사이트가 이상하다는 연락을 받고 들어가 보면 이미 스팸 페이지가 수백 개 생성돼 있는 경우가 많습니다. 악성코드 제거는 순서가 중요합니다. 순서를 건너뛰면 지워도 며칠 뒤 다시 살아납니다. 운영자 입장에서 밟아야 할 절차를 정리했습니다.
1단계 — 감염 여부부터 확실히 확인
검색 결과에 이상한 일본어·도박 키워드가 노출되거나, 접속 시 다른 사이트로 튕기거나, 관리자 화면이 갑자기 느려졌다면 의심 신호입니다. 구체적인 증상은 워드프레스 해킹 징후 정리에서 먼저 대조해 보세요. 감염이 확인되면 가장 먼저 현재 상태 그대로 백업을 하나 떠 둡니다. 감염된 백업이라도 원인 조사 자료가 됩니다.
2단계 — 제거 작업 순서
- 사용자 → 모든 사용자에서 만든 적 없는 관리자 계정을 찾아 삭제합니다.
- 모든 관리자 비밀번호와 호스팅·FTP·DB 비밀번호를 교체합니다.
- 코어 파일은 워드프레스 공식 원본으로 덮어쓰고, 플러그인·테마는 공식 배포처에서 새로 내려받아 재설치합니다.
- wp-content/uploads 폴더 안의 PHP 파일은 정상 사이트에 있을 이유가 없습니다. 발견 즉시 삭제합니다.
- Wordfence 같은 보안 플러그인으로 전체 검사를 돌려 잔여 파일을 확인합니다.
3단계 — 재발 방지가 진짜 마무리
감염 원인의 대부분은 오래된 플러그인 취약점과 약한 비밀번호입니다. 미사용 플러그인·테마를 삭제하고, 업데이트를 밀리지 않게 유지하고, 관리자 로그인에 2단계 인증을 붙이세요. wp-config.php의 보안 키(salt)를 새 값으로 교체하면 기존 로그인 세션이 전부 무효화되어 남아 있던 침입 세션도 끊깁니다.
제거 후 최소 2주는 서치 콘솔과 방문 로그를 매일 확인하세요. 재감염은 대부분 첫 2주 안에 일어납니다.
※ 구글에 ‘이 사이트는 해킹되었을 수 있습니다’ 경고가 붙었다면, 제거 완료 후 서치 콘솔의 보안 문제 메뉴에서 검토 요청까지 해야 경고가 내려갑니다.
복구와 재발 방지까지 혼자 감당하기 벅차시다면 IDC.KR 문의 페이지로 상황을 알려 주세요. 점검 후 필요한 조치만 골라 안내해 드립니다.
