마 파일 중에서 백도어를 찾는 데 시간을 소비하는 것보다 그냥 삭제하는 것이 좋습니다.
plugin 폴더를 삭제한 후 같은 방법으로 themes 폴더를 강조 표시하고 삭제하기만 하면 됩니다.
해당 폴더에 백도어가 있었는지 여부는 알 수 없지만 있었다면 지금은 사라졌습니다. 시간을 절약하고 추가 공격 지점을 제거했습니다.
이제 필요한 테마를 다시 설치할 수 있습니다.
4. 업로드 폴더에서 PHP 파일 검색
다음으로 uploads 폴더를 살펴보고 내부에 PHP 파일이 없는지 확인해야 합니다.
PHP 파일이 이미지와 같은 미디어 파일을 저장하도록 설계되었기 때문에 이 폴더에 PHP 파일이 있을 이유가 없습니다. 거기에서 PHP 파일을 찾으면 삭제해야 합니다.
plugins 및 themes 폴더와 마찬가지로 wp-content 폴더에서 uploads 폴더를 찾을 수 있습니다. 폴더 안에는 파일을 업로드한 연도와 월에 대한 여러 폴더가 있습니다. 각 폴더에서 PHP 파일을 확인해야 합니다.
일부 FTP 클라이언트는 폴더를 재귀적으로 검색하는 도구를 제공합니다. 예를 들어 FileZilla를 사용하는 경우 폴더를 마우스 오른쪽 버튼으로 클릭하고 '대기열에 파일 추가'를 선택할 수 있습니다. 폴더의 하위 디렉터리에 있는 모든 파일은 아래쪽 창의 대기열에 추가됩니다.
이제 목록을 스크롤하여 .php 확장자를 가진 파일을 찾을 수 있습니다.
또는 SSH에 익숙한 고급 사용자는 다음 명령을 작성할 수 있습니다.
find uploads -name "*.php" -print
5. .htaccess 파일 삭제
일부 해커는 .htaccess 파일에 리디렉션 코드를 추가하여 방문자를 다른 웹사이트로 보낼 수 있습니다.
FTP 클라이언트 또는 파일 관리자를 사용하여 웹사이트의 루트 디렉토리에서 파일을 삭제하기만 하면 자동으로 다시 생성됩니다.
어떤 이유로 다시 생성되지 않으면 WordPress 관리자 패널에서 설정 » 영구 링크 로 이동해야 합니다. '변경 사항 저장' 버튼을 클릭하면 새 .htaccess 파일이 저장됩니다.
6. wp-config.php 파일 확인
wp-config.php 파일은 WordPress가 데이터베이스와 통신할 수 있도록 하는 정보, WordPress 설치를 위한 보안 키 및 개발자 옵션이 포함된 핵심 WordPress 파일입니다.
파일은 웹사이트의 루트 폴더에 있습니다. FTP 클라이언트에서 열기 또는 편집 옵션을 선택하여 파일의 내용을 볼 수 있습니다.
이제 파일의 내용을 주의 깊게 살펴보고 잘못된 부분이 있는지 확인해야 합니다. 파일을 동일한 폴더에 있는 기본 wp-config-sample.php 파일과 비교하는 것이 도움이 될 수 있습니다.
속하지 않는다고 확신하는 코드는 모두 삭제해야 합니다.
7. 웹사이트 백업 복원
웹 사이트를 정기적으로 백업했는데 여전히 웹 사이트가 완전히 깨끗하지 않은 것이 걱정된다면 백업을 복원하는 것이 좋은 해결책입니다.
웹사이트를 완전히 삭제한 다음 웹사이트가 해킹되기 전에 만든 백업을 복원해야 합니다. 모든 사람이 선택할 수 있는 것은 아니지만 사이트가 안전하다고 100% 확신할 수 있습니다.
자세한 내용은 백업에서 WordPress를 복원하는 방법에 대한 초보자 가이드를 참조하세요.
미래에 해킹을 방지하는 방법은 무엇입니까?
이제 웹사이트를 정리했으므로 향후 해킹을 방지하기 위해 사이트의 보안을 개선해야 합니다. 웹 사이트 보안과 관련하여 저렴하거나 무관심한 것은 비용이 들지 않습니다.
1. 웹사이트를 정기적으로 백업
웹사이트를 아직 정기적으로 백업하지 않았다면 오늘이 바로 시작하는 날입니다.
WordPress에는 백업 솔루션이 내장되어 있지 않습니다. 그러나 WordPress 웹 사이트를 자동으로 백업하고 복원할 수 있는 몇 가지 훌륭한 WordPress 백업 플러그인이 있습니다.
UpdraftPlus는 최고의 WordPress 백업 플러그인 중 하나입니다. 자동 백업 일정을 설정할 수 있으며 나쁜 일이 발생하면 WordPress 사이트를 복원하는 데 도움이 됩니다.
UpdraftPlus를 사용하여 WordPress 사이트를 백업 및 복원하는 방법에 대한 가이드에서 자세히 알아보세요.
2. 보안 플러그인 설치
당신이 당신의 사업에 바쁠 때 당신의 웹사이트에서 진행되는 모든 것을 모니터링할 수는 없습니다. 그렇기 때문에 Sucuri와 같은 보안 플러그인을 사용하는 것이 좋습니다.
그들이 하는 일을 잘하기 때문에 우리는 Sucuri를 추천합니다. CNN, USA Today, PC World, TechCrunch, The Next Web 등과 같은 주요 간행물도 이에 동의합니다. 또한 WPBeginner를 안전하게 유지하기 위해 자체적으로 의존합니다.
3. WordPress 로그인을 더 안전하게 만드십시오
WordPress 로그인을 보다 안전하게 만드는 것도 중요합니다. 시작하는 가장 좋은 방법은 사용자가 웹사이트에서 계정을 만들 때 강력한 암호를 사용하도록 하는 것입니다. 또한 1Password와 같은 암호 관리자 유틸리티를 사용하는 것이 좋습니다.
다음으로 해야 할 일은 이중 인증을 추가하는 것입니다. 이렇게 하면 도난당한 암호와 무차별 대입 공격으로부터 웹사이트를 보호할 수 있습니다. 즉, 해커가 사용자 이름과 비밀번호를 알고 있더라도 여전히 웹 사이트에 로그인할 수 없습니다.
마지막으로 WordPress에서 로그인 시도를 제한해야 합니다. WordPress를 사용하면 사용자가 원하는 만큼 암호를 입력할 수 있습니다. 5번의 로그인 실패 후 사용자를 잠그면 해커가 로그인 세부 정보를 알아낼 가능성이 크게 줄어듭니다.
4. WordPress 관리 영역 보호
무단 액세스로부터 관리 영역을 보호하면 많은 일반적인 보안 위협을 차단할 수 있습니다. WordPress 관리자를 안전하게 유지하는 방법에 대한 긴 목록이 있습니다.
예를 들어, wp-admin 디렉토리를 암호로 보호할 수 있습니다. 이렇게 하면 웹 사이트의 가장 중요한 진입점에 또 다른 보호 계층이 추가됩니다.
관리 영역에 대한 액세스를 팀에서 사용하는 IP 주소로 제한할 수도 있습니다. 이것은 사용자 이름과 비밀번호를 알아낸 해커를 잠그는 또 다른 방법입니다.
5. 테마 및 플러그인 편집기 비활성화
WordPress에 테마 및 플러그인 편집기가 내장되어 있다는 사실을 알고 계셨습니까? 이 일반 텍스트 편집기를 사용하면 WordPress 대시보드에서 직접 테마 및 플러그인 파일을 편집할 수 있습니다.
이는 유용하지만 잠재적인 보안 문제를 일으킬 수 있습니다. 예를 들어 해커가 WordPress 관리 영역에 침입하면 내장 편집기를 사용하여 모든 WordPress 데이터에 액세스할 수 있습니다.
그 후, 그들은 맬웨어를 배포하거나 WordPress 웹 사이트에서 DDoS 공격을 시작할 수 있습니다.
WordPress 보안을 개선하려면 내장 파일 편집기를 완전히 제거하는 것이 좋습니다.
6. 특정 WordPress 폴더에서 PHP 실행 비활성화
기본적으로 PHP 스크립트는 웹사이트의 모든 폴더에서 실행할 수 있습니다. 필요하지 않은 폴더에서 PHP 실행을 비활성화하여 웹사이트를 보다 안전하게 만들 수 있습니다.
예를 들어 WordPress는 uploads 폴더에 저장된 코드를 실행할 필요가 없습니다. 해당 폴더에 대한 PHP 실행을 비활성화하면 해커가 백도어를 성공적으로 업로드하더라도 실행할 수 없습니다.
7. 웹사이트를 최신 상태로 유지
WordPress의 모든 새 버전은 이전 버전보다 안전합니다. 보안 취약점이 보고될 때마다 핵심 WordPress 팀은 문제를 해결하는 업데이트를 출시하기 위해 열심히 노력합니다.
즉, WordPress를 최신 상태로 유지하지 않는다면 알려진 보안 취약점이 있는 소프트웨어를 사용하고 있는 것입니다. 해커는 이전 버전을 실행하는 웹 사이트를 검색하고 취약점을 사용하여 액세스할 수 있습니다.
그렇기 때문에 항상 최신 버전의 워드프레스를 사용해야 합니다.
WordPress를 최신 상태로 유지하지 마십시오. WordPress 플러그인과 테마도 최신 상태로 유지해야 합니다.
이 튜토리얼이 해킹된 WordPress 웹사이트에서 백도어를 찾고 수정하는 방법을 배우는 데 도움이 되었기를 바랍니다. 또한 WordPress를 HTTP에서 HTTPS로 이동하는 방법을 배우거나 WordPress 오류 목록 및 수정 방법을 확인하고 싶을 수도 있습니다.
이 기사가 마음에 들면 WordPress 비디오 자습서용 YouTube 채널을 구독하십시오. Twitter와 Facebook에서도 찾을 수 있습니다.