워드프레스에서 원격 코드 실행(RCE) 공격을 방지하는 방법: 9가지 팁

사이트 소유자가 직면하는 수많은 위협 중에서도 워드프레스에 대한 원격 코드 실행(RCE) 공격은 가장 위험한 위협 중 하나로 꼽힙니다.

RCE 공격이 성공하면 공격자는 서버에서 임의의 악성 코드를 직접 실행할 수 있게 되며, 문제가 발생했음을 알아차릴 때쯤이면 이미 피해가 발생한 후입니다.

위해 지금 바로 취할 수 있는 실질적인 조치도 다룹니다 WordPress 사이트를 보호하기.

요약: 워드프레스에서 원격 코드 실행(RCE) 공격을 방지하는 방법

• 가장 위험한 WordPress 취약점 공격자가 서버에서 악성 코드를 직접 실행할 수 있도록 허용하기 때문에

• 대부분의 RCE 공격은 오래된 플러그인, 취약한 테마 또는 보안이 취약한 파일 업로드를 통해 발생합니다.

• 공격자는 원격 코드 실행(RCE) 접근 권한을 이용하여 악성 프로그램을 설치하거나, ​​데이터를 탈취하거나, 숨겨진 관리자 계정을 생성하거나, 서버를 완전히 장악할 수 있습니다.

• 일반적인 경고 신호로는 예상치 못한 관리자 사용자 접근, 의심스러운 PHP 파일, 비정상적인 서버 활동, 플러그인으로 인한 보안 경고 등이 있습니다.

• 원격 코드 실행(RCE)을 방지하려면 정기적인 업데이트, 안전한 파일 업로드 유효성 검사, 서버 강화, 불필요한 플러그인 사용 제한 등과 같은 다층적인 보안 조치가 필요합니다.

• 웹 애플리케이션 방화벽, 2단계 인증, 지속적인 악성코드 검사와 같은 도구는 악용 위험을 크게 줄여줍니다.

• 원격 코드 실행(RCE) 침해가 의심되는 경우 즉시 조치를 취하십시오. 악성코드를 검사하고, 계정 정보를 주기적으로 변경하고, 로그를 검토하고, 필요한 경우 안전한 백업에서 복원하십시오.

워드프레스에서 원격 코드 실행 공격이란 무엇인가요?

원격 코드 실행은 공격자가 물리적 또는 직접적인 접근 없이 웹 서버에서 원하는 코드를 실행할 수 있도록 허용하는 취약점 유형입니다.

이는 워드프레스 설치, 플러그인 또는 테마의 취약점을 악용하여 원격으로 수행됩니다.

이렇게 생각해 보세요. 서버는 당신의 집입니다. 보통은 당신만이 열쇠를 가지고 있죠. 원격 코드 실행(RCE) 취약점은 공격자가 당신보다 먼저 발견한 숨겨진 뒷문과 같습니다. 공격자는 마음대로 들어와서 둘러보고 원하는 것을 가져간 다음, 당신에게 아무런 알림도 없이 떠날 수 있습니다.

달리 변조 공격 이나 무차별 대입 공격, 원격 코드 실행(RCE) 공격은 종종 완전히 은밀하게 이루어집니다. 공격자는 사이트를 다운시키려는 것이 아닙니다. 그들은 시스템 환경에 지속적이고 조용한 접근 권한을 얻으려 합니다.

다음은 RCE 공격이 성공했을 때 공격자가 일반적으로 수행할 수 있는 작업입니다

• 고객 기록, 결제 정보, 로그인 자격 증명 등 민감한 데이터를 탈취하세요

• 서버에 악성코드나 랜섬웨어를 직접 설치하세요

• 장기간 접근 권한을 유지하기 위해 불법 관리자 계정을 생성하세요

• 서버를 이용하여 스팸을 보내거나 봇넷 활동에 참여하지 마십시오

• 사이트와 데이터베이스를 완전히 삭제하거나 손상시키세요

RCE는 문맥에 따라 코드 삽입, 원격 명령 실행 또는 임의 코드 실행이라고도 불립니다. 하지만 이 모든 용어는 근본적으로 동일한 위협을 나타냅니다.

해커들은 실제로 어떤 방식으로 워드프레스 사이트에 원격 코드 실행(RCE) 공격을 가하는가?

공격 경로를 이해하는 것은 매우 중요합니다. 이해하지 못하는 것을 방어할 수는 없기 때문입니다.

공격자들은 워드프레스 사이트에서 원격 코드 실행을 달성하기 위해 여러 가지 잘 알려진 진입점을 이용합니다. 가장 일반적인 진입점들을 살펴보겠습니다.

오래된 플러그인과 테마를 악용하기

이는 RCE 공격에 있어 가장 흔한 경로입니다. 보안 연구원이 널리 사용되는 플러그인에서 취약점을 발견하면 일반적으로 개발자에게 먼저 비공개로 보고합니다.

하지만 패치가 배포되고 취약점이 공개되면 공격자들은 즉시 패치가 적용되지 않은 버전을 실행 중인 수백만 개의 사이트를 스캔하기 시작합니다.

실제 사례이 발견되었습니다 (CVE-2024-25600).

취약점이 공개된 지 24시간도 채 되지 않아 공격자들은 이미 해당 취약점이 있는 버전이 실행되는 사이트들을 적극적으로 악용하기 시작했습니다.

2024년에 널리 보도된 또 다른 사례는 Bit File Manager 플러그인것으로, 드문 조건의 취약점을 통해 공격자가 영향을 받는 사이트에 임의의 PHP 파일을 업로드하고 실행할 수 있었습니다.

패치가 배포된 후 실제 공격이 시작될 때까지의 기간은 며칠이 아니라 몇 시간 정도입니다. 취약점이 공개되면 공격자들은 그만큼 빠르게 움직입니다.

핵심 요점: 사용 중인 플러그인이나 테마의 활성 설치 수가 1만 건을 넘고, 패치가 적용되지 않은 심각한 취약점이 발표되었다면, 해당 사이트가 이미 스캔 대상이 되어 공격받고 있다고 가정해야 합니다.

제한 없는 파일 업로드 또는 유효성 검사가 제대로 되지 않은 파일 업로드

WordPress는 첨부 파일 옵션이 있는 문의 양식부터 미디어 콘텐츠가 많은 포트폴리오 및 회원 관리 플랫폼에 이르기까지 수많은 웹사이트에 파일 업로드 기능을 제공합니다. 하지만 파일 업로드 처리 코드가 제대로 작성되지 않으면 원격 코드 실행(RCE) 공격의 직접적인 진입점이 될 수 있습니다.

공격 방식은 다음과 같습니다. 공격자는 겉보기에는 무해해 보이지만 실제로는 PHP 웹셸인 파일을 업로드합니다. 웹셸은 공격자가 브라우저를 통해 서버에 명령을 전송할 수 있도록 하는 작은 스크립트로, 공격자에게 사용자 환경에 대한 원격 터미널을 제공하는 것과 같습니다.

공격자들이 취약한 업로드 유효성 검사를 우회하기 위해 사용하는 일반적인 기술은 다음과 같습니다

• malware.png.php와 같이 확장자를 두 개 사용하여 기본적인 확장자 검사를 속이는 방법

• Content-Type 헤더를 변경하여 PHP 파일이 정상적인 이미지 파일로 보이도록 하는 방법

• 널 바이트를 삽입하여 서버 측 처리 중에 실제 확장자를 잘라내는 파일 업로드

핵심 문제는 많은 개발자들이 클라이언트 측에서 파일 확장자만 확인하거나, 서버 측에서 MIME 유형을 강제하지 않고 유효성만 검사한다는 점입니다. 두 가지 검사 모두 필요하며, 어느 하나만으로는 충분하지 않습니다.

객체 주입 및 역직렬화 취약점

PHP에는 문자열을 PHP 객체로 다시 변환하는 unserialize()라는 내장 함수가 있습니다.

공격자가 unserialize() 함수에 전달되는 값을 제어할 수 있다면, 애플리케이션에서 일련의 메서드 호출을 유발하는 악성 페이로드를 만들 수 있습니다. 이를 POP 체인이라고 하며, 궁극적으로 서버에서 임의 코드를 실행합니다.

WordPress 자체에서 버전 6.4.2에서 중요한 POP 체인 취약점을 패치했습니다.

핵심 취약점 자체만으로는 직접적인 악용이 불가능했습니다. 그러나 객체 주입 취약점을 가진 특정 플러그인과 결합될 경우, 완전한 원격 코드 실행(RCE) 공격 경로가 만들어졌습니다.

이는 겉보기에는 관련 없어 보이는 두 가지 취약점이 결합하여 심각한 위협을 형성하는 완벽한 사례입니다.

서버 측 템플릿 주입

일부 워드프레스 테마 와 페이지 빌더는 렌더링합니다 동적 콘텐츠를.

사용자 입력이 적절한 검증 없이 이러한 템플릿으로 유입되면 공격자는 서버에서 평가 및 실행되는 템플릿 구문을 삽입할 수 있습니다.

앞서 언급한 Bricks Builder CVE-2024-25600은 본질적으로 서버 측 템플릿 주입 취약점이었습니다.

사용자가 제어하는 ​​데이터가 템플릿 렌더링 엔진을 통해 PHP 평가 함수로 직접 전달되었습니다. 이것이 바로 해당 취약점을 매우 위험하고 원격으로 악용하기 쉽게 만든 원인이었습니다.

원격 파일 포함 공격

원격 파일 포함은 PHP 설정 오류를 악용합니다.

`allow_url_include` 지시문이 활성화되어 있고 애플리케이션이 사용자 입력을 포함하는 동적 파일 경로를 사용하는 경우, 공격자는 서버가 자신의 서버에 호스팅된 PHP 스크립트를 가져와 실행하도록 강제할 수 있습니다.

최신 PHP 설정에서는 allow_url_include가 기본적으로 비활성화되어 있지만, 많은 공유 호스팅 환경과 오래된 WordPress 설정에서는 초기 배포 이후 재검토되지 않은 안전하지 않은 설정이 여전히 남아 있습니다.

워드프레스 사이트가 해킹당했을 가능성을 나타내는 경고 신호는 무엇일까요?

RCE 공격은 대부분 몇 주 또는 몇 달 동안 숨어 있는 경우가 많습니다. 공격자는 눈에 띄는 방해보다는 조용하고 지속적인 접근을 선호합니다. 하지만 웹사이트에 피해가 즉시 나타나지 않더라도 공격을 감지할 수 있는 징후들이 있습니다.

주의해야 할 가장 중요한 위험 신호는 다음과 같습니다

• 보안 플러그인 경고 는 업로드 파일이나 플러그인 디렉터리 내에서 의심스럽거나 알 수 없는 PHP 스크립트가 발견될 경우 알려줍니다.

• 본인이 생성하지 않은 새 관리자 계정이 WordPress 대시보드에 나타났습니다

• 서버 CPU 사용량이나 아웃바운드 대역폭이 비정상적으로 급증하는 경우, 이는 서버가 사용자 모르게 스팸 또는 봇넷 활동에 이용되고 있음을 나타낼 수 있습니다

• 검증된 원본 버전과 비교했을 때 WordPress 핵심 파일, 테마 파일 또는 플러그인 파일에 예기치 않은 변경 사항이 발생했습니다

• 서버 액세스 로그에서 wp-content/uploads 디렉터리 내 파일을 대상으로 하는 의심스러운 POST 요청이 발견되었습니다

• PHP 프로세스에서 시작하여 알 수 없는 외부 IP 주소와 통신하는 외부 네트워크 연결

• 검색 엔진이 사이트에 악성코드 경고를 표시하거나 호스팅 제공업체가 명확한 설명 없이 계정을 정지하는 경우

이러한 징후를 조기에 감지하는 가장 확실한 방법은 자동 모니터링 및 파일 무결성 검사입니다. 이미 여러 위험 신호가 감지된 경우, 이 문서의 마지막 부분에 있는 사고 대응 섹션을 참조하십시오.

워드프레스에서 원격 코드 실행 공격을 방지하는 방법은 무엇일까요?

원격 코드 실행(RCE) 공격을 방지하는 것은 단 하나의 플러그인이나 설정 변경만으로는 해결되지 않습니다. 워드프레스 환경 전체에 걸쳐 다층적인 방어 체계를 구축해야 합니다.

각 계층은 공격 표면을 줄여 공격자가 실행 가능한 진입점을 찾기를 훨씬 더 어렵게 만듭니다.

워드프레스 코어, 플러그인 및 테마를 즉시 최신 버전으로 유지하세요

이것이야말로 가장 효과적인 조치입니다. 성공적인 원격 코드 실행(RCE) 공격의 대부분은 오래된 소프트웨어의 알려진 취약점을 노립니다.

이러한 취약점들은 이미 패치가 마련되어 적용되기만 하면 되는 것들입니다. 업데이트를 지연시키는 것이 대규모 공격 캠페인에서 사이트가 침해당하는 주요 원인입니다.

효과적인 업데이트 전략이 실제로 어떻게 적용되는지 보여드리겠습니다

• 추가하여 WordPress 코어 마이너 릴리스에 대한 자동 백그라운드 업데이트를 활성화하세요 define('WP_AUTO_UPDATE_CORE', 'minor');를 wp-config.php 파일에

• 의 취약점 알림을 구독하시면 Patchstack 실행 중인 플러그인에서 새로운 보안 문제가 보고되는 즉시 알림을 받으실 수 있습니다.

• 매달 플러그인 목록을 검토하고 12개월 이상 개발자 업데이트가 없는 플러그인은 모두 제거하세요. 개발이 중단된 플러그인은 위험도가 매우 높기 때문입니다

• 에서 업데이트를 테스트하십시오. 스테이징 환경 주요 버전 업그레이드 시에는 호환성 문제가 발생할 가능성이 더 높으므로, 프로덕션 환경에 배포하기 전에

여러 클라이언트 사이트를 관리하는 경우, 중앙 집중식 대시보드 도구를 사용하면 각 사이트에 수동으로 로그인하지 않고도 모든 설치를 훨씬 쉽게 최신 상태로 유지할 수 있습니다.

사이트의 모든 파일 업로드 경로를 차단하세요

사이트에 사용자가 파일을 업로드할 수 있는 기능(연락처 양식, 회원 관리 플러그인, WooCommerce 스토어프론트 또는 포트폴리오 빌더 등)이 있는 경우, 해당 업로드 경로를 기본적으로 고위험 공격 경로로 간주해야 합니다.

다음은 적절한 파일 업로드 보안 강화 방법의 예입니다

• 파일 업로드 시마다 서버 측에서 파일 확장자와 MIME 유형을 모두 검증해야 하며, 클라이언트 측 JavaScript 검증에만 의존해서는 안 됩니다

• 허용되는 파일 형식의 명시적인 화이트리스트를 유지하고, 해당 목록에 없는 모든 파일은 명확한 오류 응답과 함께 거부하십시오

• 서버 수준에서 이중 확장자를 차단하여 image.php.jpg와 같은 파일이 애플리케이션 로직에 도달하기 전에 거부되도록 합니다

• 업로드된 파일은 애플리케이션 아키텍처가 허용하는 범위 내에서 웹 루트 디렉터리 외부에 저장하여 URL을 통해 직접 접근하거나 실행할 수 없도록 하십시오

• wp-content/uploads 폴더에 다음과 같은 규칙이 포함된 .htaccess 파일을 추가하여 uploads 폴더 내의 PHP 실행을 완전히 차단하십시오

모든 옵션에서 거부 -ExecCGI AddType text/plain .php .php5 .phtml

꿀팁: 공격자가 PHP 웹셸을 업로드 폴더에 성공적으로 업로드하더라도, 해당 디렉토리에서 PHP 실행을 차단하면 파일이 실제로 실행되지 않습니다. 이 하나의 .htaccess 규칙으로 수많은 원격 코드 실행(RCE) 시도를 막을 수 있었습니다.

가상 패치 기능을 갖춘 웹 애플리케이션 방화벽 배포

웹 애플리케이션 방화벽(WAF)은 웹사이트와 외부 트래픽 사이에 위치하여 워드프레스에 도달하기 전에 요청을 검사합니다.

우수한 WAF(웹 애플리케이션 방화벽)는 RCE(원격 코드 실행) 시도와 관련된 공격 시그니처를 포함하여 알려진 악성 페이로드를 차단하여 서버의 취약한 코드와 상호 작용하기 전에 막아줍니다.

원격 코드 실행(RCE) 방지에 있어 가장 중요한 WAF 기능은 가상 패치입니다. 신뢰할 수 있는 WAF 제공업체는 심각한 취약점이 공개되면 몇 시간 내에 가상 패치를 배포하여 플러그인이나 테마 개발자가 공식 패치를 출시하기 전에도 알려진 공격 시도를 차단합니다.

이로써 공격자들이 적극적으로 악용하는 정보 공개와 패치 제공 사이의 위험한 공백이 사라집니다.

WordPress의 경우, Cloudflare WAF는 WordPress 전용 규칙 세트를 제공하는

Sucuri Firewall은 WordPress에 특화되어 개발되었으며, 악성코드 검사, CDN 성능 향상, 가상 패치 기능을 하나의 관리형 솔루션으로 제공합니다.

알아두면 중요한 차이점이 하나 있습니다. 일부 보안 플러그인에는 내장 방화벽이 포함되어 있지만, 이는 PHP 엔드포인트 수준에서 작동하므로 WordPress 자체 내에서 로드됩니다.

클라우드 기반 WAF는 트래픽이 서버에 도달하기 전에 필터링하여 RCE 공격을 방지하는 강력한 1차 방어선 역할을 합니다.

대시보드에서 워드프레스 파일 편집기를 비활성화하세요

WordPress에는 관리자가 대시보드에서 직접 테마 및 플러그인 파일을 수정할 수 있는 내장 코드 편집기가 포함되어 있습니다.

개발 과정에서는 편리하지만, 이 편집기는 공격자가 관리자 계정에 접근하게 되면 심각한 문제가 될 수 있습니다. 이 편집기가 활성화된 경우, 공격자는 FTP나 SSH 자격 증명 없이도 사이트의 어떤 파일에든 악성 PHP 코드를 즉시 삽입할 수 있습니다.

wp-config.php 파일에서 해당 기능을 영구적으로 비활성화하십시오

define('DISALLOW_FILE_EDIT', true); define('DISALLOW_FILE_MODS', true);

두 번째 고정 사항은 대시보드에서 플러그인 및 테마 설치를 완전히 차단함으로써 한 단계 더 나아갑니다.

이 설정은 선택 사항이지만 운영 환경에서는 강력히 권장됩니다. 이 설정을 사용하면 관리자 계정이 해킹되더라도 WordPress 인터페이스를 통해 악성 플러그인을 설치할 수 없습니다.

이는 워드프레스 버전 6.4.3 출시 이전에 CVE-2024-31210에 대해 권장되었던 완화 조치이기도 했습니다.

PHP 및 서버 구성 보안 강화

의 상당 부분은 워드프레스 보안 사실 서버 보안에 달려 있습니다. 사이트의 모든 플러그인이 최신 버전으로 업데이트되었더라도, 서버 설정이 잘못되면 인프라 수준에서 원격 코드 실행(RCE) 공격에 노출될 수 있습니다.

호스트 또는 시스템 관리자와 협력하여 이러한 보안 조치를 구현하십시오

• 함수를 추가하세요 eval(), system(), shell_exec(), passthru(), proc_open(), popen() 가장 위험한 PHP 실행 함수의 실행을 방지하려면 php.ini 파일의 disable_functions 지시문에

• 파일 권한을 올바르게 설정하십시오. wp-config.php 파일은 400 또는 440, 디렉터리는 755, 개별 파일은 644로 설정해야 합니다.

• wp-config.php 파일을 파일 시스템 수준에서 읽기 전용으로 설정하여 부분적인 코드 실행조차도 데이터베이스 자격 증명이나 보안 키를 수정하는 데 사용될 수 없도록 하십시오

• PHP 설정에서 allow_url_include를 비활성화하여 원격 파일 포함 공격 벡터를 차단하십시오

• PHP가 서버 루트 권한으로 실행되지 않도록 하십시오. 루트 권한으로 실행되면 원격 코드 실행(RCE) 공격이 성공할 경우 호스팅 환경 전체에 무제한으로 접근할 수 있게 됩니다

사용 중인 경우 관리형 WordPress 호스팅 , 이러한 설정 대부분은 제공업체에서 인프라 수준에서 처리해 줍니다. 하지만 어떤 항목이 포함되고 어떤 항목이 포함되지 않는지 확인하는 것이 좋습니다.

플러그인 용량을 줄이고 설치하는 플러그인을 검증하세요

사이트에 있는 모든 플러그인은 서버에서 실행되는 코드입니다. 모든 코드 조각은 잠재적인 공격 표면입니다. 특히 사용하지 않거나 방치된 플러그인이 많을수록 악용될 수 있는 진입점이 더 많아집니다.

플러그인 관리 시 다음 사항을 일관되게 준수하십시오

• 더 이상 사용하지 않는 플러그인은 비활성화하고 완전히 삭제하세요. 비활성화만으로는 서버에 코드가 남아 있어 잔여 파일 경로를 통해 공격 대상이 될 수 있습니다

• 플러그인을 설치하기 전에 공식 워드프레스 플러그인 저장소에서 마지막 업데이트 날짜, 활성 설치 수 및 알려진 취약점 이력을 확인하세요

• 비공식 출처나 불법 복제된 저장소에서 플러그인을 설치하지 마세요. 이러한 곳에는 백도어와 난독화된 악성 코드가 숨겨져 있는 경우가 많습니다

• Patchstack 또는 유사한 취약점 모니터링 서비스를 사용하여 사이트에서 실행 중인 플러그인에 새로운 보안 문제가 발견될 때 자동 알림을 받으세요

2025년에 널리 보도된 사건에서 공격자들은 사용이 중단되었지만 삭제되지 않은 플러그인을 표적으로 삼아 수천 개의 워드프레스 사이트를 해킹했습니다.

플러그인 코드가 여전히 서버에 남아 있었고 URL을 통해 접근 가능했기 때문에 공격이 성공하기에 충분했습니다.

모든 관리자 계정에 2단계 인증을 활성화하세요

탈취한 관리자 자격 증명을 이용한 원격 코드 실행(RCE) 공격은 익스플로잇 기반 공격보다 흔하지는 않지만, 실제로 존재하며 보고된 공격 경로입니다.

관리자 권한을 획득한 공격자는 악성 플러그인을 설치하거나, ​​테마 파일을 수정하거나, 대시보드 파일 편집기를 사용하여 임의 코드를 실행하는 등의 작업을 단 몇 초 만에 수행할 수 있습니다.

2단계 인증은 검증 계층을 추가하여, 다른 곳에서 데이터 유출로 비밀번호가 노출되었더라도 자격 증명 기반 공격을 훨씬 더 어렵게 만듭니다.

최소한 모든 관리자 및 편집자 계정에 대해 2FA 기능을 활성화하십시오. WP 2FA와 같은 플러그인이나 Wordfence에 내장된 2FA 기능을 사용하면 사이트 소유자가 간편하게 구현할 수 있습니다.

관리자 로그인 보안을 강화하는 방법에 대해 더 자세히 알아보려면 WordPress 로그인 보안에는 비밀번호 외에도 더 많은 사항에 주의를 기울여야 합니다.

지속적인 보안 모니터링 및 파일 무결성 검사를 설정하세요

공격이 일어나고 있다는 사실조차 모르면 대응할 수 없습니다.

지속적인 모니터링과 파일 무결성 검사를 통해 공격자가 시스템에 깊숙이 영구적인 접근 권한을 확보하기 전에 침해를 조기에 감지할 수 있습니다. 이렇게 확보된 접근 권한은 복구하기가 훨씬 더 어려워집니다.

안정적인 모니터링 시스템에는 다음이 포함됩니다

• 워드프레스 핵심 파일, 테마 및 활성화된 플러그인에 대한 모든 변경 사항을 실시간으로 추적하고 예상치 못한 수정 사항이 감지되면 즉시 알림을 보내는 파일 무결성 모니터링 기능입니다

• 탐지하는 예약된 악성 코드 검사입니다. eval(base64_decode(...)), 그리고 설치 내의 승인되지 않은 백도어 파일을

• 로그인 활동 로깅은 모든 로그인 시도(성공 및 실패 모두)를 기록하고, 비정상적인 지리적 접속 패턴이나 동일 IP 주소에서 발생하는 연속적인 로그인 실패를 표시합니다

• 서버 수준에서 외부 연결을 모니터링하여 PHP 프로세스가 외부 명령 및 제어 서버와 통신을 시도하는 것을 감지합니다

Wordfence, Sucuri, 및 MalCare는 WordPress 전용 보안 모니터링에 가장 널리 사용되는 도구입니다.

전문가에게 이 부분을 맡기고 싶다면, 워드프레스 유지보수 서비스를 비즈니스에 중요한 웹사이트의 경우 사전 예방적 모니터링이 포함된

안전하고 검증된 백업을 유지하고 복원 방법을 숙지하세요

백업은 다른 모든 방법이 실패했을 때 최후의 안전망입니다. 원격 코드 실행(RCE) 공격이 성공하여 사이트가 손상되거나 파괴된 경우, 손상되지 않은 백업 파일이 사이트를 다시 온라인 상태로 복구시켜 줍니다.

하지만 백업 전략은 위기가 닥치기 전에 복구 프로세스가 실제로 테스트되었을 때만 효과가 있습니다.

다음 백업 지침을 따르십시오

• 서버 수준 공격으로 인해 로컬 백업 파일과 사이트 파일이 파괴되거나 암호화될 수 있으므로 백업 파일은 호스팅 환경과 완전히 분리된 오프사이트에 저장해야 합니다

• 최소한 매일 자동 백업을 실행하고, 주요 업데이트나 코드 배포 전에는 항상 백업을 실행하십시오

• 복구 과정을 최소 분기별로 테스트하여 실제 압박 상황에서 필요하기 전에 소요 시간과 필요한 단계를 정확히 파악하십시오

• 여러 복원 지점을 유지하여 가장 최근 스냅샷뿐만 아니라 침해 발생 이전 버전으로 되돌릴 수 있도록 하십시오

RCE 공격이 의심될 경우 즉시 취해야 할 조치는 무엇일까요?

위험 신호가 보이거나 보안 경고를 받았다면 신속하게 조치를 취해야 합니다. 다음 순서를 따르세요

• 즉시 사이트를 오프라인으로 전환하거나 유지 관리 모드로 전환하십시오. 공격자가 기존 접속 지점을 계속 사용하거나 추가 데이터를 유출하는 것을 방지하고 조사하는 동안

• 전체 악성코드 검사를 실행하십시오. 설치 과정 전체에서 악성 파일, 백도어 및 삽입된 코드를 식별하기 위해

• 모든 WordPress 관리자 계정을 감사 하고 본인이 생성하지 않은 계정은 모두 삭제하십시오. 특히 최근에 추가된 관리자 권한 계정을 주의 깊게 살펴보십시오.

• 모든 자격 증명을 주기적으로 변경하십시오. WordPress 관리자 암호, 데이터베이스 암호, FTP 및 SFTP 자격 증명, SSH 키, 호스팅 제어판 암호, 그리고 wp-config.php 파일에 있는 WordPress 보안 키와 솔트를 포함한

• 서버 액세스 로그와 오류 로그를 검토하여 업로드 디렉터리의 파일에 대한 POST 요청, 예상치 못한 위치에서의 PHP 실행 또는 외부 IP 주소로의 아웃바운드 연결과 같은 침해 징후를 찾으십시오.

• 깨끗한 백업 이 있다면 해당 백업에서 복원한 다음, 모든 미처리 업데이트를 즉시 적용하고 사이트를 다시 온라인 상태로 전환하십시오.

• 근본적인 취약점을 파악하고 패치해야 합니다. 사이트 복원 시 공격이 성공할 수 있었던 바로 그 조건을 다시 만들지 않도록,

만약 직접 사고 대응을 처리하는 데 자신이 없다면, 전문적인 WordPress 사이트 복구 서비스를 이용하는 것이 좋습니다. 적절한 도구와 경험 없이 수동으로 복구를 시도하는 것보다 훨씬 빠르고 완벽한 결과를 얻을 수 있습니다.

마지막으로

원격 코드 실행 공격은 워드프레스 보안에서 가장 심각한 위협 중 하나이지만, 결코 피할 수 없는 것은 아닙니다.

해킹당하는 사이트는 거의 대부분 보안을 나중 문제로 여긴 사이트들입니다. 공격자들은 당신의 사이트를 특별히 표적으로 삼는 것이 아닙니다.

그들은 수백만 개의 사이트를 동시에 스캔하여 패치가 적용되지 않은 플러그인, 공개된 업로드 디렉터리, 모니터링이 비활성화된 사이트, 그리고 능동적인 방어 체계가 없는 사이트를 찾고 있습니다.

이 가이드에서 다루는 보호 조치들은 개별적으로는 복잡하지 않습니다. 하지만 이러한 조치들을 계층화된 전략으로 함께 사용할 때 강력한 효과를 발휘합니다. 모든 것을 최신 상태로 유지하고, 파일 업로드를 차단하고, 웹 방화벽(WAF)을 배포하고, PHP 환경을 강화하고, 지속적으로 모니터링하십시오. 그리고 필요한 시점보다 훨씬 전에 깨끗하고 검증된 백업을 준비해 두십시오.

이러한 보안 조치를 구현하는 데 전문가의 도움이 필요하거나 현재 WordPress 보안 설정에 대한 전문적인 점검이 필요하시면 Seahawk Media 팀이 도와드리겠습니다. 지금 연락 주시면 귀하의 사이트에 필요한 사항을 검토해 드리겠습니다.

워드프레스 원격 코드 실행(RCE) 공격 관련 FAQ