블로그

심포니소프트 쇼핑몰ERP/크립토쇼핑몰/CryptoERP/PHP유지보수/JAVA유지보수 > 블로그 > Uncategorized > 워드프레스 해킹과 대한 기초
Uncategorized

워드프레스 해킹과 대한 기초

by July 6, 2016

안녕하세요 ?
국내 유일의 무료 워드프레스 쇼핑몰 “우커머스 교실”에서 워드프레스 해킹과 보안에 대한 기초적 내용에 대해 알아보겠습니다. 워드프레스가 점유율이 높아질수록 해킹의 위험도 증가합니다. 워드프레스 해킹을 어떻게 해결할 수 있을까요 ? IT 비전문가가 구글링을 해보면 해킹의 개념 자체를 비전문가 들에게 이해시키기 힘들어서 해킹에 대한 방어도 “어떤 플러그인을 설치해야 되지 ?” 라는 피상적인 방법으로 밖에는 접근할 수가 없습니다. 이번에는 해킹의 기초 이론부터 이해 한후 해킹 복구와 방어 및 후속 조치까지 하나씩 정리해보도록 하겠습니다.

워드프레스 해킹의 종류
 1. Brute Force Attack – BFA ( 무차별 대입 공격 )  사용자의 아이디와 패스워드플 사전식의 단어로 구성되어 있는 화일을 이용하거나 하나씩 계속 대입하는 방법으로 사용자의 아이디와 비밀번호를 알아내는 다소 원시적인 방법이지만 해커가 자신의 해킹 장비에 장시간 해킹 시도를 걸어 놓아서 결국에는 해킹을 하고 마는 가장 광범위하게 사용되는 해킹 방법입니다. 한번 아이디와 비밀번호가 탈취당하면 해당 웹사이트의 비밀 장소에 트로이 목마나 악성코드등 을 심어서 해당 웹사이트를 이용하여 2차 피해를 줄 수 있으므르 각별히 조심해야 하는 해킹 공격입니다.
 2. Denial of Service 공격 – DOS (서비스 거부 공격)  Denial of Service는 말 그대로 서비스를 정지시키는 공격입니다. 이 공격은 시스템의 Shell을 획득하거나 하는 그런 직접적인 제어를 할 수는 없지만 해커의 해킹 장비에서 직접적으로 웹사이트에 접근하는 트래픽을 발생시켜서 목표로 하는 시스템을 마비시키거나 정지, 파괴하는 행위 등이 가능합니다. 특히 이런 것이 네트워크와 관련되면 더욱 엄청난 피해가 발생하는데 DDOS (Distributed DOS)가 가장 잘 알려진 예입니다.
 3. XSS Attack ( XSS 공격 ) (서비스 거부 공격)  웹 사이트의 기초적인 취약점 공격으로 해커가 웹 사이트에 자바 스크립트나 HTML 태크를 넣는 기법을 말합니다. 해커가 공격에 성공하면 삽입한 코드를 실행하여 부분적으로 시스템이나 쿠키나 세션 토큰 등의 민감한 정보를 탈취합니다. 공격 방법이 단순하지만 많은 웹사이트들이 XSS에 대한 방어 조치를 해두지 않아 공격을 받는 경우가 많으며 게시판 등에 코드를 삽입하는 경우와 스팸메일을 통해서도 전파됩니다.
 4. SQL-Injecton ( SQL 삽입 공격 )  해커가 개발자가 의도치 않은 SQL문을 실행되게 함으로써 데이터베이스를 비정상적으로 조작하는 코드 인젝션 공격 방법입니다. 즉 SQL에 대입되는 변수를 적절히 조작해서 SQL Query 가 의도하지 않는 형태로 실행될 수 있도록 하여 관리자 권한을 탈취하거나 악성코드를 데이터 베이스에 삽입하는 공격 방법입니다.
위와 같이 해킹의 종류를 분류한 이유는 귀하의 웹사이트가 해킹로 고통받고 있다면 어떤 종류의 해킹임을 알아야 하기 때문입니다. 마치 환자가 자신의 병명과 일반 증세를 이해해야 병을 고칠수 있는 것과 같습니다. 그리고 기본 지식을 응용하여 자신의 문제를 해결하기 위해 필요한 해결책이나 플러그인 설치 등의 길잡이가 되어 줄 수 있기 때문입니다. 일반적으로 웹 해킹은 하나의 기법으로 진행되는 것이 아니라 복합적인 방식으로 발생하므로 해킹 방어나 복구를 적절히 하려고 하면 기본적인 지식을 필요로 합니다. 구글링해서 나오는 이리저리 흩어진 웹 해킹의 기본 방법을 위와 같이 정리해 보았습니다. 다른 의견이나 새로운 정보를 가지고 계신분은 언제든지 info@dabory.com의 로 주시면 감사하겠습니다.
워드프레스 해킹 방어의 특수성
구글링을 해보면 대체적으로 워드프레스 해킹 보안 블로그들은 BFA를 효과적으로 방어하는데 촛점이 맞추어져 있습니다. 그런 블로그등은 “워드프레스를 정기적으로 Update 해라, Id / password 바꿔라, 관리자 페이지인 wp-admin 페이지를 숨겨라 등의 현실성이 부족하거나 효과가 없는 일반적인 대응책만을 제시하는 경우가 많습니다.
 1. 워드프레스 업데이트는 말처럼 쉽지 않다.  최근 코드가드(CodeGuard)에서 워드프레스 플랫폼 사용 기업을 대상으로 실시한 설문조사에 의하면 응답자의 44%가 웹 사이트 및 IT 관리자를 따로 고용하지 않는다고 답했고 워드프레스 사용법에 대한 교육을 제대로 받은 응답자는 1/4도 되지 않았습니다. 또한 워드프레스 업데이트를 주기적으로 받는 사용자는 절반이 조금 넘는 수준이었고 그나마도 대부분은 업데이트 후 플러그인 오류를 겪었다고 응답했습니다.(69%).
 2. 아무도 책임져주는 사람이 없다.  워드프레스 사용자이면 대부분 이해할 수 있는 상황이지만 대부분의 플러그인을 무료이지만 유료로 사는 경우라도 플러그인의 워드프레스 버전별 호환성을 장담할 수 없는 상황입니다. 특히, 우커머스는 워드프레스 쇼핑몰을 런칭한 후 사이트 작동이 문제가 되면 매출에 즉각적인 지장을 주는 “Mission Critical” 한 웹 사이트이므로 검증되지 않은 상태에서 플러그인이나 워드프레스 코어를 업데이트할 수 없다는 것이 가장 큰 문제점입니다.
 3. 해커의 중요한 표적이 된다.  W3Techs가 수집한 시장 데이터에 의하면 전 세계의 워드프레스 점유율은 23.5%에 달하고 있습니다. 이는 말 그대로 압도적인 1위로 2위인 줌라(Joomla)가 1/10도 되지 않는 수준에 그치고 있습니다. (2.9%). 하지만 영세한 업체가 워드프레스를 사용하는 있는 경우는 자체 IT 관리자를 고용할 수 없는 상황이라서 해커들의 좋은 먹이감이 될 수밖에 없는 상황입니다. 작년 가을 임퍼바(Imperva)가 실시한 조사에 의하면 다른 모든 CMS 플랫폼에서 발생한 공격보다 워드프레스 한 분야에서 일어난 해킹 시도가 24.1%나 빈번했고 특히 XSS 취약점 공격의 경우는 워드프레스가 60%나 더 많았습니다.
구글링에서 온 워드프레스 보안강화 10가지 팁 일반 해설
1. 워드프레스를 설치할 때 FTP로 직접 설치할 것.
2. 관리자 계정명을 admin 으로 쓰지 말 것.
3. 설치시 wp_ 테이블 접두사 변경 예) wp_dbr_
4. 스팸 필터링 플러그인 Akismet 활성화 할 것.
5. 워드프레스 정보 감추기 – Wp Security Scan
6. wp-config.php 화일 보호 – .htaccess화일
.htaccess 화일을 이용하여 가장 중요한 셋팅 화일인 wp-config.php를 보호할 것.

Order Deny, Allow
Deny from all

7. .htaccess 파일 보호

Order Deny, Allow
Deny from all

8. 플러그인을 사용하여 리렉토리 구조 숨기기
Options -Indexes
9. 정기적인 백업 – 매일 백업을 받을 것. 백업 받는 웹호스팅 채용.
10. 최신버젼으로 업데이트 – 보안 취약 부분 개선
해킹 방어와 복구 실전
다보리에서는 해킹에 관련된 건을 정기적으로 업데이트 할 수 없는 경우에 대해서도 하나하나 추가해나갈 계획입니다. 즉 정기적으로 Update 해라, Id / password 바꿔라, 관리자 페이지인 wp-admin 페이지를 숨겨라 류의 블로그가 아닌 워드프레스 웹호스팅을 하면서 해킹 방어러/복구에 축적된 노하우를 상세히 설명하도록 하겠습니다.
아래에 개별 블로그로 가는 버튼을 추가하였습니다.
워드프레스 해킹 정보 일반 링크
How-To-Assign-Rates-To-Shipping-Classes-in-Woocommerce-Plugin
http://www.thewordcracker.com/intermediate/change-wordpress-admin-url/
관리자 경로(wp-admin) 변경 / Hide My WP / Protect Your Admin
http://www.thewordcracker.com/basic/hide-my-wp/

[팁] 워드프레스 설치 따라 하기 (1. 보안 최적화 편)


워드프레스 추천 보안 플러그인
iThemes Security / Wordfence Security / BulletProof Security / All in One WP Security & Firewall
Akismet / Limit Login Attempts / WordPress File Monitor Plus / Block Bad Queries / Acunetix WP Security
WP AntiDDOS
IOSEC HTTP Anti Flood/DoS Security Gateway Module
Acunetix WP Security 별 의미 없을 것 같음.
http://noplanlife.com/?p=815
Bruce Force Attack
https://blog.sucuri.net/2014/07/new-brute-force-attacks-exploiting-xmlrpc-in-wordpress.html
WordPress Security: Prevent Brute Force and DDoS Attacks
http://blog.daum.net/_blog/BlogTypeView.do?blogid=0ElQz&articleno=9649379&categoryId=528449&regdt=20071217191854 트랙백과 핑백의 차이
http://yadw.tistory.com/24 트랙백에 대한 소상한 설명

워드프레스 핑백 트랙백 개념과 설정


http://extrememanual.net/4286 트랙백과 핑백 개념 설명
http://www.yunsobi.com/blog/303 XML-RPC 설명
Disable XML-RPC Pingback
http://gotmls.net/tag/wp-login-php/
Get Off Those Maliciously Loaded Scripts!
Download this free Anti-Malware Plugin for WordPress.
mod_evasive : https://www.google.co.kr/search?q=mod_evasive&oq=mod_evasive&aqs=chrome..69i57j0l5.4671j0j4&sourceid=chrome&ie=UTF-8
https://www.digitalocean.com/community/tutorials/how-to-protect-against-dos-and-ddos-with-mod_evasive-for-apache-on-centos-7 DDos 공격 방어
http://faq.hostway.co.kr/Linux_WEB/7053

31 Ways To Make WordPress Secure


http://www.wpsolver.com/ways-to-keep-wordpress-secure/ 31 Ways To Make WordPress Secure
http://hwangc.com/wordpress-security-solutions/ 황씨의 워드프레스 해킹

Tags:

Leave a Reply

Your email address will not be published. Required fields are marked *