무차별 대입 공격(Brute Force)을 방어하는 Loginizer 보안 플러그인
무차별 대입 공격을 방어하는 Loginizer 보안 플러그인
Loginizer는 허용된 최대 로그인 시도 횟수에 도달하면 해당 IP의 로그인을 차단하여 무차별 대입 공격(bruteforce) 공격을 차단하도록 돕는 워드프레스 보안 플러그인입니다. 이 플러그인을 사용하여 IP를 차단(blacklist)하거나 허용(whitelist)할 수 있습니다.
Loginizer Security 플러그인은 현재 90만 개 이상의 사이트에 설치되어 사용되고 있습니다. 사이트의 보안 수준을 향상시키기 위해 2단계 인증, reCAPTCHA, PasswordLess 로그인 등과 같은 다양한 다른 기능을 사용할 수 있습니다. 2단계 인증, 암호를 사용하지 않는 로그인(PasswordLess login) 같은 기능은 유료 버전에서 제공됩니다.
플러그인 > 새로 추가에서 Loginizer를 검색하여 설치하고 활성화하면 워드프레스 관리자 페이지의 왼쪽 패널에서 Loginizer Security 메뉴가 추가되고, 그 아래에 알림판(Dashboard)과 Brute Force 등 2개의 하위 메뉴가 있습니다.
알림판에는 사이트에 대한 정보와 파일 권한(File Permissions)에 대한 정보가 표시되어 있고 Brute Force 페이지에서 '무차별 대입 공격' 방어와 관련하여 다양한 설정을 할 수 있습니다. 무료 버전에는 2단계 인증 등의 옵션은 표시되지 않습니다.
Brute Force 관련 설정을 지정하고 차단 또는 허용할 IP를 등록할 수 있습니다. 무차별 대입 공격으로부터 사이트를 보호하고 특정 IP 주소의 로그인 시도를 차단하려는 경우 이 플러그인을 사용할 수 있습니다.
저는 대부분의 워드프레스 사이트에 iThemes Security라는 보안 플러그인을 사용하고 있습니다. 워드프레스에는 몇 가지 유료 보안 플러그인이 있습니다. 여러 가지를 테스트해보고 마음에 드는 것을 설치하여 사용할 수 있습니다. iThemes Security 같은 플러그인은 종합적인 보안 플러그인이기 때문에 사이트 속도에 영향을 줄 수도 있습니다.
특정 IP 주소로만 로그인이 가능하도록 제한하기
만약 사이트에 회원 가입 기능이 없는 경우에는 특정 IP 주소에서만 로그인할 수 있도록 하는 것도 괜찮은 방법 같습니다. 저는 제 컴퓨터의 IP 주소에서만 로그인이 가능하도록 설정해놓았습니다.
특정 IP 주소에서만 로그인이 가능하도록 설정하려면 .htaccess 파일에 다음 코드를 추가하면 됩니다.
<Files wp-login.php>
Order Deny,Allow
Deny from All
Allow from xxx.xxx.xx.xxx
Allow from xxx.xxx.xx.xxx
</Files>xxx.xxx.xx.xxx 부분에 허용할 IP 주소를 입력하도록 합니다.
.htaccess 파일을 수정하려면 FTP에 접속할 수 있어야 합니다. 워드프레스에서 FTP에 접속하는 방법은 여기를 참고해보시기 바랍니다.
마치며
무차별 대입 공격으로부터 워드프레스 사이트를 보호하려는 경우 Loginizer 같은 보안 플러그인을 사용하면 도움이 될 수 있습니다. Loginizer는 Wordfence Security나 iThemes Security 같은 포괄적인 보안 플러그인과는 달리 무차별 대입 공격을 방어하는 기능만을 제공하는 보안 플러그인입니다.
거듭 강조하지만, 워드프레스를 안전하게 유지하기 위해서는 항상 워드프레스, 테마, 플러그인을 최신 버전으로 업데이트하고 정기적으로 백업을 하여 만약의 사태에 대비하시기 바랍니다. 워드프레스 자체는 보안에 강하지만 잘못된 플러그인(예: 오랫동안 업데이트가 되지 않고 방치된 플러그인, 보안에 취약하도록 만들어진 플러그인)을 사용하거나, 업데이트를 소홀히 하거나, 잘못된 보안 관행(예: 약한 비밀번호, 비밀번호 공유 등)으로 인해 보안에 문제가 발생할 수 있습니다.
