• 워드프레스 홈페이지에서 “다음 사이트에 멀웨어가 있습니다” 해결 방법

    워드프레스 홈페이지를 만들고 한 동안 방치해 두었는데, 다시 홈페이지에 접속 하였더니 다음과 같이 멜웨어에 감염 되었다고 이를 해결해 달라는 문의가 종종 있습니다. (위 메시지는 크롬 브라우저에서 뜨는 메시지입니다. 다른 브라우저에서는 다른 메시지가 출력됩니다) 위 메시지가 뜨는 원인은 다양하지만 결론은 현재 운영중인 워드프레스 사이트에 문제가 있다는 것인데, 이 문제를 해결하는 최선의 방법은 DB 데이터를 제외한 워드프레스 코어, 워드프레스 플러그인 및 테마를 새 버전으로 교체하고 업로드 파일을 체크하는 것입니다. 1. 워드프레스 코어 교체 워드프레스 코어 교체 시 일부 파일을 복사하지 말고 가능한 한 이전 버전 파일을 모두 지우고 새 버전 파일로 교체할 것을 권장합니다. 복사 대상은 다음과 같습니다. wp-admin 전체 wp-includes 전체 /(루트) 디렉토리에 있는 파일들 2. 워드프레스 플러그인 및 테마 워드프레스 플러그인의 경우는 새 버전으로 업데이트가 가능한 플러그인은 새 버전으로 업데이트하고, 새 버전으로 업데이트가 되지 않는 경우는 동일 버전의 새 […]

  • 워드프레스 관리자 로그인 시 redirect_to 문제 발생 그리고 해결 방법

    오랜 시간 NAS 서버에서 워드프레스 멀티사이트를 운영해 온 한 클라이언트로부터 “NAS 서버에서 워드프레스를 운영하다 보니 보안 문제가 심각해 이번에 웹호스팅으로 옮기고 싶다”는 요청을 받았습니다. 그래서 NAS 서버의 워드프레스 전체 파일과 DB 파일을 백업해서 이를 웹호스팅으로 모두 복원한 다음 신규 사이트에 접속 하였더니 정상적으로 화면이 보여 마무리 되었구나 했는데, 워드프레스 관리자로 접속하는 중에 다음과 같은 에러가 발생 하였습니다. 위 화면에서는 워드프레스 관리자 접속 시 보통 사용하는 방법인 http://도메인/wp-admin (또는 wp-login.php)으로 입력 시 자동으로 리다이렉션 되면서 500 internal server error를 보여주고 있습니다. 워드프레스를 오랜 시간 운영하다 보면 간혹 리다이렉션 문제가 발생하기 때문에 큰 어려움 없이 해결될 것으로 생각하고 검색에서 찾은 방법을 단계별로 적용해 보았는데, 이번에는 쉽게 해결이 되지 않았습니다. 심지어 워드프레스 전체 디렉토리를 NAS 서버(Synology)에서 가져오다 보니 NAS 서버만의 특성으로 인한 것은 아닌가 의심도 들기도 하면서 이와 관련한 방법도 시도하였으나 역시 해결이 되지 않았습니다. 한 동안 여러 방법을 […]

  • 오랜 시간 업데이트 하지 않은 워드프레스 홈페이지의 보안 문제

    얼마전까지만 해도 워드프레스 기반으로 오랜 시간 운영해 온 홈페이지가 많지 않았는데, 최근에는 2년에서 4년 이상 꾸준히 워드프레스 홈페이지를 운영해 온 경우를 자주 보게 됩니다. 장기간 워드프레스 홈페이지를 운영해 온 대부분의 개인 또는 업체에서 공통적으로 발생되는 문제가 있는데, 바로 보안 관련된 것입니다. 일부 업체들 중 워드프레스의 발전 방향에 맞춰 주기적으로 워드프레스 코어를 업데이트해 왔고, 워드프레스 홈페이지에서 활용되는 주요 플러그인 및 테마를 주기적으로 업데이트해 온 경우는 그나마 보안 문제가 덜한데, 그렇지 않은 대부분의 경우는 보안에 상당한 문제가 있음을 발견하게 됩니다. 최근 3년 전 블로그코디에서 워드프레스 홈페이지를 제작해서 현재까지 운영해 온 한 업체로부터 연락이 와서 상담을 해 보니, 역시 보안 문제로 인한 것이었는데 상세하게 살펴보기도 전에 워드프레스 파일에 상당한 문제가 있음을 볼 수 있었습니다. 유명한 오픈소스 결과물인 워드프레스에서 완벽한 보안 해결 방법을 기대할 수는 없겠지만, 그래도 최소한의 예방법과 문제가 발생한 이후 응급 조치할 수 있는 방안은 준비해 둘 필요가 있을 […]

  • 워드프레스 홈페이지에 특정 키워드로 검색 시 이상한 글이 검색되는 문제

    최근 한 클라이언트로부터 ”워드프레스 홈페이지에서 특정 키워드로 검색 시 이상한 글이 나타난다”라는 요청을 받고 해당 홈페이지를 확인해 본 적이 있는데, 정말 알 수 없는 검색 결과가 나타나서 이건 또 무슨 경우이지 하고 궁금해 한 적이 있었습니다. 그 당시 확인한 검색 결과는 다음과 같았습니다. 여기에 해당 글 클릭 시 다음과 같이 사이트 구성이 깨지는 문제도 있었습니다. 도대체 무슨 문제인지 여러 방면으로 검토를 해 보았더니, 워드프레스 코어, 테마 및 업로드 디렉토리에 정체를 알 수 없는 이상한 php 파일이 다수 존재하고 있는 것을 확인 하였고, 특히 wp-config.php 파일에 이상 코드가 추가된 것과 설치한 적 없는 플러그인(xcalendar)이 추가되어 있는 것도 추가적으로 알 수 있었습니다. 그래서 문제가 될만한 정체를 알 수 없는 php 파일을 모두 제거하고 wp-config.php 파일도 수정하고 xcalendar 플러그인도 삭제한 다음, 문제가 해결되었는지 확인해 보았더니 전혀 해결이 되지 않았습니다. 그렇다면 이 문제 외 다른 문제가 있구나 […]

  • 갑자기 사이트 접속에 문제가 있는 경우 사이트 복구 방법 (카페24 호스팅 사용 경우)

    최근 몇 주 사이에 워드프레스 커뮤니티 내에서 여러 보안 문제가 발생 하다보니 워드프레스 정식 버전, security 버전, security & maintenance 버전이 몇 일 간격으로 계속 나오고 있습니다. 거기에 (보안 이슈로 인해) 워드프레스 주요 플러그인까지 패치 버전이 나오면서 업데이트를 해야 하다 보니 자신도 모르는 사이에 워드프레스 관리에 문제가 생기는 경우가 종종 발생하고 있습니다. 그 중 워드프레스 업데이트 이후 갑자기 사이트 접속이 안되는 경우도 생기고 있는데, 만약 카페24 호스팅을 사용 중인 경우라면 다음과 같이 조치할 것을 권장합니다. 위 그림처럼 카페24 관리자 화면에서 DATA&DB 복원/백업 메뉴를 누르면 우측 화면이 나타나는데, 여기서 DATA -> 복원하기 -> 가장 최신의 백업을 선택한 후 [실행] 버튼을 누르시기 바랍니다. 그러면 자동으로 가장 최신의 백업을 한 시점으로 복원되면서 사이트가 제대로 보일 것입니다. (물론 여기에는 다양한 변수가 존재할 수 있기 때문에 기본 상황만 가정 하였습니다) 그런데, 위 방법은 가장 최근 복원 시점과 현재 시점 사이에 작성된 […]

  • No Image

    WordPress 4.2.1 Security 출시

    워드프레스 4.2 버전이 정식 출시된 지 며칠 지나지 않았는데, 주요 보안 문제(critical security)로 인해 워드프레스 4.2.1 Security 버전이 출시 되었습니다. 이번에 발견된 보안 문제는 Jouko Pynnönen.에 의해 발견된 cross-site scripting vulnerability (commenters에 의해 발생될 수 있는)로 알려져 있습니다. 이번 보안 업그레이드는 단순히 워드프레스4.2 에만 해당되는 것이 아니라 워드프레스 이전 버전까지 모두 포함된 것이기 때문에 이전 버전의 워드프레스를 사용 중인 사용자까지 가능한 한 워드프레스 4.2.1 버전으로 업그레이드 할 것을 권장합니다. 보다 상세한 내용은 다음 URL을 참고 바랍니다. https://codex.wordpress.org/Version_4.2.1 북극海 • (주)블로그코디 대표 • 워드프레스 교육 서비스 런칭 • 워드프레스 정보 공유 커뮤니티 make BCT 런칭 • 한국형 워드프레스 테마 출시 • 워드프레스 홈페이지 제작 서비스 런칭 http://blogcodi.com

  • 중요 보안 업데이트 버전인 워드프레스 4.1.2 버전이 출시 되었습니다

    중요 보안 업데이트 버전인 워드프레스 4.1.2 버전이 출시 되었습니다. 중요 보안 업데이트 버전이니 만큼 이전 버전의 워드프레스를 사용하신다면 최신 버전으로 업데이트를 하시기를 바랍니다. 이번 워드프레스 4.1.2 버전에서는 익명 사용자가 사이트에 위협을 줄 수 있는 critical cross-site scripting vulnerability 문제를 해결하였고, 그 외 다음 3가지 보안 문제를 해결 하였다고 합니다. Invalid 또는 안전하지 않은 이름을 가진 파일이 업로드 될 수 있는 문제 (In WordPress 4.1 and higher, files with invalid or unsafe names could be uploaded. 매우 제한적인 cross-site scripting vulnerability 이 social engineering 공격의 일부로서 사용될 수 있는 문제 (In WordPress 3.9 and higher, a very limited cross-site scripting vulnerability could be used as part of a social engineering attack.) 일부 플러그인들에 SQL injection vulnerability 문제를 일으킬 수 있는 취약점 (Some plugins were vulnerable to an SQL injection vulnerability.) 워드프레스 생태계에 있어 정말 하루가 멀다하고 […]

  • 워드프레스 유명 플러그인이 XSS Vulnerability에 감염되다

    원문 글인 ”XSS Vulnerability Affects More Than a Dozen Popular WordPress Plugins”를 어떻게 번역하는 게 좋을지 고민하다 ”워드프레스 유명 플러그인이 XSS Vulnerability에 감염되다”로 의역을 했는데 괜찮은지 모르겠습니다. 어쨌든 워드프레스의 많은 플러그인이 XSS Vulnerability 때문에 문제가 되고 있는 것은 사실입니다. 이번 취약점은 워드프레스 CODEX에 올려져 있는 add_query_arg()와 remove_query_arg() 함수의 잘못된 정보 때문에 발생한 것으로 알려져 있습니다. 해당 CODEX 페이지를 참고해서 플러그인 개발을 한 경우 문제가 될 수 있으니 관련된 분이 있으시면 이에 대해서 자세히 알아 보시기 바랍니다. (참고: https://blog.sucuri.net/2015/04/security-advisory-xss-vulnerability-affecting-multiple-wordpress-plugins.html) 현재 워드프레스 플러그인 중 문제가 있는 유명 플러그인이 제법 되는 것으로 알려져 있는데, 그 리스트는 다음과 같습니다. Jetpack WordPress SEO Google Analytics All In one SEO Gravity Forms Multiple Plugins from Easy Digital Downloads UpdraftPlus WP e-Commerce WPTouch Download Monitor P3 Profiler Give iThemes Exchange Broken-Link-Checker Ninja Forms Aesop Story Engine My Calendar 만약 […]

  • No Image

    [기사인용] 자꾸만 해킹당하는 워드프레스, 사용자 의식 문제

    워드프레스 보안 문제가 날이 갈수록 심각해지고 있는 가운데, 최근 보안 뉴스에서 워드프레스 보안과 관련하여 함께 공유하면 좋을 기사가 나왔습니다. 이 기사의 내용 중 일부를 발췌하면 다음과 같습니다. 콘텐츠 관리 시스템(일명 CMS) 플랫폼 중 해커들이 제일 좋아하는 사이트는 워드프레스(WordPress)다. 해외 정보보안 관련 뉴스 사이트를 뒤적이다보면 제일 많이 나오는 이름 중 하나이기도 하다. 하루가 멀다하고 해킹에 당하기 때문이다. 전문가들은 워드프레스가 너무나 빈번하게 해커들에게 뚫리는 이유에 대해서 동종 플랫폼에서는 압도적인 1위를 자랑하는 사용자 수를 첫 번째로 꼽고 있으며 그 다음으로는 사용자들의 낮은 보안의식 수준을 언급하고 있다. … 보안 전문가들에 의하면 워드프레스 기반 사이트들을 비롯한 CMS 기반 사이트들 대부분이 플러그인 때문에 해킹 공격을 겪는다. 현재까지 워드프레스용으로 세상에 나온 플러그인이 36,547개다. 해커가 드나들 수 있는 문이 그만큼 많다는 뜻이다. 그리고 대부분 잠겨있지 않는 문이다. … 자세한 내용은 원문 기사를 참고 바랍니다. 자꾸만 해킹당하는 워드프레스, 사용자 의식 문제 […]

  • 워드프레스 보안 취약점 데이터베이스 소개

    워드프레스 점유율이 점점 늘어날수록 그에 비례하여 보안 취약점도 증가하는데, 점점 증가하는 워드프레스 보안 취약점을 정리하여 공개하고 있는 웹사이트가 있어 소개합니다. 사이트명은 WPScan Vulnerability Database이고, 메인 페이지는 다음과 같습니다. https://wpvulndb.com/ 위 그림에서 보듯이 WPScan Vulnerability Database 에서는 워드프레스 보안 취약점을 WordPress(워드프레스 코어), Plugins(워드프레스 플러그인), Themes(워드프레스 테마)로 구분하였고, 각 메뉴 클릭 시 워드프레스 보안 취약점들이 출력됩니다. 이 중 WordPress(워드프레스 코어) 클릭 시 출력되는 내용을 살펴보면 다음과 같습니다. 위 그림에서 Version(워드프레스 버전), Added(추가된 날짜), Title(보안 취약점 제목)로 된 보안 취약점 리스트를 볼 수 있습니다. 위 그림에서는 볼 수 없지만 워드프레스 0.7 버전부터 시작하여 4.0 버전까지 발견된 모든 보안 취약점들이 정리되어 있습니다. 이 리스트 중 하나를 클릭하면 다음과 같이 상세 정보를 볼 수 있습니다. Plugins(워드프레스 플러그인)과 Themes 메뉴도 WordPress(워드프레스 코어)와 동일한 인터페이스를 가지고 있어 자세한 설명은 생략 하겠습니다. […]

이전112/2
위로이동