워드프레스는 기본적으로 안전한 CMS(콘텐츠 관리 시스템)이지만 완전히 안전하다고 장담할 수 없습니다. 안전한 운영을 위해 정기적인 관리가 필요합니다. 특히, 고객사 사이트를 관리하는 경우 더더욱 그렇습니다.
이 워드프레스 보안 가이드는 프리랜서와 에이전시가 클라이언트 워드프레스 사이트의 보안을 자동화할 수 있는 효과적인 방법에 대하여 제시합니다. 신규 고객을 확보할 때마다 이 글의 체크리스트를 따라 잠재적인 위협을 예방하시기 바랍니다.
아래는 Divi 테마로 유명한 Elegant Themes의 블로그를 참고하여 작성되었습니다. Divi는 베스트셀링 테마인 아바다 테마와 비슷한 판매량을 보이는 인기 다목적 워드프레스 테마입니다.
워드프레스 보안 체크리스트: 15가지 실전 전략
워드프레스 보안을 강화하려면 최선의 관행(Best Practices)을 따르는 것뿐만 아니라 신뢰할 수 있는 도구를 사용하는 것도 중요합니다. 특히, 설정 후 별다른 관리가 필요 없는 도구를 활용하는 것이 핵심입니다. 워드프레스 보안 강화를 위한 전략, 적절한 도구, 그리고 실질적인 실행 방법에 대하여 정리해보았습니다.
고객을 위한 안전한 호스팅 선택
워드프레스 사이트에서는 안전하고 워드프레스에 최적화된 웹 호스팅을 선택하는 것부터 시작해야 합니다. 클라이언트 사이트의 모든 데이터는 웹 호스팅 서버에 보관되므로 클라우드웨이즈(Cloudways)와 같은 신뢰할 수 있는 호스팅 업체의 서비스를 이용하는 것을 고려할 수 있습니다.
클라우드웨이즈는 Bot Protection 기능이 통합된 강력한 방화벽을 제공하고 멀웨어 보호 기능을 통해 사이트에 악성코드가 감염되지 않았는지 스캔합니다.
또한, 사이트에 문제가 발생할 경우를 대비하여 자동 백업/복원 시스템이 갖추어져 있습니다.
클라우드웨이즈는 디도스 공격 시에 공격에 사용된 IP 주소를 차단하여 디도스 공격을 어느 정도 방어해 줍니다. 이 블로그는 몇 달 전 한 달 동안 지속적으로 디도스 공격을 받았습니다. 클라우드플레어에 가입하여 도메인을 연동하고 클라우드웨이즈 서버 크기를 업그레이드하여 DDoS 공격을 방어할 수 있었습니다.
작년부터 우리나라에서 클라우드웨이즈 사용자들이 크게 증가했습니다. 클라우드웨이즈는 큰 규모의 사이트 운영이나 여러 개의 사이트를 관리하는 경우에 적합합니다. 저렴한 가성비 좋은 호스팅을 원하는 경우에는 패스트코멧이나 케미클라우드와 같은 호스팅을 고려할 수 있습니다. 패스트코멧과 케미클라우드도 자동 백업/복원 시스템을 제공하고 24시간 라이브 채팅을 통한 연중 고객지원을 제공합니다. 특히 케미클라우드는 서울 서버를 제공하므로 우리나라에서도 속도가 괜찮은 편입니다.
💡 클라우드웨이즈 가입 방법 (+ Cloudways 할인 쿠폰 & 프로모션 코드)
신뢰할 수 있는 워드프레스 테마 사용
마찬가지로, 신뢰할 수 있는 안전한 워드프레스 테마를 사용하면 클라이언트 사이트에서 해킹이나 성능 문제를 예방하는 데 도움이 됩니다. Divi와 같은 고품질 테마를 선택하면 정기적인 업데이트, HTTPS 보안, 플러그인 호환성, 취약점 보호 등 다양한 혜택을 제공합니다.
참조한 글이 Divi 테마를 개발한 Elegant Themes가 작성한 글이어서 Divi 테마를 중심으로 설명하고 있습니다.
정기적으로 업데이트되고 많은 사용자가 사용하는 인기 테마를 선택하면 보안 문제를 줄일 수 있으리라 생각됩니다. 이 블로그에는 속도가 빠른 것으로 평가되고 있는 GeneratePress 테마가 사용되고 있습니다. 블로그를 운영하려는 경우 괜찮은 선택일 수 있습니다.
참고로 일부 테마는 보안에 취약할 수 있습니다. 작년에 뉴스페이퍼 테마에 보안 취약점이 존재하여 많은 사이트가 멀웨어에 감염되는 등 피해를 입은 적이 있습니다. 보안 취약점이 발견될 경우 테마 개발업체에서 빠르게 패치를 만들어 배포하고 알림을 통해 알리는 것이 중요한 것 같습니다. 뉴스페이퍼는 보안 취약점에 대하여 적극적으로 알리지 않고 쉬쉬하다 문제를 키운 것 같습니다. Divi의 경우 보안 취약점이 발견되면 이메일을 통해 취약점을 알리고 빨리 업데이트할 것을 독촉합니다. 이런 것이 올바른 자세가 아닐까 생각됩니다.
Divi는 100만 명 이상의 사이트 소유자가 신뢰하는 안전한 워드프레스 테마입니다. 이 테마는 뛰어난 커스터마이징 기능을 제공하며, 다양한 유형의 웹사이트를 설계할 수 있도록 돕습니다. 또한, 프리미엄 도구 세트를 통해 모든 세부 사항을 자유롭게 편집할 수 있습니다.
- 요소를 이동시켜 사이트를 디자인할 수 있는 시각적 드래그 & 롭 빌더
- Divi Quick Sites: 2분만 완전한 기능을 갖춘 사이트 생성 가능 (스타터 사이트 템플릿 참고)
- Divi AI: 인공지능이 사이트 디자인을 해줍니다.
- 내장된 스플릿 테스트(A/B 테스트), 수천 개의 사전 디자인된 페이지 레이아웃, 수백 개의 콘텐츠 요소 등 다양한 도구를 활용해 독창적인 사이트를 구축할 수 있습니다.
Divi가 특별한 이유는 보안에 중점을 둔 설계에 있습니다. Divi는 사용자에게 안전한 테마를 제공하기 위해 다양한 방법으로 보안 강화를 위해 노력하고 있다고 합니다.
- 정기적인 업데이트: Divi는 정기적으로 업데이트를 통해 버그를 수정하고 보안을 강화하여 최상의 성능을 유지합니다.
- 보안 플러그인과의 호환성: Divi는 인기 워드프레스 보안 플러그인과 호환되도록 개발되었습니다.
- 종합적인 문서와 지원: 상세한 문서와 전담 지원 제공
- 사용자 인증 및 액세스 제어: Divi 로그인 폼 모듈을 활용하여 인증된 사용자만 접근할 수 있도록 제한할 수 있습니다.
- 서드파티 의존 최소화: Divi는 외부 코드 의존성을 줄여 타사 스크립트나 라이브러리로 인한 잠재적인 보안 위험을 최소화하고 있습니다.
- 성능 최적화: 향상된 성능으로 서비스 거부(DoS) 공격 위험을 줄이고, Divi 기반 웹사이트의 전반적인 보안 수준을 높입니다.
Divi는 2,500여 개의 레이아웃 페이지를 제공하고 있습니다. 레이아웃 페이지를 조합하여 쉽게 원하는 페이지를 만들 수 있습니다. 특히 랜딩 페이지 제작에 효과적입니다. 이 코칭 프로그램 사이트가 Divi 레이아웃 디자인을 조합하여 만든 것입니다.
고객은 보안의 중요성을 잘 모를 수 있지만, 고객사 홈페이지를 제작하고 관리하는 사용자라면 보안의 가치를 잘 인식하고 있을 것입니다. 베스트셀링 테마인 아바다와 비슷한 판매량을 기록하고 있는 Divi 테마는 라이선스 기간(1년 또는 평생) 동안 무제한 사이트에 설치 가능하므로 고객사를 위해 홈페이지를 제작하거나 관리하는 웹 에이전시나 웹 개발자, 웹 디자이너들에게 경제적인 옵션일 수 있습니다.
특징 | Divi 테마 | Avada 테마 |
---|---|---|
개발자 | Elegant Themes | ThemeFusion |
판매량 (2024년 11월 25일 기준) | 974,872 | 991,809 |
페이지 빌더 | Divi Builder - 시각 빌더 (비주얼 빌더) - 전체 사이트 프런트엔드 편집 기능 | Avada Builder - 백엔드 빌더 - 라이브 빌더 |
테마 빌더 기능 | 사용자 정의 필드와 동적 콘텐츠 지원 | Layout 빌더 제공, 일부 사용자 정의 필드 기능 부족 |
사전 제작된 레이아웃* | - 2500개 이상의 페이지 레이아웃 (343개 레이아웃 팩) - 29개 이상의 스타터 사이트 템플릿 (아바다의 데모와 유사) | - 109개 이상의 사전 디자인된 웹사이트 (데모) |
전체 페이지 편집 (Full Site Editing) | 테마 빌더 (Theme Builder)로 지원 | 레이아웃(Layouts)으로 지원 |
속도 및 성능 | 2021년 업데이트 이후 성능 개선되었지만 추가적인 최적화가 필요할 수 있음. 지속적으로 성능 개선 기능 추가 | 많은 기능으로 인해 다소 무거운 테마로 평가됨, 최적화를 위한 추가적인 조치가 필요할 수 있음 |
성능 최적화 도구 | CSS, JS, Google Fonts 등 최적화 가능 | 성능 마법사를 통한 단계별 최적화 제공 |
가격 | - $89/연간 - $279/라이프타임 라이선스 - 무제한 사이트에 설치 가능 - 라이선스 기간(연간/평생) 동안 지원 제공 | - $69 - 1개 사이트에 설치 가능 - 6개월 지원 포함 - 지원이 만료될 경우 비교적 비싼 가격($49.88)에 지원 연장 가능 |
지원 및 커뮤니티 | 실시간 라이브 채팅 지원, 다양한 타사 확장 프로그램과 큰 규모의 Divi 테마 전용 커뮤니티 | 티켓 기반 지원(유효한 지원 라이선스가 있어야 함), 풍부한 문서화 및 커뮤니티 |
WooCommerce와의 호환성 | 완벽하게 호환 | 완벽하게 호환 |
전반적인 유연성 | 코드 커스터마이징 포함, 포괄적인 디자인 조정 가능 | 세세한 옵션 제공, 강력한 커스터마이징 (옵션이 너무 많기 때문에 옵션에 대해 익숙해지는 시간이 필요할 수 있음) |
특징 | - 심플하면서 강력한 다목적 테마 - 레이아웃 디자인 제공 (2500개 이상) - 설치 사이트 개수에 제한이 없으므로 여러 사이트를 운영하거나 클라이언트 사이트를 제작하는 에이전시나 디자이너, 개발자 등 프리랜서에게 적합 - Divi Dash에서 모든 사이트 관리 가능 - 별도의 상품으로 Divi AI 제공 | - 기능이 매우 많은 다목적 테마로 다목적 테마의 효시 - 11년 동안 테마포레스에서 판매 1위 - 코딩 지식이 부족한 초보자부터 전문 사용자까지 사용 가능 - 기능이 많은 반면 최적화가 제대로 되지 않으면 속도가 느려질 우려가 있음 |
Divi 테마는 비슷한 기능을 제공하는 엘리멘터 프로에 비해 가격면에서 저렴하고 기능적인 면에서도 뒤떨어지지 않습니다. 엘리멘터 프로는 매년 갱신해야 하고 설치 가능한 사이트 개수 제한이 있어 사용자 입장에서는 부담스러울 수 있습니다.
단일 알림판에서 모든 사이트 추적 관리하기
여러 개의 워드프레스 사이트를 추적 도구 없이 수동으로 관리하는 것은 굉장히 어렵습니다. 각 사이트의 알림판에 로그인하고, 사용자 이름과 비밀번호를 기억하며, 업데이트를 관리하는 작업은 큰 부담이 될 수 있습니다. Divi Dash와 같은 워드프레스 사이트 관리 도구를 활용하면 이러한 문제를 해결할 수 있습니다.
Divi Dash는 클라이언트의 워드프레스 사이트를 항상 최신 상태로 유지하도록 돕는 사이트 관리 툴입니다. 이 툴을 사용하면 단일 대시보드에서 고객사 워드프레스 사이트의 워드프레스 코어, 테마, 플러그인 업데이트를 수월하게 추적할 수 있습니다. 또한, 사이트 상태, 데이터베이스, 워드프레스 보고서를 제공하므로 각 사이트에 개별적으로 로그인하지 않고도 모든 홈페이지를 한 곳에서 관리하고 최적화할 수 있습니다.
Divi Dash를 활용하면 다음과 같은 작업이 가능합니다.
- 워드프레스, 플러그인, 테마를 한 번에 대량으로 업데이트
- 플러그인, 테마, 워드프레스의 자동 업데이트 일정 설정
- 고객사의 워드프레스 알림판에 원클릭으로 로그인
- 스팸 댓글과 휴지통 게시물을 삭제하여 DB 최적화
- 사이트 건강(사이트 상태) 문제를 사전에 모니터링하고 신속히 해결
- 팀원에게 사용자 역할을 배정하여 효과적인 협업 가능
워드프레스 관리 대시보드를 활용하면 여러 사이트를 단일 지점에서 관리하며 보안 유지 업무를 간소화할 수 있습니다. Divi Dash를 사용하면 업데이트를 자동화하여 실수로 업데이트를 놓치는 것을 방지하고, 보안 위협을 예방하며 관리 효율을 극대화할 수 있습니다.
Divi 멤버십 사용자는 Divi Dash를 무료로 이용할 수 있습니다. 89달러(연간 구독 라이선스)에 Divi 멤버십을 구매하면 Elegant Themes 멤버십 영역에서 Divi Dash에 접근할 수 있습니다. 워드프레스 사이트 관리 툴을 추가로 구입할 필요가 없습니다.
워드프레스, 테마, 플러그인을 최신 상태로 업데이트
워드프레스 코어, 플러그인, 테마를 업데이트하지 않고 방치하면 보안 위협에 노출되어 심각한 보안 문제가 발생할 수 있습니다. 보안 취약점이 발견되면 업데이트를 통해 수정되므로 적시에 업데이트하지 않으면 고객사 사이트가 보안에 취약해질 수 있습니다. 그러므로 워드프레스 코어와 테마, 플러그인을 항상 최신 버전 상태로 유지하는 것이 무엇보다 중요합니다.
많은 사이트를 관리하는 프리랜서와 웹 에이전시에게 있어 이러한 업데이트 작업은 쉽지 않은 일입니다. 수동으로 처리하기엔 너무 번거롭고 시간과 노력이 많이 소요되기 대문이죠. Divi Dash와 같은 툴을 활용하면 이러한 고민을 간단히 해결할 수 있습니다. 몇 번의 클릭만으로 단일 알림판에서 많은 워드프레스 사이트를 일괄 업데이트하거나 자동 업데이트를 예약할 수 있습니다.
참고로 패스트코멧이나 케미클라우드를 이용하는 경우 cPanel의 WP Toolkit에서 설치된 각 워드프레스 사이트의 보안 취약점을 체크하고 워드프레스 코어, 플러그인, 테마의 업데이트를 관리할 수 있고 불필요하거나 업데이트가 안 되고 방치되는 플러그인을 대시보드에서 삭제할 수 있습니다.
보안 플러그인으로 보안 강화하기
워드프레스 코어, 플러그인, 테마를 정기적으로 업데이트하는 것만으로 사이트 보안을 완벽하게 강화할 수 없습니다. 고객사 사이트를 자동으로 보호하고 보안과 관련된 필수 설정을 활성화하려면 Solid Security(이전 명칭 "iThemes Security")와 같은 워드프레스 보안 전용 플러그인이 도움이 될 수 있습니다.
Solid Security 플러그인의 주요 기능
- 악성코드(멀웨어) 스캔
- 무차별 대입 공격(디도스 공격) 방지
- 2단계 인증(2FA)
- 로그인 시도 횟수 제한
- 강력한 비밀번호를 사용하도록 강제
- 파일 권한 확인
- XML-RPC 비활성화 (DDoS 및 무차별 대입 공격 방지를 위해 XML-RPC는 비활성화하는 것이 바람직합니다.)
- 기본 로그인 URL을 변경하여 보안 강화
- 디렉토리 인덱싱 비활성화
- wp-admin 페이지에 접근할 수 있도록 특정 IP 주소를 허용 목록에 추가
- 자동 DB 백업
- HTTP 보안 헤더 적용
- 사용자 활동 모니터링
- 파일 변경 감지 및 알림
클라우드웨이즈의 경우 Bot Protection이라는 워드프레스 보안 플러그인을 제공했지만, 최근 Bot Protection 플러그인의 기능을 통합한 방화벽(Firewall)을 제공하고 있습니다.
Firewall 페이지에서 접속이 차단된 IP 주소를 확인하고 잘못 차단된 IP를 해제하여 접속을 허용(whitelist)하도록 할 수 있습니다.
클라우드웨이즈에서는 추가적인 보안 플러그인을 설치할 필요가 없지만, Wordfence나 Solid Security와 같은 보안 플러그인을 설치하는 것도 가능합니다. 또한, 위에서 언급했듯이 Cloudways는 Malware Protection 페이지에서 멀웨어를 스캔하여 악성코드 감염 여부를 알려주고, 감염된 경우 위치까지 확인할 수 있습니다.
2단계 인증(2FA) 활성화 및 로그인 시도 횟수 제한
여러 명의 사용자가 워드프레스 사이트에 로그인하고 로그아웃하는 환경에서는 보안 위협이 커질 수 있습니다. 이 경우 사용자 로그인을 모니터링하고 관리하는 것이 보안에 도움이 됩니다. 다음과 같은 조치를 통해 보안을 강화할 수 있습니다.
- 2단계 인증(2FA) 설정
- 로그인 시도 횟수 제한
- 로그인 페이지 URL 숨기기 등
먼저, 2단계 인증(2FA)을 설정하면 사용자(예: 고객, 본인, 팀원)만 워드프레스 사이트에 접근할 수 있습니다. 2단계 인증을 설정하려는 경우 Solid Security 플러그인을 설치하여 사용할 수 있습니다. Solid Security 플러그인에서는 사용자가 올바른 인증 코드를 입력해야만 로그인이 가능하도록 설정할 수 있어 보안을 효과적으로 강화할 수 있습니다.
다음으로, 로그인 시도 횟수를 제한하는 조치를 생각할 수 있습니다. 해커들은 다양한 비밀번호 조합을 사용해 무단 접근을 시도합니다. 로그인 시도 횟수를 제한하면 이러한 공격 위험을 줄이고 민감한 데이터를 보호할 수 있습니다. Solid Security에서는 무차별 대입 공격 방지 기능을 손쉽게 설정할 수 있는 옵션을 제공합니다.
다른 방법으로 Limit Login Attempts Reloaded와 같은 로그인 횟수 제한 전용 플러그인을 사용하는 것도 가능합니다.
마지막으로, 고객의 워드프레스 로그인 페이지 URL을 숨겨 해커가 사용자 이름 및 패스워드프를 추측하기 어렵게 만드는 방법도 있습니다. Solid Security의 Hide Backend 기능을 사용하면 기본 로그인 페이지 URL을 쉽게 변경하여 숨길 수 있습니다.
하지만 로그인 페이지 URL을 숨기는 방법은 보안에 도움이 되지 않고 오히려 시스템을 불안정하게 한다는 주장이 있으므로 이 기능은 사용하지 않는 것이 좋을 수 있습니다.
필요한 사용자 권한 부여
팀원에게 특정 사용자 역할(회원 등급)에 따라 필요한 권한만 부여해야 합니다. 이러한 조치를 통해 사이트에 대한 전체 접근 권한을 가진 사용자를 제한할 수 있습니다. 일반적으로 클라이언트가 관리자 권한을 가져야 하겠지만, 사이트 관리를 자주 하지 않는 경우 신뢰할 수 있는 팀원에게 권한을 할당하는 것을 고려할 수 있습니다.
Divi Dash와 Divi Role Editor를 사용하면 워드프레스 역할 편집기보다 세분화된 수준에서 사용자 접근 권한을 쉽게 관리할 수 있습니다.
이 도구에서 사용자를 추가하거나 삭제하고, 한 번의 클릭으로 사이트에 로그인할 수 있습니다. 또한, Divi Teams는 Divi Dash와 연동되어 팀 구성원 모두가 Divi Dash를 무료로 사용할 수 있습니다. 고객별 유저 네임과 패스워드를 따로 기록할 필요 없이, Divi Dash가 각 고객과 사용자 프로필에 이 정보를 안전하게 저장합니다.
Divi Role Editor를 사용하여 각 고객의 요청에 따라 다양한 사용자 역할(회원 등급)의 접근 권한을 수월하게 조정할 수 있습니다. 예를 들어, 상점 매니저(Shop Manager)가 Divi 페이지 빌더에 접근하지 못하도록 설정하고 싶다면 해당 역할에 대한 페이지 빌더 접근 권한을 비활성화하면 됩니다.
Divi Dash와 Divi Role Editor를 사용하면 사용자 액세스를 모니터링하고 고객 사이트를 무단 접근으로부터 효과적으로 보호할 수 있습니다. 팀원에게 꼭 필요한 권한만 부여하면 관리자 설정과 같은 중요한 페이지도 보호할 수 있습니다.
보안을 더욱 강화하고 싶다면 클라이언트 사이트에서 사용자 활동을 정기적으로 모니터링하는 것을 고려할 수 있습니다. 이러한 모니터링 작업을 자동화하려면 WP Activity Log과 같은 플러그인을 사용할 수 있습니다. 이 플러그인은 의심스러운 활동을 추적하고 알림을 제공하여 사이트 보안을 효과적으로 강화합니다.
스팸 자동 차단하기
홈페이지 방문자 증가하면 덩달아 증가하는 것이 있습니다. 바로 스팸 댓글과 스팸 문의폼 제출이 그것입니다. 스팸을 수동으로 정리하는 것이 번거롭다면 Solid Security와 같은 플러그인을 사용하여 자동으로 스팸으로부터 보호할 수 있습니다.
- 블랙리스트 기능: 알려진 스팸 IP 주소나 전체 IP 범위를 차단하여 접근을 차단합니다.
- reCAPTCHA 통합: Google reCAPTCHA와 연동하여 이메일, 댓글, 연락처 양식을 보호하며 실제 사용자(인간)만 입력할 수 있도록 합니다.
- 봇 차단: 댓글 섹션, 연락처 양식, 회원가입 양식에서 스팸 봇의 접근을 차단합니다
Solid Security는 강력한 전반적인 보안 기능을 제공합니다. 여기에 CleanTalk와 같은 안티스팸 전용 플러그인을 추가하면 스팸 공격에 대한 방어를 더욱 강화할 수 있습니다. CleanTalk은 댓글, 폼, 우커머스 페이지에서 실시간 스팸 필터링을 제공합니다.
저는 스팸 댓글이 대다수여서 댓글이 달리면 무조건 휴지통으로 이동하도록 설정하였습니다. 휴지통에서 정상적인 댓글을 복원하고 나머지 스팸들은 삭제하고 있습니다.
워드프레스의 댓글 블랙리스트 기능을 사용하여 스팸 댓글에 대응하는 것도 고려할 수 있습니다.
자동 워드프레스 백업
워드프레스 사이트를 정기적으로 백업하는 것이 중요합니다. 악의적인 해커로 인해 사이트가 해킹을 당하거나 손상되는 경우 백업본이 있다면 신속하게 복구할 수 있습니다. 그러나 프리랜서나 에이전시가 매일 각 사이트를 수동으로 백업하는 것은 현실적으로 쉽지 않습니다.
정기적인 백업을 자동화하면 고객 사이트의 최신 버전을 매일 클라우드 스토리지(저장소)에 자동으로 저장할 수 있어 추가적인 개입 없이 사이트를 안전하게 관리할 수 있습니다.
워드프레스 사이트는 여러 가지 방식으로 백업이 가능합니다. 손쉬운 방법으로 UpdraftPlus와 같은 플러그인을 사용하면 이 과정을 손쉽게 구현할 수 있습니다.
UpdraftPlus는 매일 백업을 생성하여 클라우드 스토리지에 백업본을 저장합니다. 저장된 데이터는 암호화되어 안전하게 보호됩니다.
UpdraftPlus는 간편한 마이그레이션 도구도 내장하고 있습니다. 이 플러그인의 마이그레이션 기능을 사용하여 몇 번의 마우스 클릭만으로 전체 웹사이트를 복제하거나 새 웹호스팅 서버로 데이터와 디비를 이관할 수 있습니다.
카페24나 클라우드웨이즈, 패스트코멧, 케미클라우드 등의 호스팅에서는 자동 백업/복원 기능을 제공합니다 자동 백업/복원 기능을 제공하더라도 백업 파일을 정기적으로 PC로 다운로드하거나 클라우드 스토리지에 보관하는 것이 안전합니다.
자동 멀웨어 스캔 설정
멀웨어(악성코드) 스캔을 소홀히 하면 고객사의 홈페이지가 해커의 손쉬운 표적이 될 수 있습니다. 멀웨어에 감염되면 정보 유출, 검색 순위 하락, 고객 신뢰 상실 등의 피해를 볼 수 있습니다.
하지만 개별 사이트를 수동으로 점검하는 것은 시간이 많이 소요되고, 위협 요소를 놓칠 가능성도 있습니다. 멀웨어 스캔 프로세스를 간소화하려면 젯팩을 사용할 수 있습니다. JetPack은 보안 문제를 자동으로 스캔하고 실시간으로 위협을 감지합니다. 이를 통해 지속적으로 모니터링하지 않아도 사이트를 안전하게 유지할 수 있습니다.
또 다른 옵션으로 Solid Security를 사용하는 것을 고려할 수 있습니다. 이 보안 플러그인은 강력한 멀웨어 스갠 기능과 자동 모니터링을 제공합니다.
클라우드웨이즈의 경우 개별 애플리케이션에서 사이트에 감염된 멀웨어가 있는지 체크하여 멀웨어가 발견될 경우 이메일로 알림을 보냅니다. Malware Protection 애드온은 유료로 사용할 수 있지만, Malware Protection 애드온을 구매하지 않아도 악성코드 스캔 기능이 제공되고 악성코드 감염 시 위치를 확인할 수 있습니다.
패스트코멧과 케미클라우드도 멀웨어 보호 기능을 제공합니다.
CDN으로 디도스(DDoS) 공격으로부터 보호하기
DDoS(분산 서비스 거부) 공격은 다수의 감염된 장치(봇넷)를 이용해 특정 서버나 네트워크에 대규모 트래픽을 동시에 집중시켜 시스템을 마비시키는 사이버 공격 방식입니다. 공격자는 컴퓨터, 모바일 기기, IoT 장치 등에 악성코드를 주입하여 원격으로 제어하고, 이러한 장치들이 x타겟 시스템에 과도한 요청(HTTP Request)을 보내어 서버의 트래픽(대역폭)과 리소스를 소진시킵니다. 유명한 사이트일수록 디도스 공격에 노출될 가능성이 높습니다.
CDN(Content Delivery Network)을 사용하지 않을 경우 워드프레스 사이트는 디도스 공격으로 쉽게 과부하 상태가 될 수 있습니다. 과도한 트래픽은 사이트를 느리게 만들거나 다운시킬 수 있습니다. Cloudflare와 같은 CDN은 트래픽을 전 세계에 위치한 여러 서버로 분산시켜 사이트를 보호합니다.
저는 디도스 공격 때문에 클라우드플레어에 가입하여 도메인을 연동시켰습니다. 디도스 공격이 시작되면 알림이 오도록 설정이 가능합니다.
SSL 인증서 설치
종종 SSL 인증서 설치를 간과하는 분들이 계시지만, SSL 인증서는 사이트 보안에 중요한 영향을 미칩니다. HTTPS 암호화가 없으면 사용자와 사이트 간의 데이터가 조작되거나 민감한 정보가 노출될 위험이 있습니다.
국내에서는 카페24의 매니지드 워드프레스 호스팅에서 SSL 인증서를 무료로 제공합니다. 가비아의 경우 유료로 구입해야 하고 설치비도 받습니다.😥
클라우드웨이즈, 패스트코멧, 케미클라우드, 블루호스트 등 대부분의 해외호스팅에서는 SSL 인증서를 무료로 제공합니다. 참고로 블루호스트는 우리나라에 잘 알려져 있지만 미국 서버만 제공하기 때문에 우리나라에서 속도가 느린 것으로 평가되고 있습니다. 실제로 '블호는 불호한다'는 말이 있을 정도로 속도 문제가 있을 수 있습니다. 블루호스트의 대안으로 가성비 좋은 패스트코멧이나 케미클라우드를 고려할 수 있습니다. 특히 케미클라우드는 서울 서버를 제공하므로 우리나라에서 속도가 빠른 편입니다.
사용하지 않는 테마와 플러그인 삭제
사용하지 않는 테마나 플러그인을 그대로 두는 것이 왜 문제가 되는지 궁금해하시는 분들이 계실 것 같습니다. 테마와 플러그인을 업데이트하지 않은 상태로 방치하면 사이트가 보안에 취약하게 됩니다.
사용하지 않으면서 설치되어 있는 테마나 플러그인이 있으면 도구 » 사이트 건강에 경고가 표시됩니다. 예를 들어, 사용하지 않은 플러그인이 있는 경우 "비활성화된 플러그인은 모두 제거해야 합니다"라는 권장 개선 사항이 표시됩니다.
사용하지 않는 테마와 플러그인을 제거하는 것은 워드프레스 코어, 테마, 플러그인 등 모든 것을 최신 상태로 업데이트하여 유지하는 것만큼 중요합니다. Divi Dash를 활용하여 고객사 사이트를 개별적으로 검토할 수 있습니다. 비활성화된 테마와 플러그인은 Inactive로 표시되며, Divi Daish에서 간단히 삭제할 수 있습니다.
이 작업은 한 번으로 끝나는 것이 아니라, 주기적으로 불필요한 테마와 플러그인을 검토하여 제거해야 합니다. 이를 통해 사이트를 안전하게 유지하고 성능을 최적화할 수 있습니다.
케미클라우드나 패스트코멧을 사용하는 경우 WP Toolkit 툴에서 개별 사이트에 대하여 사용하지 않는 플러그인인 테마를 검토하여 삭제할 수 있고, 자동 업데이트 여부를 설정할 수 있습니다.
피치 못할 사정으로 평소에는 사용하지 않는 플러그인을 유지한다면 항상 최신 버전으로 업데이트해야 보안 위협 가능성을 줄일 수 있습니다.
유휴 사용자 자동 로그아웃
팀 구성원 중 일부가 필요한 작업을 마친 후에도 워드프레스에서 로그아웃하지 않을 수 있습니다. 이 경우 해커가 해당 팀원의 기기를 해킹하여 고객 사이트를 탈취할 위험성이 높아집니다. 이러한 리스크를 예방하려면 로그인 후 일정 시간 비활성 상태(활동이 없는 상태)가 되면 워드프레스 사용자 계정을 자동으로 로그아웃하도록 설정해야 합니다.
로그인 후 일정 시간 동안 활동이 없는 사용자(유휴 사용자)를 자동으로 로그아웃시키려는 경우 Inactive Logout이라는 무료 플러그인을 사용할 수 있습니다.
웹 애플리케이션 방화벽(WAF) 활성화하기
웹 애플리케이션 방화벽(WAF)는 워드프레스 사이트를 보호하기 위해 유입되는 트래픽을 모니터링하여 필터링하는 보안 툴입니다. WAF는 SQL 인젝션, 크로스 사이트 스크립팅(XSS), 디도스(DDoS) 공격과 같은 악의적인 위협으로부터 사이트를 방어합니다.
WAF를 활성화하면 고객사 사이트의 보안이 더욱 강화되어 취약점이 악용되는 것을 효과적으로 예방할 수 있습니다.
Cloudflare에서 내장된 WAF를 제공하므로 별도로 WAF 시스템을 구성하지 않아도 고객 웹사이트를 다양한 사이버 위협으로부터 보호할 수 있습니다.
대부분의 웹호스팅에서는 자체 방화벽을 제공합니다. 카페24의 경우 자체 웹 방화벽을 제공합니다. 카페24 방화벽의 경우 워드프레스 사이트와 충돌을 일으키는 경우가 많으므로 웹 방화벽 활성화 시 충돌이 발생하지 않는지 체크하시기 바랍니다.
클라우드웨이즈에서는 Bot Protection 기능이 통합된 보안 기능을 제공하고 서버 관리 페이지의 Security » Firewall에서 방화벽에 의해 차단되는 IP를 확인할 수 있습니다.
마치며
이상으로 고객사 사이트를 제작, 관리하는 프리랜서나 웹 에이전시들이 클라이언트 사이트를 안전하고 효율적으로 관리하는 방법에 대하여 살펴보았습니다.
아바다 테마와 비슷한 판매량을 자랑하는 Divi 테마는 Divi Dash 등 다양한 도구를 제공하여 사이트들을 안전하게 관리하고 유지할 수 있도록 지원합니다. Divi 테마에 대한 자세한 정보는 Elegant Themes 홈페이지를 참고하시기 바랍니다.
댓글 남기기