워드프레스 베스트 보안 플러그인 - 워드프레스 정보꾸러미

W3techs 통계에 의하면 2017년 4월 현재 전 세계 웹사이트 중 27.8%가 워드프레스에 기반을 두고 있고 CMS(컨텐츠 관리 시스템) 점유율이 58.8%에 달할 정도로 워드프레스가 널리 사용되고 있습니다.

사용자가 많아짐에 따라 워드프레스 사이트가 해커와 스패머의 타겟이 되고 있습니다. 워드프레스 자체는 보안이 강력하지만 업데이트를 소홀히 하거나 보안에 취약한 플러그인을 사용하는 등 다양한 요소에 의해 보안에 구멍이 발생할 수 있습니다.

사용 중인 워드프레스 사이트의 보안을 강화해주는 몇 가지 플러그인이 있습니다. 그 중에 인기 있는 4가지 플러그인을 소개합니다. 멀웨어, 악성코드에 감염되기 전에 이러한 플러그인을 설치하면 도움이 될 수 있습니다. 하지만 멀웨어에 감염된 후에는 보안 플러그인을 설치해도 효과가 없습니다.

워드프레스 보안 플러그인 소개

Wordfence Security

300만 개 이상의 사이트에 사용되고 있는 Wordfence Security는 평가도 매우 좋은 편입니다. 이 플러그인은 로그인 보안, IP 차단, 보안 스캔, 워드프레스 방화벽 및 모니터링 기능을 제공합니다.

워드프레스 사이트가 멀웨어에 감염되었을 때 이 플러그인을 사용하여 스캔할 수 있습니다. Wordfence Security는 사이트의 소스 코드를 검사하여 공식 워드프레스 저장소(Official WordPress Repository)에 있는 코어 파일, 테마 및 플러그인과 비교합니다.

이 플러그인은 초보자와 고급 사용자 모두에게 적합하며, 고급 기능을 원하는 경우 유료 버전을 구입할 수 있습니다.

종합적인 보안 기능을 제공하므로 보안 강화에 도움이 되지만 덩치가 크기 때문에 사이트 속도에 부정적인 영향을 미칠 수 있습니다. 플러그인을 설치한 후에 사이트 속도에 어느 정도 영향을 미치는지 확인하시기 바랍니다.

iThemes Security (舊 Better WP Security)

iThemes Security는 30가지가 넘는 방식으로 워드프레스 사이트의 보안을 강화해준다고 소개하고 있습니다. 평균 매일 3만 개 이상의 웹사이트가 해킹을 당하고 있고 워드프레스는 플러그인 취약성, 약한 비밀번호 사용, 오래된 소프트웨어 등으로 인해 공격의 타겟이 되기 쉽습니다.

대부분의 워드프레스 관리자는 사이트의 보안이 취약(앞에서 말씀드렸듯이 워드프레스 자체는 보안이 강하지만 업데이트를 소홀히 하거나 잘못된 플러그인 사용으로 인해 보안이 취약해질 수 있음)하다는 사실을 인식하지 못하고 있지만 iThemes Security는 워드프레스에 보호막을 제공하고 일반적인 보안 구멍을 시정하며 자동화된 공격(Automated attack)을 막아줍니다.

하지만 이 플러그인의 FAQ에서 밝히고 있듯이 iThemes Security는 모든 공격을 완전히 막아주지는 못하며, 일반적인 수법의 공격 방법으로부터 워드프레스의 보안을 향상시켜주는 역할을 합니다.

이 플러그인을 다음과 같은 기능을 제공합니다.

2단계 인증(Two-factor authentication)
무차별 대입 공격(Brute force)으로부터 보호
코어 파일에 대한 변경 사항 모니터링
여러 번 비밀번호를 잘못 입력하는 사용자를 감지하여 로그인 차단시킴
사용자 활동 로그 기록
특정 사용자 역할에 대하여 강력한 암호를 강제적으로 사용하도록 함

자동 멀웨어 스캔 등 고급 기능을 사용하려면 Pro 버전을 사용할 수 있습니다.

이 블로그에는 현재 iThemes Pro(Blogger 버전)가 설치되어 있습니다. 기능면에서 Wordfence Pro보다는 조금 떨어지지만 비용이 저렴하고 플러그인도 가벼운 것 같아서 이 플러그인을 선택했습니다.

솔직히 비용을 들여서 유료 버전을 사는 것이 아까운 생각이 들지만, 한편으로 기업에서 왜 보안에 투자를 꺼려하는지도 조금 알 것 같습니다. 당장 가시적인 효과가 없고, 이때까지 괜찮았는데 굳이 돈을 들여서 보안에 신경을 써야 하나 하는 생각이 들 수도 있다는 생각이 드네요. 그래도 Pro 버전을 설치하니 조금 안심(?)은 되는 것 같습니다.

Sucuri Security

2010년 설립된 Sucuri는 웹사이트 보안과 관련하여 세계적으로 잘 알려져 있으며, 최근 해외 웹호스팅 업체인 GoDaddy가 Sucuri를 인수했다는 소식이 들리네요("GoDaddy Acquires Sucuri" 참고).

Sucuri Security WordPress Security는 모든 사용자가 무료로 이용할 수 있는 플러그인으로 사이트의 보안을 강화시켜주는 역할을 합니다. 다음과 같은 주요 7가지 기능을 제공합니다:

보안 활동 감사 로깅
파일 무결성 모니터링
원격 멀웨어 검사
블랙리스트 모니터링
효과적인 보안 강화
해킹 후 보안 조치
보안 알림

이 플러그인에도 프리미엄 버전이 있고(무료 버전이나 프리미엄 버전이나 동일한 설치 파일을 사용하게 될 것이라고 하네요) 프리미엄 고객인 경우 지원 티켓을 제출하여 지원을 받을 수 있는 것 같습니다.

BulletProof Security

워드프레스 인기 보안 플러그인 중 하나인 BulletProof Security는 RFI, XSS, CRLF, SQL 인젝션, 코드 인젝션 해킹으로부터 사이트를 보호합니다.

BulletProof Security의 주요 기능:

원 클릭 설치 마법사
.htaccess 웹 사이트 보안 보호(방화벽)
HPF(Hidden Plugin Folders|Files Cron)
로그인 보안 및 모니터링
유휴 세션 로그아웃(ISL)
ACE(Auth Cookie Expiration)
DB 백업: 전체|부분 DB 백업, 수동|예약 DB 백업, Zip 백업 이메일 전송, 오래된 배겁 파일 삭제 Cron 작업
DB 백업 로깅
DB 테이블 Prefix(접두사) 변경
보안 로깅
HTTP 오류 로깅
프런트엔드/백엔드 유지보수 모드
UI 테마 스킨 변경(3가지 테마 스킨)
광범위한 시스템 정보

그리고 Pro 버전을 이용하면 더 많은 기능을 사용할 수 있습니다(참고).

마치며

이상으로 워드프레스 사이트 보안에 도움이 되는 인기 보안 플러그인에 대해 살펴보았습니다. 이러한 보안 플러그인과 함께 워드프레스 코어/테마/플러그인을 항상 최신 버전으로 업데이트하여 유지하고, 정기적으로 사이트를 백업하여 만일의 사태에 대비할 수 있습니다.

워드프레스 보안 강화를 위한 기본적인 세 가지 방법

위에서 소개한 보안 플러그인들은 많은 기능을 제공하는 대신 덩치가 크기 때문에 사이트 속도에 영향을 미칠 수 있습니다. 속도가 염려가 되는 경우 다음 글에서 소개하는 플러그인을 테스트해볼 수 있습니다.

Wordfence Security를 대체하는 가벼운 워드프레스 방화벽 플러그인 BBQ

4개 댓글

NinjaFirewall 댓글:

2024년 02월 14일, 오후 7:43

NinjaFirewall를 사용하고 있으면 위 보안 프로그램들은 사용안해도 되나요?

응답
1. Word 댓글:
  
  2024년 02월 14일, 오후 7:48
  
  네.NinjaFirewall을 이용한다면 다른 보안 플러그인은 설치하지 않는 것이 좋을 것 같습니다.
  중복되는 기능의 플러그인을 사용하면 에러가 발생할 수도 있습니다.
  
  응답
tzero 댓글:

2023년 07월 05일, 오후 2:43

워드 프레스 사이트가 계속 다운이 되는데 보안 프로그램을 설치 하면 도움이 될까요?

응답
1. Word 댓글:
  
  2023년 07월 05일, 오후 5:23
  
  다운되는 원인을 파악해야 할 것 같습니다.
  생각해볼 수 있는 원인으로는...
  1. 방문자 수 증가로 인한 트래픽 증가
  2. 잘못된 플러그인이나 코드로 인한 문제
  3. 멀웨어 등 악성코드 감염
  4. 기타 리소스를 과도하는 사용하는 원인
  
  1번의 경우에는 웹호스팅 상품을 업그레이드하거나 클라우드웨이즈(Cloudays)와 같은 호스팅을 고려할 수 있습니다. 클웨의 경우 방문자 증가에 대하여 유연하게 대응할 수 있습니다.
  
  3번의 경우 악성코드를 먼저 제거해야 합니다.
  
  응답