Hide My WP - Amazing Security Plugin for WordPress

이 사이트가 워드프레스로 만들어졌다는 사실을 아무에게도 알리지 말아다오

어떤 사이트가 워드프레스로 만들어졌는지는 여러 가지 방법을 통해 확인할 수 있습니다. 간단하게는 Built With, Is It WordPress 또는 whatwpthemeisthat.com과 같은 사이트에서 제공하는 서비스를 이용할 수 있습니다. 또는 www.example.com/wp-amdin처럼 /wp-admin을 URL 주소에 추가하여 접속을 시도해보면 워드프레스 사이트인지 알 수 있습니다(참고로 간혹 wp-admin 경로를 변경하는 경우도 있습니다). 이외에도 페이지 소스에서 wp-content가 있는지를 통해서도 확인이 가능합니다.

하지만 간혹 워드프레스로 제작된 사이트이지만 위의 방법을 통해서 확인이 되지 않는 경우도 있습니다. 여러 가지 방법이 있을 수 있겠지만 보안을 위해 어떤 사이트가 워드프레스로 제작되었다는 사실을 숨겨주는 플러그인을 사용하여 사이트가 워드프레스로 제작되었다는 것을 숨길 수 있습니다.

이런 기능을 하는 플러그인이 Hide My WP라는 플러그인입니다.

Hide My WP - Amazing Security Plugin for WordPress

플러그인 판매 사이트인 Codecanyon에서 꾸준히 베스트 셀링을 기록하고 있는 이 플러그인은 폴더나 파일 구조를 변경하지 않고 ‘워드프레스를 사용하고 있다는 사실’을 숨겨줍니다. Hide My WP 플러그인을 사용하면 발견되지 않은 취약점으로부터 보호할 수 있다고 하네요.

소스 코드에서 어떠한 문자열(String)도 제거하거나 바꿀 수 있다고 하네요. 아마도 소스 코드에서 특정 단어를 제거하거나 변경하고 고유주소를 변경하여 워드프레스로 제작되었는지를 숨겨주는 기능을 하는 것 같습니다.

미리 작성된 설정 구성표(Settings Scheme)을 선택하여 쉽게 사용할 수 있고 커스터마이징도 가능합니다. 이 플러그인은 멀티 사이트에서도 작동하며, Apache, Nginx, Windows Server(IIS)와도 호환됩니다. 그리고 보안 플러그인도 포함되어 있다고 하네요.

Hide My WP Features List

워드프레스 고유주소 변경: HMWP는 실제 파일이나 폴더를 변경하지 않고 모든 것을 기본 위치에 유지하여 플러그인의 호환성을 극대화합니다.

  • wp-login.php 숨기기
  • wp-admin 숨기기 또는 변경
  • 워드프레스 테마 디렉터리 변경, 스타일시트에서 테마 정보 제거, 기본 WP 클래스를 바꾸고 최종적으로 Minify를 수행함
  • 플러그인 디렉터리를 변경하고 플러그인 이름을 해시(hash)
  • upload URL, wp-includes 폴더, AJAX URL 등 변경
  • 워드프레스 쿼리 URL 변경
  • 작성자(Author) 퍼머링크 변경(또는 비활성화)
  • 피드 변경 또는 비활성화
  • 그 외 모든 워드프레스 파일 숨기기
  • 워드프레스 아카이브, 카테고리, 태그, 페이지, 글 등 비활성화

이렇게 변경해도 SEO에 문제가 없을까 궁금해서 잠시 검색해보니 “Does it affect SEO?“라는 FQA 글에서 이 문제에 대해 간략하게 설명하고 있네요. 그대로 옮겨보면 다음과 같습니다:

SEO에 영향을 미치나요?

메인 컨텐츠 URL(포스트, 카테고리, 태그, 작성자, 피드)을 변경하지 않을 경우 SEO에 영향을 미치지 않습니다. 어떠한 SEO 문제도 없습니다.

HMWP는 포스트, 카테고리 및 태그에 대한 동일한 WP 기본 고유주소 설정을 덮어쓰기할 뿐입니다. 그러므로 이 플러그인을 사용하지 않을 경우에도 이러한 설정을 변경할 경우 순위에 영향을 미칠 수 있습니다. 물론, 어떠한 컨텐츠 URL을 변경하지 않고도 HMWP를 사용할 수 있습니다.

플러그인 판매 페이지의 Comments 섹션을 보면 HMWP는 물리적으로 경로/디렉터리를 변경하지 않으므로 301 리디렉트를 만들 필요가 없다(Hi, you need not create 301 redirects as HMWP doesn’t physically change the paths/directories)라고도 언급되어 있네요. 참고로 Hide My WP는 어떠한 30x 리디렉트도 사용하지 않고 내부 rewrite 규칙을 사용하므로 속도에 영향이 없다고 합니다(Hide My WP doesn’t use any 30x redirect, instead it uses rewrite rule that is internal and doesn’t have any affect in speed).

참고: 메인 컨텐츠 URL(포스트, 카테고리, 태그, 피드 등)을 변경하거나 변경하지 않도록 선택할 수 있습니다.

이 플러그인을 처음 접했을 때 이런 플러그인도 있었네라는 생각과 함께 흥미롭지만 이것을 누가 구입할까라는 생각이 들었습니다. 하지만 이 플러그인은 현재(2016년 5월 중순)까지 16,000개 이상이 판매되었고 사용자 평점도 4.48(5.0 만점)로 매우 높은 편입니다. 이런 특수 기능의 플러그인이 16,000개 이상 팔렸다는 것은 대단한 것 같습니다. 가격이 23달러인데 단순히 2만원으로 계산해도…

워드프레스에 스팸 플러그인을 설치하여 사이트를 모니터링해보면 끊임없이 외부에서 사이트에 로그인하려고 시도합니다. 저는 주로 admin, Admin, administrator, demo1 등의 아이디를 주로 이용하여 해킹을 시도하는 것을 관찰할 수 있었습니다(참고). 그러므로 이러한 아이디를 관리자 아이디로 사용할 경우 해킹 위험에 더 크게 노출될 것 같습니다. 워드프레스를 사용하다 보면 스팸봇을 통해 회원 가입이 이루어지고 스팸 댓글이 올라오는 등 별로 유쾌하지 못한 경험을 하게 됩니다. 스팸 플러그인을 설치하여 어느 정도 방지가 가능하지만 완벽하게 방지하는 못하는 듯 하고, 워드프레스에서 이용할 수 있는 훌륭한 스팸 방지 플러그인인 Akismet 등을 사용해보면 정상 사용자도 차단하는 부작용도 간혹 경험하게 됩니다. 이 플러그인이 이런 보안적인 요소를 어느 정도 차단해줄지 궁금하네요. Hide My WP는 사이트가 워드프레스로 제작되었다는 사실을 숨김으로써 잠재적인 보안 취약점으로부터 보호해준다고 하니 보안이 염려되는 경우 고려해볼 수 있는 옵션 같습니다.



기부를 통해 이 블로그를 후원하실 수 있습니다.
워드프레스 설치/제작/문제해결이 필요한 경우 서비스(유료)를 요청해주세요.