워드프레스 블로그가 공격을 받은 것에 대한 이야기를 해볼까 합니다.
이번 공격은 워드프레스 파일 중 wp-cron.php에 대한 것입니다.
가입형 블로그 형태가 아닌 워드프레스의 경우 블로거가 직접 관리를 해야 하는 부분이기에 참고가 되실 듯 합니다.
1년 넘게 방치하고 있던 워드프레스 블로그입니다.
영문 블로그로 그냥 두고 있었는데, 갑자기 구글 애드센스에서 오류 관련 메일이 와서 확인을 해보니 위와 같이 웹호스팅 업체에서 제공하는 한달 제공량이 모두 소진되어 있었습니다.
즉 한달 제공 트래픽이 모두 소진되어 위와 같이 접속이 불가능한 상태이였습니다.
일일 방문자수가 많은 블로그가 아니기에 도대체 무슨 일인지 로그를 뒤져 보기 시작하였는데…
위와 같이 일부 IP에서 상당히 많은 트래픽이 발생된 것이 확인되었습니다.
도대체 무슨 파일에서 이렇게 트래픽이 발송했나 찾아보았더니 wp-cron.php 파일에서 상당한 트래픽이 발견된 것을 확인할 수 있었습니다.
그리고 차이가 제법 나기는 합니다만 wp-login.php 파일의 읽기 횟수도 적지 않음을 확인할 수 있었습니다.
wp-cron.php 취약점 공격 해결은?
wp-cron.php 파일은 파일 이름에서 확인할 수 있듯이 미리 설정된 행동을 하기 위한 파일입니다.
예를 들어보자면 글 발행 예약을 해 놓으면 예약 시간에 글을 발행되는 것을 관여합니다.
이 wp-cron.php 파일에 보안취약점이 있던 이슈가 있었습니다.
이미 워드프레스 업데이트를 통해 해결이 된 보안취약점인데, 그동안 이 블로그에 업데이트를 적용하지 않아 발생한 문제였습니다.
일단 워드프레스를 최신 버전으로 업데이트를 하였습니다.
그리고 많은 트래픽을 발생한 IP, 즉 공격을 해온 IP는 일정 대역대까지 IP 접근을 막아버렸습니다.
이렇게 조취를 취하고 난 이후 매일 모니터링을 해보니 더 이상 문제가 발생하지 않아 해결된 것으로 보고 있습니다.
결론은?
첫째는 무엇보다 워드프레스에서 배포하는 업데이트는 보안을 위해 바로바로 적용을 하는 것입니다.
여기에 플러그인과 테마 역시도 업데이트를 바로바로 적용해야 할 듯 합니다.
플러그인이나 테마는 잘못된 업데이트 배포로 사이트나 블로그에 접속을 못하는 문제가 발생할 수도 있기는 합니다만 이제는 이런 경우가 발생하는 확률이 상당히 낮아져서 그냥 업데이트 하는 것이 좋을 듯 합니다.
둘째는 워드프레스는 확실히 해외에서는 유저수가 많은 만큼 공격 대상인 것을 다시 한번 알게 되었습니다.
특히 이번 공격을 받은 블로그가 방문자수도 많지 않은 영문 블로그인 것을 감안하면 이 점은 다시 한번 생각을 해봐야 할 듯 합니다.
국내에도 점점 워드프레스 블로그가 늘어나고 있는 만큼 언젠가는 국내에도 한번은 문제가 될 듯 싶네요.
마지막으로 이렇게 한 IP에서 적지 않은 양의 트래픽이 발생하게 되면 워드프레스만 들여다 봐서는 체크 하기가 쉽지 않습니다.
이런 경우 웹호스팅 업체에서 즉 서버상에서 IP를 자동 차단(짧은 시간 지속적인 접속 시도시 차단)하거나 계정 이용자들에게 알려주는 부분이 있어야 할 듯 합니다.
보통 웹호스팅 업체에 제공하는 보안관련 부분도 워드프레스 운영자라면 확인을 해봐야 할 듯 합니다.