WordPress 해킹 된 리디렉션, 검색 및 삭제 방법

작년엔 괜찮더니 2019년 들어 요즘 워드프레스 만든 사이트들이 대규모로 악성코드에 시달리고 있습니다. 해외에서도 평균 웹사이트의 방어력을 강화하더라도 매일 약 3 만 개의 웹사이트가 해킹 당합니다. 따라서 평상시에 백업을 생활하하고 보안에 대한 인식을 먼저 생각해야할듯합니다. 상대적으로 그누보드나 XE는 지금까지 그런 경우 거의 없었지만 워드프레스는 테마와 플러그인의 형태를 따라서 JS코드를 삽입하는 형태로 파일변조가 일어나기때문에 스캔을 해도 완벽하게 되지는 않습니다.

결국 해킹의 목적자체는 트래픽인데요. 웹사이트가 해킹 당했을 경우 공격자가 웹사이트를 피싱 또는 악성코드 웹사이트로 리디렉션하는 악성코드를 삽입하여 트래픽을 잡을 수있는 기회가 더 많습니다. 정작 중요한것은 이러한 현상이 반복된다면 사이트에서 피싱 또는 악성코드 사이트로 방문자를 리디렉션하는 경우 Google에서 블랙리스트로 인식하거나 이를 스팸성 사이트로 인식하여 검색엔진노출이나 SEO에 악영항을 준다는 사실입니다.

워드프레스 파일변조 리디렉션이란?

해커는 자신이 만든 스크립트를 사용하여 자신의 웹사이트의 명성을 위해 웹사이트를 사기웹(스캠) 사이트 또는 동영상광고를 목적으로 리디렉션 할 수 있습니다. 가장 일반적으로 워드프레스 웹사이트의 변조를 위해 변경하기 위해 다음 트릭을 사용합니다. 악의적 인 스크립트가 인코딩 된 WordPress 사이트에 파일을 업로드하거나 생성합니다.

웹사이트에서 고스트 관리자로 자신을 추가합니다. 그들이 브라우저를 통해 보내는 PHP 코드를 실행합니다. 스팸 목적으로 이메일과 같은 개인 정보를 수집합니다. 웹사이트에서 스팸을 위해 자신의 목적으로 무엇이든 변조합니다. 파일이 추가되면 WordPress 핵심파일의 일부인 것처럼 합법적인 파일처럼 보입니다.

파일의 이름은 sunrise.php, wp-users.php, wp-system 또는 wp-configuration.php 또는 비슷한 이름 일 수 있습니다 . 일반적으로 해커는 .htaccess, wp-includes, wp-content / themes, wp-content / plugins 또는 wp-content / uploads 폴더에 악성 스크립트를 추가 하거나 wp-config.php 파일을 변경할 수도 있습니다. 나아가 /wp-include/function.php 파일에 js코드를 삽입하는 형태나 테마의 function 파일을 변조하는 것을 기본으로 하는듯합니다.

악성코드 리디렉션 케이스 사례

헤더의 악의적인 리디렉션

인코딩 된 악성코드가 활성화 된 WordPress 테마의 헤더 파일 상단에 추가됩니다 : 

Footer(푸터영역)의 악의적인 파일변조 리디렉션

조치안할경우 검색엔진 블랙리스트의 불이익?

따라서 웹사이트에 악의적인 스크립트가 삽입되어 있는지 확인하고 발견익 수있는 방법에 대해 알아봤습니다. 해킹 당하고 블랙리스트에 올라있는 사이트 의 "증상" 이나 블랙리스트에 올라있는 모든 웹사이트가 이러한 리디렉션을 하는것은 아니지만 대부분의 사이트에서 문제가 있는지 확인하는 습관을 가져야합니다.

특히 의약품과 관련된 웹사이트 콘텐츠와 관련이없는 특정 키워드에 대해 귀하의 웹사이트로의 거대한 / 갑작스러운 트래픽이 발생합니다. 귀하의 사이트가 여러분의 소유가 아닌 익명의 웹사이트로 갑자기 리디렉션됩니다. 고스트 관리자는 여려분 또는 다른 합법적 인 관리자가 생성하지 않은 웹사이트의 대시 보드에 나타납니다.

여러분의 웹사이트가 예기치않게 검색엔진 결과 또는 데스크톱 또는 셀룰러 안티바이러스 탐지소프트웨어 프로그램에 맬웨어를 포함하고 있다고 신고되었습니다. 여러분의 호스팅 제공 업체가 귀하의 웹사이트를 정크 또는 격리 모드로 이동시켰습니다. Google은 다양한 안전경고를 제공할 수 있음을 명심해야합니다.

이러한 경고는 귀하의 웹사이트 색인이 생성되는 검색엔진 결과페이지에 나타날 수 있습니다. 가장 일반적인 경고는 다음과 같습니다.

이 사이트는 컴퓨터에 해를 입힐 수 있습니다.

예 : Google이 귀하의 웹사이트에서 악성코드를 발견했습니다. 이 경고는 귀하의 웹사이트에 가짜 안티바이러스 팝업, 가짜 쇼핑할인 등과 같은 악의적인 다운로드 팝업을 유발하는 트로이목마가 있다고 판단될 때 나타납니다.

이 사이트는 해킹 당할 수 있습니다.

이미지4 예 : Google에서 귀하의 사이트가 해킹당했음을 감지했습니다. 이경고는 사이트가 완전히 해킹되거나 해킹되어 다른사람을 통해 전파될 확실한 이유가 Google에있을 때 나타납니다.

악성스크립트 및 리디렉션을 제거하기위한 단계별 가이드

1 단계 : WordPress 사이트 스캔

웹사이트가 악의적인 스크립트로 해킹 당했다고 의심되는 경우 다양한 방법으로 검사 할 수 있습니다. 그러나 실행하기 전에 웹사이트의 전체 백업을 생성해야합니다. 사이트가 해킹 당할 수 있음에도 불구하고 상황이 나아질 때까지 상황이 악화 될 수있는 기회가 여전히 있습니다. 백업을 갖는 것이 슬라이스 빵 다음으로 가장 좋은 방법 일 것입니다.

사이트를 청소하는 도중 실수로 실수를 한 경우 백업이 실수 방지로 작동합니다. 처음에 작업을 시작한 지점으로 웹사이트를 복원하고 그 밖의 일이없는 것처럼 조사를 계속할 수 있습니다.

전체 웹사이트를 백업하면 시작할 준비가 된 것입니다. 추가 팁 : 악의적인 파일을 무료로 검사 할 수있는 웹사이트는 다음과 같습니다. 악성코드 숨기기 - 웹사이트가 해킹 당했는지 알 수 있도록 도와줍니다.

문제가 있는지 여부를 알아내는 첫 번째 단계입니다. Norton Safe Web - 웹사이트와 관련된 위협이 있는지 신속하게 확인할 수 있습니다. Quttera - 사이트에서 멀웨어를 심층적으로 검사합니다.

VirusTotal - 일반적인 바이러스, 악성 스크립트, 숨겨진 백도어 등의 웹사이트 또는 IP 주소를 검사 할 수있는 최고의 온라인 검사 웹사이트 중 하나입니다. 50 개 이상의 온라인 바이러스 백신 스캐너를 사용하여보다 정확한 결과를 얻습니다.

Web Inspector -이 웹사이트는 백도어, 주입 스크립트, 악의적인 리디렉션 코드를 상당히 상세한 보고서와 함께 검색합니다. 내 서버 검색 - 자세한 보고서와 함께 멀웨어, SQL Injections, XSS 등을 검색합니다. 자세한 보고서는 이메일로 전송되며 약 24 시간이 소요됩니다.

2 단계 : 의심스러운 코드 찾기

웹사이트에서 악성코드를 찾을 수있는 곳은 다양합니다. 청크로 웹사이트 청크의 각 페이지에서 코드를 스캔하는 것이 항상 쉬운 방법은 아닙니다. 때로는 범인이 서버 어딘가에 묶인 경우도 있습니다.

그러나 공격자가 주로 대상으로하는 곳이 있습니다. 맬웨어 청소 프로세스를 시작하려면이 장소에 액세스하려면 ftp / ftps 로그인 세부 정보가 필요합니다. 귀하의 웹사이트가 갑자기 익명의 웹사이트로 리디렉션되는 경우 의심스러운 코드에 대해 다음 영역을 살펴 봐야합니다.

핵심 WordPress 파일 귀하의 웹사이트 색인 파일 (index.php와 index.html을 모두 확인하십시오!) .htaccess 파일 웹사이트에서 방문자를 다운로드하도록 유도하는 경우 다음 장소를 살펴 봐야합니다.

Header.php : 현재 테마 헤더 파일
Footer.php : 현재 테마 바닥 글 파일 귀하의 웹사이트 색인 파일 (index.php와 index.html을 모두 확인하십시오!) 테마 파일 또한 Google 진단 페이지 를 활용 하여 웹사이트의 어떤 부분이 손상되었는지를 구체적으로 파악할 수 있습니다. 1 페이지입니까? 하나의 디렉토리? 아니면 전체 웹사이트?

3 단계 : 더 깊게 파헤 치다 : 당신이 봇 또는 사용자 에이전트 인 것처럼 가장합니다.

때때로 웹사이트가 악성코드에 감염되었는지 분석하기 위해 테스트를 실행하면 자신의 컴퓨터가 위험에 처하게됩니다. 따라서이를 우회하려면 cURL CLI (Command Line Interface) 를 사용하여 Google bot 또는 사용자 에이전트 인 것처럼 가장 할 수 있습니다. 다음 명령을 입력하여 ssh 클라이언트를 통해 봇을 에뮬레이트 할 수 있습니다 .

$ curl -location -D - -A "Googlebot"somesite.com

이것을 입력하면 코드에서 이해할 수없는 것을 찾아야합니다. 따라서 일반적으로 횡설수설처럼 보이는 자신이나 콘텐츠와 다른 언어로 된 비트.

예, 최소한 여기에서 html을 인식해야합니다. iFrame 또는 스크립트 태그에있는 내용도주의를 기울여야합니다.이 작은 코드를 사용하여 (다시 ssh 클라이언트를 통해) 사용자 에이전트를 에뮬레이트 할 수 있습니다. $ curl -A "Mozilla / 5.0 (호환 가능, MSIE 7.01, Windows NT 5.0)"http://www.somesite.com 필요에 따라 여기에서 참조되는 "브라우저"태그를 편집하거나 바꿀 수 있습니다. 익숙해지기를 원하는 몇 가지 다른 명령은 Grep 및 Find 이며 ssh 클라이언트를 통해 작동합니다.

이 명령은 웹사이트에서 해킹이 발생한 위치를 파악하는 데 도움이되므로 수동으로 Google 블랙리스트에있는 악성코드를 제거 할 수 있습니다. 다음은 터미널에서 사이트를 정리하는 프로세스를 가속화하는 유용한 리소스 목록입니다. 명령 행 SSH 내 사용자 에이전트 란 무엇입니까?

4 단계 : 잘못된 코드 제거

이미지5 웹사이트에 악성코드가 삽입 된 경우 악의적인 스크립트를 삭제해야 악의적인 웹사이트로 이동하게됩니다. 침입자가 악성코드가 포함 된 새 페이지를 만든 경우 Google의 검색 엔진 콘솔로 이동하여 URL 기능 제거를 사용하여 검색 엔진 결과에서 해당 페이지를 제거 할 수 있습니다.

다음으로 테마, 플러그인을 업데이트하고 사용 가능한 새로운 핵심 업데이트를 설치해야합니다. 모든 것이 가능한 한 최신 상태인지 확인하십시오. 이렇게하면 웹사이트의 취약점이 감소합니다. 마지막으로 웹사이트의 모든 비밀번호를 변경하십시오. 그리고 나는 그들 모두를 의미합니다!

WordPress 관리자 비밀번호뿐만 아니라 보안을 위해 FTP 계정, 워드 프레스 솔트 키, 데이터베이스, 호스팅 및 기타 웹사이트와 관련된 사항을 재설정해야합니다. 이미지6 WordPress 솔트 키 다시 생성

5 단계 : 사이트 재 제출

악의적인 리디렉션으로 인해 귀하의 웹사이트가 블랙리스트에 올라 있으며 Google 검색 결과에서 삭제 된 경우 검토를 위해 사이트를 제출해야합니다. 그렇지 않으면 Google은 문제를 해결하기위한 의미있는 조치를 취했다는 사실을 알 수 없습니다.

웹사이트가 피싱에 관여 한 경우 Google 웹 마스터 도구 (Google Search Console이라고 함)를 통해 재검토 요청을 제출해야합니다. 귀하의 웹사이트가 이미 추가되었다고 가정하겠습니다. 로그인 할 때 검색 트래픽 >> 수동 작업을 클릭하십시오. 그러면 검토를 제출하라는 메시지가 나타납니다.

테스트하고 사이트를 청소하는 데 도움이되는 플러그인

다음은 감염된 파일을 탐지 할 수있는 일부 WordPress 플러그인입니다. 테마 확인용

• iThemes 보안용 Acunetix
• WP 보안용 Vaultpress용
• 방어용 wordfense(테스트중인데 방어력 좋습니다)

사이트 보안 유지

사이트 보안을 유지하려면 아래 지침을 따라야합니다. WordPress 사이트 코어(Core) 파일을 업데이트하십시오. 테마와 플러그인을 업데이트하십시오. 안전하고 안전한 WordPress 호스팅 서비스를 사용하십시오. 가능하다면 호스팅하는 대신 WordPress 사이트를 관리 할 수있는 서비스 를 선택하십시오.

비 WordPress Friendly Hosting Provider에서 리셀러 호스팅 계정을 사용하기로 결정한 경우 주계정에서 애드온으로 사이트를 추가하지 않아야합니다.

별도의 사이트 계정에서 해당 사이트를 설정할 수 있습니다. 사이트에서 사용하지 않을 비활성 테마나 플러그인을 제거하십시오. WordPress 플러그인과 테마를 검토하고 개발자가 최근에 모든 내용을 업데이트했는지 확인하십시오. 그렇지 않은 경우 WordPress 사이트에서 일부 대안을 찾아 제거해야합니다.

테마도 최근만들어진 테마를 사용하시는게 좋으며 무효화된 테마나 플러그인을 설치하지 마세요. 하나 또는 두 개의 관리자 계정을 유지하고 나머지 관리자 사용자는 작성자 또는 편집자로 다운 그레이드하십시오. 공개 디렉토리 밖에서 WordPress 설치의 모든 dev / demo 설정을 제거하세요.

리디렉션걸리면 계속 지워도 지워도 생겨나므로 꼼꼼히 이것저것 귀찮으시면 클린설치가 최선이긴 하지만 대부분 데이터나 운영하던 상태라면 워드팬스를 돌려 악성코드가 있는 부분을 스캔하셔서 꼼꼼히 지우시기 바랍니다.
대부분 JS코드와 Ajax코드의 변조를 통해 파일을 생성하고 인덱스를 변조하는 방법입니다.