워드프레스 2단계 인증 로그인으로 보안 강화하기

6

최근 멀웨어에 감염된 워드프레스 사이트 문제를 자주 접하면서 보안이 중요하다는 점을 새삼 깨닫고 있습니다. 워드프레스 자체는 보안에 강하지만 업데이트를 제대로 하지 않거나 잘못된 보안 관행(예: 약한 비밀번호 사용, 멀웨어에 감염된 컴퓨터)으로 인해 보안에 취약해질 수 있습니다.

워드프레스에서 로그인 시 2단계 인증을 적용하면 보안을 강화할 수 있습니다.

워드프레스에서는 다양한 2단계 인증 플러그인이 있습니다.  무료 플러그인부터 iThemes Security Pro(2단계 인증은 유료 버전에서만 지원)와 같은 유료 플러그인이 있습니다.

WP Mayer라는 유명한 해외 블로거에서는 Two-Factor라는 플러그인을 최고의 워드프레스용 2단계 인증 플러그인으로 최근 소개하는 글을 게시했습니다.

워드프레스 2단계 인증 플러그인 Two-Factor

Two-Factor는 아직 정식 버전이 나오지 않았고 개발 버전이지만 비교적 안정적이라고 하네요. 그리고 평가도 좋은 편입니다.

이 플러그인을 설치하면 사용자 > 나의 프로필Two-factor Options 섹션이 추가됩니다.

워드프레스 2단계 인증 로그인

위의 그림과 같이 여러 가지 옵션 중에서 선택이 가능합니다.

Email을 통한 2단계 인증을 사용하면 별다른 설정이 필요 없이 곧바로 이용이 가능하지만, Google Authenticator를 통한 2단계 인증이 권장됩니다.

테스트 사이트에 설치하여 이메일을 통한 2단계 인증을 테스트해보니 잘 작동하네요.

2단계 인증 로그인

로그인 정보를 입력하면 위와 같이 Verification Code를 입력하라는 화면이 표시됩니다. 로그인 화면은 한글 UI로 표시되지만 인증 코드를 입력하는 화면은 영어로 표시되네요.ㅎㅎ

이메일 인증을 선택한 경우 로그인을 시도하면 이메일로 인증 코드가 전송됩니다. (물론 이메일까지 해킹되면 이 방법도 무용지물이겠지만 그런 경우는 드물 것 같습니다.)

이메일을 통한 2단계 인증을 사용하는 경우 사이트에서 이메일을 제대로 발송하지 않으면 인증 코드가 전송되지 않습니다.

저는 이 플러그인을 이 블로그에 적용해볼까 고려 중입니다. 현재 사용자 이름 대신 이메일 주소만을 통해 로그인하도록 설정해놓은 상태입니다.

사용자 이름은 추측하기 쉬우므로 로그인 시 “사용자명 또는 이메일 주소” 기입란에 이메일 주소만을 허용하면 보안이 조금 더 향상될 수 있다고 하네요.

사이트가 악성코드에 감염되면 치료를 해도 다시 감염되는 사례가 많습니다. 그러므로 항상 최신 버전으로 워드프레스, 테마, 플러그인을 업데이트하는 등 보안에 신경 쓰는 것이 중요합니다.

멀웨어에 감염된 경우 다음 글을 참고로 악성코드 제거를 시도해보시기 바랍니다.

참고:

Related Posts