PHP 유지보수

컴퓨터 보안의 기본적인 3요소는 무결성, 기밀성, 가용성입니다. 이것은 우리가 사용하는 서비스하는 웹서버에서도 동일하게 적용되는 것으로
첫째, 무결성은 서버의 주는 역할이 결함없이 제공되는 것이며 두번째 기밀성은 서버에 저장된 정보의 기밀성이 유지되어야 하며 세번째 가용성은 서버의 기능이 계속 사용 가능하여야 한다는 것입니다. 이러한 서버의 기능을 지속적으로 보장하기 위해서 선행되어야 할 것이 바로 서버의 건강 즉, 서버를 상태를 지속적으로 모니터링해서 이상 징후를 조기에 발견할 수 있는 헬스 체크라고 할 수 있습니다.
보수적인 의미로써의 서버 헬스 체크는 아래의 이미지와 같이 트래픽, 저장공간, CPU점유율, 메모리 사용율, 프로세스 발생 빈도등 일반적인 수준에 머물러 왔으며 오픈소스로 제공되던 대표적인 경우가 MRTG이용한 서버 모니터링 도구 였습니다.
헬스체크의 대표적 솔루션으로써는 Splunk와 같은 유료 솔루션이 있습니다. 스플렁크는 고가의 데이터 분석 솔루션이지만, 500MB 이내의 데이터를 사용한다면 무료 솔루션입니다. 최고의 장점은 비정형 로그뿐 아니라 시스템 로그를 대시보드로 꾸미는 것까지 1시간이 걸리지 않는데 초보자라도 기초 스터디를 보면서 기본적인 로그 대시보드를 하루 안에 만들 수 있습니다. 하지만 일반적으로 소기업, 스타트업 업체의 경우 감당할 수 없는 고 비용입니다.

하지만 근자에 들어서는 Grafana 라고 하는 각광받는 오픈소스 모니터링 도구가 나와서 널리 사용되고 있습니다. 이것은 좀더 광범위하고 자료를 토대로 좀 더 빠른 시계열 데이터 분석을 위하여 InfluxDB를 채용하여 좀 더 단순한 프로그램으로 시시각각 변하는 서버 상태의 빅테이터를 빠른 시간에 쿼리할 수 있는 기능을 내장하고 있습니다.

이전에는 이러한 서버 헬스 체크 기능은 상당한 높은 비용을 지불해야 하는 서비스였으며 전용 서버를 사용하는 경우 기껏해야 월말에 트래픽 합계 정도만 보여주는 경우가 대부분이였습니다. 하지만 날로 발전하는 IT기술에 힘입어 개별 웹호스팅의 헬스 체크 또한 가까운 시일내에 제공되리라고 예상됩니다.

DIY방식으로 웹호스팅 서버를 구성할 경우 가장 두려운 것 중에 하나가 해킹 공격에 대한 것을 어떻게 해결할까 입니다.
일반적으로 우리가 사용하는 카페24, 스마일서브, 가비아 등 대부분의 업체가 사용하는 방화벽을 linux의 iptables 라는 명령어를 이용하여 구성한 단순한 IP 차단 방식 또는 자체적으로 개발한 port나 단순한 IP 차단 만이 가능한 하드웨어 방화벽입니다. 일반적으로 CISCO와 같은 네트워크 장비 업체에서 제공하는 방화벽은 그 임대료만 월 USD 200 정도의 비용을 지불해야 할 정도로 고가의 장비입니다. 이러한 장비들은 기본적으로 단순한 DDos 를 방어할 수 있는 기능이 내장되어 있습니다. 다행이도 다보리에서 무료 호스팅의 기본은 아마존 웹 서비스에서 진행하고 있고 이 ㅁAWS는 이러한 고가격 고성능의 방화벽 장비들을 규모의 경제에 힘있어서 무료로 제공하고 있습니다. 그래서 아마존 웹 서비스를 소기업을 위한 대기업의 웹 서비스라 고 부르는 이유가 이런 핵심적인 중요한 서비스를 무료로 제공받을 수 있기 때문입니다.

실제 웹사이트 방문자들이 체감하는 웹사이트 속도는 크게 2가지의 요소로 정리합니다.
(1) 다운로드 속도
웹사이트 다운로드 속도란 페이지 로딩 속도라고도 하는데 웹사이트의 이미지 화일을 포함하는 정적인 컨텐츠( Static Contents ) 인 Html, Javascript, Css 화일이 다운 로드되는 속도를 말합니다. 웹페이지를 웹브라우져에 로딩하는 시간입니다. 가장 큰 영향을 미치는 이미지와 Html이나 Javascrip, css 가 웹브라우져에서 다운로드 되는 속도와 관계됩니다.
(2) 웹서버 부하 감소
웹사이트의 동적인 요소인 데이터베이스 쿼리와 쿼리된 데이터를 조작해서 Html로 보여주는 일련의 과정에서 서버의 부하가 일어납니다. 결국 서버 부하의 대부분은 Mysql 이라는 데이터베이스에서 쿼리하는 데이터의 량과 속도에 영향을 받습니다.

일단 다운 로드의 경우 속도 측정을 어떤 요소가 속도에 영향을 미치고 있는가가 중요한 요소입니다. 잘 알려진 속도 측정 사이트를 소개합니다.
(1) 핑덤
핑덤은 전 세계적으로 사이트 속도 측정을 위해 가장 많이 이용되는 사이트 중 하나이며, 측정했던 기록이 남기 때문에, 보완 후 다시 측정 했을 때 얼마나 효과가 있었는지도 확인 가능 합니다. (2) 구글 페이지 스피드
웹사이트의 다운 로드 속도를 즉정하는 도구로써는 Google 의 PageSpeed 가 있습니다. 구글 스피드 인사이트는 구글에서 제공하는 측정 사이트로, 속도 측정 결과와 함께 수정 해야할 사항들을 표시해 줍니다. (3) GT 매트릭스
GT 매트릭스는 고정된 위치(IP)가 아닌 각 국가의 위치에서 속도를 측정해줍니다. 즉, 글로벌 유저를 표적고객으로 하는 웹사이트에를 테스트 하기에 적절한 사이트 입니다. 해당 웹사이트들은 대부분의 웹사이트 측정을 하는 웹사이트는 다운 로드 속도 이상을 측정해주지는 않습니다. 그 이유는 웹사이트 다운로드 속도 측정은 웹서버 내부의 Database 엑세스와 Apache 나 NginX와 같은 Php와 같은 동적으로 컨텐츠를 구성하는 과정을 측정해내지는 못하기 때문입니다.
또한 이미지 최적화에 대한 수준도 이미지실제 사이즈와 웹페이지상의 사이즈를 비교하여 실제 썸네일의 이미지 화일이 제대로 축소된 썸네일 화일로 보여지고 있는가를 측정해서 보여주기 때문에 CDN을 통한 네트워크 부하 감소 및 서버 부하 감소를 측정해주지는 않습니다.
따라서 위에 언급한 사이트들을 이용하여 다운로드 속도의 상대적인 기준으로 평가하되 절대적 기준으로 정하지는 않으셔야 합니다.
이미지 최적화의 고급 기술 중 Image Polishing 이라는 이미지의 화질이 떨어지지 않므면서 이미지의 크기를 축소하여 웹브라우즈에 다운로드하는 기술이 있는데 이런 방법을 채용하면 최대 80%까지 이미지 다운로드량을 압축할 수 있습니다. https://sym-wp.daboryhost.com는 이미지 압축 기술인 Polishing 기술이 웹사이트에 적용되어 실시간으로 적용되어 압축된 이미지가 네임 서버에서 직접 다운로드되는 방식을 취하고 있어 다운로드 속도가 타 우커머스 사이트에 비할 수 없이 빠릅니다.

웹서버 부하 측정으로 들어가면 이제 양상은 상당이 복잡해지기 시작합니다. 워드프레스 기술 구조중 가장 강점 중에 하나인 유연한 플러그인(Plugin) 개발 기법은 워드프레스를 통한 무한한 기능 확장이 용이하게 될 수 있도록 만들어져서 워드프레스를 전 세계 CMS 툴 분야에서 사실상을 표준을 만들수 있는 일등공신이 되었습니다. 하지만 강점이 있으면 그것으로 인한 약점도 생기는 법이지요. 워드프레스 플러그인에서 주로 사용하는 Calllback 함수 (보통 Hook이라고 부르기도 합니다.)가 특성상 미리 로직을 로딩하여 컴파일 해둔 상태에서 한 페이지가 실행되는 상황에 따라 사용 여부를 결정하는 방식이므로 자연적으로 서버 부하가 상대적으로 많이 발생하는 구조입니다.
사실은 그리고 각 플러그인들은 대부분의 메인 페이지는 웹사이트의 root 폴더의 index.php에 모두 include되어 컴파일되는 방식으로 만들어져 있으므로 플러그인 개발자가 플러그인 개발시 최적화에 공을 들이지 않으면 하나의 플러그인이 웹서버 부하를 크게 발생시켜 버립니다. 또한 개별 웹 페이지가 실행될 때 마다 각 플러그인의 세팅 정보를 읽어 내어야 하는데 그 개별 정보 하나 하나가 wp-options라는 하나의 테이블 한 레코드에 저장되도록 구성되어 있으므로 많은 수의 Mysql Query를 발생시켜 버립니다.
대체적으로 워드프레스에서 한 페이지를 보여줄 때 80~200개 정도의 쿼리가 발생되는데 MySql에서 데이터를 가져오는데 이 숫자가 많을수롤 서버 부하는 증가되는 것입니다. 그래서 워드프레스의 속도는 사실 이 쿼리의 갯수를 최대한 적게하고, 쿼리 속도를 최대한 빠르게 만드는 것이 가장 중요한 관건이 되는 것입니다. 그래서 Mysql를 워드프레스에 적합하도록 튜닝하는 것이 중요한 이슈가 되지만 실제 그럴만한 기술를 가진 사람을 찾기란 힘든 상황입니다. 대체적으로 Php Version 5.x 대에서 Php 7으로 업그레이드 한 경우라도 만족스러운 결과가 나오지 않는 것은 근본적으로 워드프레스가 Mysql을 혹사시키고 있다고 예상되기 때문입니다.
지금까지 다보리에서 워드프레스로 개발된 웹사이트를 호스팅하면서 발견된 재미있는 사항을 서버 사양을 높힌다 하여도 한번 잘못 개발된 플러그인을 사용하고 있는 경우 특별한 개선책이 나오지 않았다는 것입니다. 따라서 가장 고질적인 문제인 서버 부하의 감소를 위하여 플러그인과 테마의 효율성을 확보하는 것에 다름아닌 것입니다.

일단 플러그인의 속도 진단은 되어야 하므로 플러그인 속도 진단 플러그인을 소개합니다.
P3 (Plugin Performance Profiler) 플러그인을 사용하면 플러그인에 대한 진단 문제를 쉽게 해결 가능한데 자세히 살펴보면 제작사가 GoDaddy라는 미국의 가장 큰 웹호스팅사로 되어 있습니다. 다른 곳도 아닌 웹호스팅사가 뭐가 답답해서 이런 것을 만들었을까요 ? 이것은 웹호스팅사가 워드프레스 호스팅 때문에 많은 골머리를 앓고 있다는 것을 명백히 보여주는 것입니다. 공통으로 사용하는 웹서버에 서버 부하를 심하게 가져가는 워드프레스 웹호스팅이 그렇게 환영받지 못한다는 것입니다.
실제 미국의 내노라하는 웹호스팅사가 워드프레스 전용 웹호스팅 상품을 공격적으로 영업하지 않는 이유가 이런 문제점이 있기 때문이 아닐까 하고 생각해 보았습니다.
▲ P3 (Plugin Performance Profiler) 스캔시 부하의 퍼센티지와 실행시간을 보여주므로써 어떤 플러그인에서 많은 부하가 발생하는지를 보여줍니다.
아래를 살펴보면 우커머스와 다보리-통합 플러그인 간의 비교치가 나옵니다. 다보리 통합-플러그인은 14 정도의 플러그인이 통합된 결과물로써 해당 플러그인의 총합보다 3/4 정도 서버 부하량을 줄여주고 있습니다.
그래서 이 도표는 다보리에서 영리하게도 우커머스용 플러그인을 통합함으로서 얻을 수 있었던 속도 개선 효과를 잘 보여주고 있다고 할 수 있습니다.

구분	다보리 플러그인에 통합된 기능
다보리 개발 필수 플러그인	(1)다보리-멤버스 II (2)한국형 주소 찾기 (3)소셜 로그인/휴면 계정관리 (4)국가별 보안차단 (5)네이버 블로그 자동등록
다보리 개발 우커머스 필수 플러그인	(6)신용카드 PG 결제     페이앱, LGU+, 카카오페이, KCP, 이니시스,     나이스정보. JT-Net, 올더게이트 (7)배송 추적 (8)바로구매 버튼 (9)다보리 SMS (10)무통장입금 자동 등록 (11)굿스플로 배송장 자동 출력 기능

Query Monitor 디버깅 플러그인 이긴 하지만 용도에 따라 훌륭한 쿼리 분석기가 될 수 있으며 워드프레스 사이트의 성능 개선을 위한 Intuition을 제공합니다. 예를 들면 플러그인 설치후 Php warning 와 Slow Query 를 분석하여 추가된 플러그인이나 기능 또는 웹폰트 추가 등으로 사이트가 늦어지는 이유에 대한 영감을 얻을 수 있습니다

뉴렐릭은 소프트웨어와 웹, 모바일 중심으로 급격히 변화한 서비스 구조를 가장 쉽고 효과적으로 모니터링하고 선제대응(Proactive) 할 수 있는 데이터를 제공하는 모니터링 플랫폼입니다. 뉴렐릭을 통하여 웹 서비스, 모바일 애플리케이션의 성능 개선과 문제점 확인, 복잡한 서버단의 구성요소들을 효과적으로 모니터링 할 수 있습니다.
뉴렐릭은 어플리케이션 레이어에서부터 서버단의 소프트웨어 레이어까지 복잡하고 다양한 주체들을 웹 기반의 통합 모니터링 도구를 이용하여 한 눈에 확인할 수 있도록 서비스를 제공하고 있습니다. 뉴렐릭은 웹서버단에 설치된 플러그인과 W3TC Plugin 과 통합된 개발한 워드프레스 플러그인을 통하여 지원할 수 있도록 되어 있습니다.
뉴렐릭은 서버단에서 플러그인이 설치 되어야 하므로 일반적인 웹호스팅 회사에서 제공되는 호스팅 서비스로는 사용할 수 없습니다. 다보리 워드프레스 웹호스팅에서는 2016년이내에 워드프레스에서의 뉴렐릭 모니터링 서비스를 제공하도록 하겠습니다.
1. MySQL Analysis


2. Monitoring the Performance of Third Party Plugins and APIs.

3. Ajax and JavaScript

 1. Brute Force Attack – BFA ( 무차별 대입 공격 )  사용자의 아이디와 패스워드플 사전식의 단어로 구성되어 있는 화일을 이용하거나 하나씩 계속 대입하는 방법으로 사용자의 아이디와 비밀번호를 알아내는 다소 원시적인 방법이지만 해커가 자신의 해킹 장비에 장시간 해킹 시도를 걸어 놓아서 결국에는 해킹을 하고 마는 가장 광범위하게 사용되는 해킹 방법입니다. 한번 아이디와 비밀번호가 탈취당하면 해당 웹사이트의 비밀 장소에 트로이 목마나 악성코드등 을 심어서 해당 웹사이트를 이용하여 2차 피해를 줄 수 있으므르 각별히 조심해야 하는 해킹 공격입니다.
 2. Denial of Service 공격 – DOS (서비스 거부 공격)  Denial of Service는 말 그대로 서비스를 정지시키는 공격입니다. 이 공격은 시스템의 Shell을 획득하거나 하는 그런 직접적인 제어를 할 수는 없지만 해커의 해킹 장비에서 직접적으로 웹사이트에 접근하는 트래픽을 발생시켜서 목표로 하는 시스템을 마비시키거나 정지, 파괴하는 행위 등이 가능합니다. 특히 이런 것이 네트워크와 관련되면 더욱 엄청난 피해가 발생하는데 DDOS (Distributed DOS)가 가장 잘 알려진 예입니다.
 3. XSS Attack ( XSS 공격 ) (서비스 거부 공격)  웹 사이트의 기초적인 취약점 공격으로 해커가 웹 사이트에 자바 스크립트나 HTML 태크를 넣는 기법을 말합니다. 해커가 공격에 성공하면 삽입한 코드를 실행하여 부분적으로 시스템이나 쿠키나 세션 토큰 등의 민감한 정보를 탈취합니다. 공격 방법이 단순하지만 많은 웹사이트들이 XSS에 대한 방어 조치를 해두지 않아 공격을 받는 경우가 많으며 게시판 등에 코드를 삽입하는 경우와 스팸메일을 통해서도 전파됩니다.
 4. SQL-Injecton ( SQL 삽입 공격 )  해커가 개발자가 의도치 않은 SQL문을 실행되게 함으로써 데이터베이스를 비정상적으로 조작하는 코드 인젝션 공격 방법입니다. 즉 SQL에 대입되는 변수를 적절히 조작해서 SQL Query 가 의도하지 않는 형태로 실행될 수 있도록 하여 관리자 권한을 탈취하거나 악성코드를 데이터 베이스에 삽입하는 공격 방법입니다.
위와 같이 해킹의 종류를 분류한 이유는 귀하의 웹사이트가 해킹로 고통받고 있다면 어떤 종류의 해킹임을 알아야 하기 때문입니다. 마치 환자가 자신의 병명과 일반 증세를 이해해야 병을 고칠수 있는 것과 같습니다. 그리고 기본 지식을 응용하여 자신의 문제를 해결하기 위해 필요한 해결책이나 플러그인 설치 등의 길잡이가 되어 줄 수 있기 때문입니다. 일반적으로 웹 해킹은 하나의 기법으로 진행되는 것이 아니라 복합적인 방식으로 발생하므로 해킹 방어나 복구를 적절히 하려고 하면 기본적인 지식을 필요로 합니다. 구글링해서 나오는 이리저리 흩어진 웹 해킹의 기본 방법을 위와 같이 정리해 보았습니다. 다른 의견이나 새로운 정보를 가지고 계신분은 언제든지 info@dabory.com의 로 주시면 감사하겠습니다.

구글링을 해보면 대체적으로 워드프레스 해킹 보안 블로그들은 BFA를 효과적으로 방어하는데 촛점이 맞추어져 있습니다. 그런 블로그등은 “워드프레스를 정기적으로 Update 해라, Id / password 바꿔라, 관리자 페이지인 wp-admin 페이지를 숨겨라 등의 현실성이 부족하거나 효과가 없는 일반적인 대응책만을 제시하는 경우가 많습니다.
 1. 워드프레스 업데이트는 말처럼 쉽지 않다.  최근 코드가드(CodeGuard)에서 워드프레스 플랫폼 사용 기업을 대상으로 실시한 설문조사에 의하면 응답자의 44%가 웹 사이트 및 IT 관리자를 따로 고용하지 않는다고 답했고 워드프레스 사용법에 대한 교육을 제대로 받은 응답자는 1/4도 되지 않았습니다. 또한 워드프레스 업데이트를 주기적으로 받는 사용자는 절반이 조금 넘는 수준이었고 그나마도 대부분은 업데이트 후 플러그인 오류를 겪었다고 응답했습니다.(69%).
 2. 아무도 책임져주는 사람이 없다.  워드프레스 사용자이면 대부분 이해할 수 있는 상황이지만 대부분의 플러그인을 무료이지만 유료로 사는 경우라도 플러그인의 워드프레스 버전별 호환성을 장담할 수 없는 상황입니다. 특히, 우커머스는 워드프레스 쇼핑몰을 런칭한 후 사이트 작동이 문제가 되면 매출에 즉각적인 지장을 주는 “Mission Critical” 한 웹 사이트이므로 검증되지 않은 상태에서 플러그인이나 워드프레스 코어를 업데이트할 수 없다는 것이 가장 큰 문제점입니다.
 3. 해커의 중요한 표적이 된다.  W3Techs가 수집한 시장 데이터에 의하면 전 세계의 워드프레스 점유율은 23.5%에 달하고 있습니다. 이는 말 그대로 압도적인 1위로 2위인 줌라(Joomla)가 1/10도 되지 않는 수준에 그치고 있습니다. (2.9%). 하지만 영세한 업체가 워드프레스를 사용하는 있는 경우는 자체 IT 관리자를 고용할 수 없는 상황이라서 해커들의 좋은 먹이감이 될 수밖에 없는 상황입니다. 작년 가을 임퍼바(Imperva)가 실시한 조사에 의하면 다른 모든 CMS 플랫폼에서 발생한 공격보다 워드프레스 한 분야에서 일어난 해킹 시도가 24.1%나 빈번했고 특히 XSS 취약점 공격의 경우는 워드프레스가 60%나 더 많았습니다.

1. 워드프레스를 설치할 때 FTP로 직접 설치할 것.
2. 관리자 계정명을 admin 으로 쓰지 말 것.
3. 설치시 wp_ 테이블 접두사 변경 예) wp_dbr_
4. 스팸 필터링 플러그인 Akismet 활성화 할 것.
5. 워드프레스 정보 감추기 – Wp Security Scan
6. wp-config.php 화일 보호 – .htaccess화일
.htaccess 화일을 이용하여 가장 중요한 셋팅 화일인 wp-config.php를 보호할 것.

Order Deny, Allow
Deny from all

7. .htaccess 파일 보호

Order Deny, Allow
Deny from all

8. 플러그인을 사용하여 리렉토리 구조 숨기기
Options -Indexes
9. 정기적인 백업 – 매일 백업을 받을 것. 백업 받는 웹호스팅 채용.
10. 최신버젼으로 업데이트 – 보안 취약 부분 개선

다보리에서는 해킹에 관련된 건을 정기적으로 업데이트 할 수 없는 경우에 대해서도 하나하나 추가해나갈 계획입니다. 즉 정기적으로 Update 해라, Id / password 바꿔라, 관리자 페이지인 wp-admin 페이지를 숨겨라 류의 블로그가 아닌 워드프레스 웹호스팅을 하면서 해킹 방어러/복구에 축적된 노하우를 상세히 설명하도록 하겠습니다.
아래에 개별 블로그로 가는 버튼을 추가하였습니다.

How-To-Assign-Rates-To-Shipping-Classes-in-Woocommerce-Plugin

워드프레스 보안: 관리자 페이지/로그인 페이지 주소 숨기기

관리자 경로(wp-admin) 변경 / Hide My WP / Protect Your Admin

이 사이트가 워드프레스로 만들어졌다는 사실을 아무에게도 알리지 말아다오

[팁] 워드프레스 설치 따라 하기 (1. 보안 최적화 편)

워드프레스 추천 보안 플러그인
iThemes Security / Wordfence Security / BulletProof Security / All in One WP Security & Firewall
Akismet / Limit Login Attempts / WordPress File Monitor Plus / Block Bad Queries / Acunetix WP Security
WP AntiDDOS
IOSEC HTTP Anti Flood/DoS Security Gateway Module
Acunetix WP Security 별 의미 없을 것 같음.
http://noplanlife.com/?p=815
Bruce Force Attack

New Brute Force Attacks Exploiting XMLRPC in WordPress

WordPress Security: Prevent Brute Force and DDoS Attacks
http://blog.daum.net/_blog/BlogTypeView.do?blogid=0ElQz&articleno=9649379&categoryId=528449&regdt=20071217191854 트랙백과 핑백의 차이
http://yadw.tistory.com/24 트랙백에 대한 소상한 설명

워드프레스 핑백 트랙백 개념과 설정

http://extrememanual.net/4286 트랙백과 핑백 개념 설명
http://www.yunsobi.com/blog/303 XML-RPC 설명
Disable XML-RPC Pingback
http://gotmls.net/tag/wp-login-php/
Get Off Those Maliciously Loaded Scripts!
Download this free Anti-Malware Plugin for WordPress.
mod_evasive : https://www.google.co.kr/search?q=mod_evasive&oq=mod_evasive&aqs=chrome..69i57j0l5.4671j0j4&sourceid=chrome&ie=UTF-8
https://www.digitalocean.com/community/tutorials/how-to-protect-against-dos-and-ddos-with-mod_evasive-for-apache-on-centos-7 DDos 공격 방어
http://faq.hostway.co.kr/Linux_WEB/7053

31 Ways To Make WordPress Secure

http://www.wpsolver.com/ways-to-keep-wordpress-secure/ 31 Ways To Make WordPress Secure
http://hwangc.com/wordpress-security-solutions/ 황씨의 워드프레스 해킹