워드프레스 웹 사이트 및 전자 상거래 상점을 만드는 데 사용되는 가장 인기 있는 CMS 중 하나입니다. 그러나 그 인기로 인해 해커와 SEO 스패머의 자주 표적이 되었습니다. 해커는 다양한 종류의 맬웨어 공격 및 해킹 시도로 WordPress 기반 사이트를 대상으로 합니다. 그들이 사용하는 가장 빈번한 해킹 기술 중 하나는 검색 색인을 조작하여 눈에 띄는 검색 위치에 부적절한 콘텐츠를 포함시키려는 것입니다. 이 Black Hat SEO(해킹) 기술은 'WordPress Pharma 해킹 또는 SEO 스팸이라고도 합니다. '.
해커가 Pharma Hack으로 WordPress 사이트를 표적으로 삼는 이유는 무엇입니까?
답은 간단합니다. 온라인 검색은 소중한 추천의 주요 원천이며 SEO 해킹은 필요한 작업을 하지 않고도 이를 달성할 수 있는 가장 쉬운 방법입니다. 높은 권한의 사이트를 해킹하고 스팸 리디렉션 해킹으로 감염시켜 해커를 SERP에서 합법적인 위치로 보호합니다. 최근 이러한 공격인 "Pharma Hack" 또는 "Pharma SEO Spam"은 밝혀진 스팸 링크 주입 공격과 다소 유사하며 해커가 사용하는 가장 일반적인 Black Hat SEO 기술 중 하나로 밝혀졌습니다.
파마 해킹이란 무엇입니까?
Pharma hack은 합법적인 사이트가 Viagra 및 Cialis와 같은 불법 약물의 브랜드 상품의 복제 버전을 판매하는 광고를 표시하는 스팸 페이지로 리디렉션되도록 하는 WordPress 웹사이트를 감염시키는 맬웨어 감염 유형입니다. 때로는 다른 종류의 의약품도 감염될 수 있습니다. 그러나 비아그라와 시알리스가 가장 일반적입니다.
최근 WordPress Pharma 해킹 중 하나에서 정교한 버전의 해킹도 볼 수 있습니다. 이 버전에서 해커는 제목에 웹사이트 이름을 사용하여 Google 검색 결과를 맞춤화했습니다. 이것은 사람들이 합법적인 웹사이트가 실제로 제약 제품에 관한 것이라고 믿게 만듭니다.
WordPress 사이트가 Pharma Hack에 감염되었는지 확인하는 방법
SEO 스팸은 웹마스터가 직접 볼 수 없기 때문에 감지하기 어렵습니다. 스패머는 '클로킹'과 같은 관행에 따라 자신의 작업을 숨기기 위해 모든 것을합니다. 그러나 웹 사이트가 Pharma 해킹에 감염되었는지 여부를 확인할 수있는 방법이 있습니다. WordPress pharma hack을 찾는 방법을 알아보려면 계속 읽으십시오:
방법 1:Google 검색으로 확인
영향을 받는 웹사이트 목록은 viagra wp-page와 같은 키워드로 Google 검색을 통해 표시할 수 있습니다. . 하지만 구글의 웹마스터 정책으로 인해 영향을 받는 웹사이트는 첫 페이지에 보이지 않습니다. 따라서 3 또는 4페이지까지 스크롤해야 합니다. 귀하의 웹사이트가 검색에 나타나면 귀하가 WordPress Pharma Hack 또는 기타 Black Hat SEO 스팸의 피해자임을 의미합니다.
이 목록에는 감염된 웹 사이트뿐만 아니라 가짜 페이지도 표시됩니다. 이러한 페이지를 클릭하면 감염의 결과로 다른 페이지로 리디렉션되거나 동일한 페이지의 콘텐츠가 로드될 수 있습니다.
웹사이트의 어떤 페이지가 viagra에 감염되었는지 확인하려면 SEO 스팸 . 키워드 '비아그라 추가 ' Google 검색의 도메인 이름(예:viagra mydomain.com) . 때로는 웹사이트의 몇 페이지만 감염되어 사용자에게 표시되지 않는 경우가 있습니다. 이 검색은 감염된 페이지를 표시합니다. Viagra 및 Cialis를 판매하는 웹 사이트로 리디렉션되는 경우 SEO 스팸에 감염됩니다. 감염의 결과로 리디렉션되지 않고 동일한 페이지에 콘텐츠가 로드되는 경우가 있습니다.
방법 2:Google 봇으로 결과 확인
명시된 바와 같이 이러한 스팸 페이지는 검색 엔진에서 볼 수 없지만 Googlebot과 같은 특정 사용자 에이전트는 볼 수 있습니다. Googlebot이 보는 것을 보려면 브라우저 User-Agent Switcher를 사용할 수 있습니다. Chrome 또는 Firefox용으로 설치할 수 있습니다.
- 좋아하는 User-Agent Switcher 애드온 설치
- 감염된 웹페이지로 이동
- User-Agent 문자열을 아래와 같이 수정합니다.
a) Mozilla/5.0(호환성, Googlebot/2.1, +https://www.google.com/bot.html)
b) Googlebot/2.1(+https://www.google.com/bot.html) - 페이지를 마우스 오른쪽 버튼으로 클릭하고 페이지 소스를 봅니다. 이렇게 하면 리디렉션을 볼 수 있습니다.
참고:User-Agent Switcher를 오랫동안 활성 상태로 유지하면 적절한 보안을 유지하는 웹사이트에서 사용자가 Googlebot으로 표시되기 때문에 차단되거나 차단될 수 있습니다.
이와 유사하게 Drupal CMS 또는 PHP 사이트에서 pharma hack을 제거하려면 Drupal pharma hack 가이드를 읽어보세요.
WordPress Pharma Hack의 해부
발생
WordPress 제약 해킹을 수행하기 위해 공격자는 먼저 알려진 취약점 또는 제로 데이 익스플로잇을 악용합니다. 다음은 그러한 경우에 잘못될 수 있는 전체 목록입니다. 단순화하기 위해 가장 일반적인 몇 가지는 다음과 같습니다.
- SQL 주입 또는 XSS는 잘못된 코딩 표준으로 인해 발생합니다. 이 두 가지를 계속 확인하는 것이 좋습니다.
- 약한 계정 또는 FTP 비밀번호가 두 번째 주요 원인입니다. 최근에는 Linux Gen의 GitHub 저장소도 취약한 자격 증명으로 인해 해킹을 당했습니다.
- 대부분의 경우 콘텐츠 목록 및 오류 표시가 활성화됩니다. 그 결과 중요한 파일을 인터넷에서 공개적으로 읽을 수 있습니다.
- 패치되지 않았거나 오래된 플러그인을 사용하는 것은 WordPress 해킹의 주요 원인 중 하나입니다. 최신 정보를 받아보세요!
지속성
WordPress 제약 해킹은 루트 디렉토리의 내용을 변경하여 작동합니다. 대부분의 스팸 공격은 /misc를 통해 발생합니다. 폴더 및 /includes 폴더. 스패머는 다음과 같은 알려진 방법으로 지속성(장기 액세스)을 얻습니다.
index.php, wp-page.php, nav.php와 같은 파일 수정 등leftpanelsin.php, cache.php와 같은 새 페이지 추가 등xmlrpc.php수정 웹마스터가 감지하지 못하도록 합니다.- base64 인코딩을 사용하여 코드를 난독화합니다.
/images안에 스팸 파일 숨기기 폴더 . 웹 크롤러는 여기에서 파일을 볼 것으로 기대하지 않으므로 탐지를 피합니다.- 파일 확장자 앞에 점 추가. 따라서 페이지 이름을
.somefile로 변경합니다. 보이지 않게 하려면. - 클로킹:사용자 에이전트를 기반으로 웹 크롤러를 구분합니다. 결과적으로 Googlebot이 보는 콘텐츠는 Mozilla 사용자가 보는 콘텐츠와 다릅니다.
- 재감염을 위해 크론 작업을 사용합니다.
결과
- 비아그라 및 시알리스 광고를 게재함으로써 귀하의 웹사이트가 어렵게 얻은 평판을 잃게 됩니다.
- Google에서 블랙리스트에 올려 평판을 회복하기 어려울 수 있습니다.
- 사용자가 웹사이트를 신뢰하지 않습니다.
- 검색 순위가 급락하고 있습니다.
- 귀하의 웹사이트는 귀하가 얻기 위해 열심히 노력한 다른 웹사이트에 대한 클릭을 생성하기 시작합니다.
Google에서 귀하의 웹사이트에 대한 Pharma 스팸 결과를 표시하고 있습니까? 채팅 위젯에 메시지를 남겨주세요.
WordPress Pharma 해킹을 수정하는 방법
WordPress Pharma Hack이 숨겨져 있습니다. 따라서 감염된 파일을 찾아 제거하는 것은 다소 길고 지루한 작업이 될 것입니다. 해킹을 제거하려면 다음을 수행해야 합니다.
1. 백업하기
웹 사이트의 전체 백업을 만드는 것이 권장되는 방법입니다. 정리 프로세스에 문제가 있는 경우 유용할 수 있습니다. 따라서 항상 백업 전략을 준비하십시오. 백업에는 기본적으로 코어 파일, 데이터베이스, 플러그인 및 테마 파일이 포함되어야 합니다.
2. 웹사이트에서 맬웨어 검사
VirusTotal과 같은 온라인 맬웨어 검사 도구를 사용하여 감염에 플래그를 지정합니다. 보다 정확한 검사를 위해 Astra의 Malware Scanner를 사용해 볼 수도 있습니다. 이렇게 하면 몇 분 안에 웹사이트의 모든 악성 파일과 코드에 플래그를 지정하고 맬웨어 제거 프로세스를 에스컬레이션하는 데 도움이 됩니다.
3. 감염된 파일 제거
FTP를 통해 호스팅 서버에 연결합니다. 파일 관리자를 사용할 수도 있습니다. 그런 다음 /wp-contents/ 폴더로 이동하여 플러그인에서 해킹된 파일을 찾습니다.
해킹된 파일에는 .class와 같은 단어가 있습니다. , .cache , .old 플러그인 파일로 위장합니다. 파일 이름 앞의 점(.)은 "숨김 파일 표시" 옵션을 선택하지 않는 한 파일을 숨깁니다. 그러한 파일을 제거하십시오.
4. 임시 디렉토리 지우기
/wp-contents/temp/ 디렉토리는 감염의 결과로 나타날 수 있습니다. /wp-contents/temp/로 이동하여 내용을 지웁니다. 해커는 temp 폴더와 TMP 파일을 활용하여 맬웨어 설치 중 손상을 방지합니다.
5. .htaccess 파일 확인
.htaccess 파일은 서버 구성 파일입니다. 서버 요청이 처리되는 방식을 정의합니다. 해커는 또한 파일의 힘을 활용하여 웹사이트에 백도어를 만듭니다. 다음과 같은 코드를 찾으십시오.
RewriteEngine On
RewriteCond %{ENV:REDIRECT_STATUS} 200
RewriteRule ^ - [L]
RewriteCond %{HTTP_USER_AGENT} (google|yahoo|msn|aol|bing) [OR] #checks for Google, Yahoo, msn, aol and bing crawler
RewriteCond %{HTTP_REFERER} (google|yahoo|msn|aol|bing)
RewriteRule ^(.*)$ somehackfile.php?$1 [L] #redirects to a hack file
.htaccess 파일을 다시 생성할 수도 있습니다.
- WordPress 대시보드로 이동합니다.
- 설정을 클릭한 다음 영구 링크를 선택합니다.
- 저장을 클릭하세요!
6. 데이터베이스에서 악성 코드 제거
데이터베이스를 변경하기 전에 백업을 생성하는 것이 좋습니다. 이전에 수행하지 않았다면 이 단계가 민감할 수 있으므로 지금 수행해야 합니다.
이 단계에서는 전문 맬웨어 제거 서비스를 구입하거나 스스로 데이터베이스를 정리할 수 있습니다.
- phpMyAdmin으로 이동
- 데이터베이스 선택
- wp_options 테이블 클릭
- 검색 탭을 사용하여 악성 항목 검색
검색해야 하는 몇 가지 악성 항목은 다음과 같습니다.
- wp_check_hash
- class_generic_support
- widget_generic_support
- ftp_credentials
- 빠르게
참고:wp_options 테이블에서 중요한 정보를 삭제하지 않도록 각별히 주의하십시오. 웹사이트가 오작동하거나 충돌할 수 있기 때문입니다.
참고:기술에 정통하지 않은 경우 외부 도움을 구하는 것이 좋습니다.
7. 의심스러운 코드 찾기 및 제거
의심스러워 보이는 코드는 종종 WordPress 웹 사이트가 해킹되는 주요 원인 중 하나입니다. 샘플 코드는 다음과 같을 것입니다.
<ul id="menu">
<li><a href="attackerdomain.com">Something1</a></li>
이러한 종류의 코드는 웹사이트를 공격자가 제어하는 도메인으로 리디렉션합니다. 따라서 익숙하지 않은 도메인이 있는지 확인하는 것이 좋습니다. 이것은 워드프레스 파마 해킹의 주요 원인 중 하나입니다.
종종 공격자는 탐지를 피하기 위해 base64에 코드를 숨깁니다. 예를 들어, attackdomain.com은 "YXR0YWNrZXJkb21haW4uY29t"처럼 보이기 때문에 감지하기 어렵습니다. 파일에서 기본 64 인코딩을 검색하려면 grep 명령이 유용합니다.
find . -name "*.php" -exec grep "base64"'{}'\; -print &> b64-detections.txt
이 코드는 기본적으로 base64 인코딩을 위해 선택한 .php 파일을 검색합니다. 그 후 결과는 b64-detections.txt라는 파일에 저장됩니다. 마지막으로 온라인 리소스를 사용하여 이를 해독하고 배후에서 무슨 일이 일어나고 있는지 확인할 수 있습니다.
8. 임시 디렉토리 지우기
/wp-contents/temp/로 이동 내용을 지웁니다. 해커는 temp 폴더와 TMP 파일을 활용하여 맬웨어 설치 중 손상을 방지합니다.
9. 콘텐츠 차이 검색
온라인 플러그인을 사용하여 파일 변경 사항을 검색할 수 있습니다. 이러한 스캐너의 예로는 Exploit Scanner가 있습니다. 의심스럽고 특이한 파일 이름이나 항목이 있는지 WordPress의 공식 저장소에 있는 모든 핵심 파일과 타사 파일을 검색합니다.
어떤 파일이 해킹되었는지 파악한 후 감염된 코드를 삭제하거나 플러그인 파일을 복원할 수 있습니다. 코드를 철저히 정리하는 것이 중요합니다. 악성 코드가 남아 있으면 웹사이트가 다시 감염될 수 있습니다.
워드프레스 제약 해킹을 방지하는 방법
- 웹사이트 및 데이터베이스 로그인에 강력한 사용자 자격 증명과 암호를 사용합니다. 해커는 취약한 사용자 자격 증명을 쉽게 무차별 대입한 다음 웹사이트를 해킹할 수 있습니다.
- WordPress 사이트에 웹사이트 방화벽을 구현합니다. Pharma 해킹 감염으로부터 사이트를 보호하고 다양한 사이버 위협으로부터 보호하는 데 도움이 됩니다.
- 원치 않는 액세스를 방지하기 위해 폴더 권한을 제한합니다.
- WordPress에서 의심스럽거나 사용하지 않는 플러그인과 테마를 비활성화하거나 제거합니다. 대부분의 플러그인과 테마는 취약점으로 인해 해커가 쉽게 진입할 수 있습니다.
- CMS 코어, 플러그인 또는 테마 버전이 오래된 경우 가능한 빨리 업데이트하여 Pharma 해킹의 희생자가 될 수 있는 취약점 악용을 방지해야 합니다.
- WordPress 사이트에 존재하는 모든 보안 허점과 취약점을 아는 것은 항상 좋은 습관입니다. 이러한 잠재적인 보안 허점을 발견하고 해커가 이를 악용하기 전에 수정하려면 웹사이트에 대한 정기적인 보안 감사를 수행하고 Pharma 해킹과 같은 해킹으로부터 보호해야 합니다.
