워드프레스 설치 파일(zip)을 FTP에 올려서는 안 되는 이유

예전에 Templatemonster에서 워드프레스나 Joomla 등의 테마/템플릿을 구매하곤 했습니다. 새로 테마나 템플릿을 구매하면 가장 먼저 설명서를 읽어보곤 했는데요, 설명서에 보면 테마/템플릿의 설치 파일을 FTP에 업로드하지 말라는 주의사항이 포함되어 있었습니다.

어제 보안을 위해 iThemes Security를 메인 블로그에 설치했습니다. 이 플러그인에서는 404 오류가 발생하는 페이지를 모니터링하여 보고하는 기능이 있습니다. 이 플러그인에서 제공하는 Log를 살펴보면 사이트 공격자가 어떤 패턴으로 사이트를 공격하려고 시도하는지 확인해볼 수 있어 유용한 것 같습니다.

그리고 재미있는 것은 블로그에 설치된 테마 설치 파일을 다운로드하기 위해 시도하는 것도 관찰되었습니다.

메인 테마에 Elegant Themes의 Divi 테마가 설치되어 있습니다. 위의 그림과 같이 Divi.zip으로 Divi 테마 설치 파일을 다운로드하기 위해 시도하는 것을 볼 수 있습니다. 위의 그림에 나온 IP를 추적해보니 중국에서 접속한 IP네요.

만약 사이트에 아바다가 설치되어 있다면 공격자는 Avada.zip으로 다운로드를 시도해볼 것 같습니다. 그러므로 테마 설치 파일은 가급적 사이트에 올리지 않는 것이 안전한 것 같습니다. 그리고 파일 크기가 제법 되는 경우 트래픽까지 발생할 수 있으니 별로 바람직하지 않은 것 같습니다.

사실 민감한 파일은 FTP에 올리지 않는 것이 가장 좋습니다. FTP를 웹하드처럼 사용하려는 경우 권한 없는 사용자가 해당 폴더에 접근하지 못하도록 조치를 취해주면 안전할 듯 합니다. 다음 글을 참고해보시기 바랍니다.