워드프레스에서 보안 강화를 위해 이메일 주소만을 사용하여 로그인하도록 제한하기

최근 들어 멀웨어에 감염되어 멀웨어 제거 의뢰가 부쩍 늘어났습니다. 주로 업데이트를 소홀히 하여 보안에 취약해져서 악성코드에 감염되는 경우가 많았습니다. 하지만 쉬운 비밀번호를 사용하여 해킹을 당해 사이트에 악성코드가 심어진 것으로 의심되는 사례도 접했습니다.

특히 admin, administrator를 관리자의 사용자 이름으로 사용하면 위험할 수 있습니다. 그리고 비밀번호는 △12자리 이상의 문자 조합 △대문자 및 소문자 포함 △특수문자 포함 등을 고려해서 비밀번호를 설정하고, 여러 개의 계정에서 동일한 비밀번호를 사용하지 않는 것이 좋습니다.

워드프레스에서 이메일 주소만을 사용하여 로그인하도록 제한하는 방법

워드프레스에서 기본적으로 사용자 이름(username)이나 이메일 주소(email address)를 사용하여 로그인할 수 있도록 허용하고 있습니다.

사용자 이름의 경우 추측하기 쉬울 수 있으므로 이메일 주소만으로 로그인하도록 제한하면 보안상 유리하게 됩니다.

이메일 주소로만 로그인하도록 설정하는 방법에는 여러 가지가 있습니다. 가장 간단한 방법은 Email Login이라는 플러그인을 사용하는 것입니다. 다만, 이 플러그인은 업데이트가 안 된지 1년이 넘었네요.ㅎㅎ

다른 방법으로 iThemes Security라는 플러그인에서 제공하는 기능을 이용하는 것입니다.  (이 방법을 사용하면 사용자 이름만을 사용하여 로그인하도록 제한하는 것도 가능합니다.)

저는 iThemes Security 플러그인을 주로 사용하는데요, 비교적 가벼워서 괜찮은 것 같습니다. iThemes Security를 사용하는 경우 워드프레스 알림판에서 Security > Settings > WordPress Tweaks로 이동하여 Configure Settings를 클릭합니다.

워드프레스 보안 플러그인

WordPress Tweaks 설정 화면이 표시됩니다. 그러면 Login with Email Address or Username(이메일 주소 또는 사용자 이름으로 로그인) 섹션으로 이동합니다.

이메일 주소로 로그인하기

다음 세 가지 옵션 중에서 선택할 수 있습니다.

  • Email Address and username (default) - 이메일 주소와 사용자 이름 (기본값)
  • Email Address Only (이메일 주소만)
  • Username Only (사용자 이름만)

사용자 편의를 위해서는 Username Only를 선택하여 사용자 이름만을 사용하여 로그인하도록 설정할 수 있습니다. Email Address Only를 선택하면 보안이 조금 더 강화되는 효과를 얻을 수 있습니다.

최근 멀웨어는 관리자가 쉽게 인식하지 못하도록 로그인 상태에서는 멀웨어 증상이 나타나지 않는 경우가 많습니다. 그래서 멀웨어를 효과적으로 치료할 수 있는 시기를 놓칠 수도 있습니다.

가령 카페24에서는 지난 1주일 이내의 기간으로 복원할 수 있습니다. 만약 멀웨어 증상을 빨리 인식하지 못하면 멀웨어에 감염되기 전의 상태로 복원하지 못할 수 있습니다. (참고로 사이트그라운드에서는 지난 30일 동안의 백업본을 제공합니다. "해외 호스팅 Siteground에서 백업/복원 기능 업데이트" 참고)

악성코드에 감염되면 치료하기가 쉽지 않고, 악성코드를 제거하더라도 재발하는 경우가 많습니다. 그래서 최악의 경우 사이트를 리뉴얼해야 하는 상황이 발생할 수도 있습니다.

그리고 사이트 평판에 심각한 손상을 입을 수 있고, 구글 검색 랭킹이 하락하거나 아예 사라지는 경우도 있습니다.

그러므로 소 잃고 외양간 고치는 것보다 미리 대비하는 것이 최선입니다. 다음 사항을 준수하면 도움이 될 수 있습니다.

  1. 정기적인 백업 (반드시 컴퓨터나 클라우드에 보관)
  2. 워드프레스, 테마, 플러그인을 최신 상태로 유지
  3. 강력한 비밀번호 사용하기

참고로 iThemes Security에는 무료 버전과 Pro 버전이 있습니다. 보통은 무료 버전을 사용하면 됩니다. 보안이 염려된다면 2단계 인증 등 몇 가지 고급 기능을 사용하고 싶은 경우에는 Pro 버전을 고려해볼 수 있습니다.

워드프레스에서 보안 강화를 위해 이메일 주소만을 사용하여 로그인하도록 제한하기 1

참고:

일부 글에 제휴 링크가 포함될 수 있으며 파트너스 활동으로 일정액의 수수료를 받을 수 있습니다.

댓글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다