워드프레스는 안전한가? - 보안 강화를 위한 기본적인 조치
국내 뉴스에 간혹 워드프레스가 보안에 매우 취약한 CMS로 언급하는 경우가 있습니다. 예를 들어, 보안 취약점이 발견되어 업데이트가 나왔다는 식입니다.
그러면 정말로 워드프레스가 보안에 취약할까요? 사실 그렇지 않습니다. 워드프레스 자체는 안전합니다. 보안 취약점이 발견되면 수시로 패치가 나오기 때문에 항상 최신 버전으로 업데이트하고 몇 가지 조치만 취해주면 안전하게 워드프레스 사이트를 운영할 수 있습니다.
워드프레스는 안전한가?
최근 보안업체인 Wordfence에서 "Is WordPress Secure?(워드프레스는 안전한가?)"라는 제목의 글을 발행했습니다. Wordfence에서 주장하는 내용은 이 블로그에서 수시로 언급하는 보안 관련 내용과 크게 다르지 않습니다.
Wordfence에서는 "워드프레스는 안전한가?"라는 질문에 대해 다음과 같이 답하고 있습니다.
The short answer is yes, but it does require a modest amount of work and education on the part of the site owner.
즉, 워드프레스는 안전하지만 사이트 운영자 측에서 약간의 조치와 교육이 필요합니다. 구체적으로 다음과 같은 조치를 취할 것을 제안하고 있습니다.
- 워드프레스 코어를 항상 최신 버전으로 업데이트
- 워드프레스 테마와 플러그인을 항상 최신 버전으로 업데이트
- 취약점이 발견되어 실제 패치가 나오기까지의 기간(이러한 간격을 "취약성의 창(window of vulnerability)"이라고 함) 동안 방화벽으로 사이트 보호하기
- 공격 표면(Attack Surface) 줄이기 - 사용하지 않거나 불필요한 플러그인과 테마 삭제. 사용하지 않는 계정(특히 관리자 계정) 삭제
- 바람직한 보안 관행 - 강력한 비밀번호 사용, 2단계 인증 사용, 안정적인 사이트 백업
이외에도 Wordfence 글에서는 다른 대안(예: 정적인 HTML 사이트, 클라우드 CMS) 등이 더 안전한지 여부에 대해서도 다루고 있습니다. 자세한 내용은 Wordfence 블로그 글을 참고해보시기 바랍니다.
보안 플러그인으로는 Wordfence Security와 iThemes Security가 많이 사용되고 있습니다. 이런 플러그인 중 하나를 선택하여 설치하면 보안에 많은 도움이 될 것입니다. 다만, 보안 플러그인은 무겁기 때문에 사이트 속도에 안 좋은 영향을 미칠 수 있습니다. 그래도 보안이 중요하기 때문에 저는 보안 플러그인을 하나 설치하여 사용하고 있습니다.
참고로 보안 플러그인의 유료 버전을 구입하면 2단계 인증 등 추가적인 기능을 이용할 수 있습니다. 이메일을 통한 2단계 인증 기능을 사용하려는 경우 다음 글을 참고해보시기 바랍니다.
그리고 웹호스팅 업체에서 로그인 시 2단계 인증을 지원하는 경우 2단계 인증을 설정해놓으면 안심이 될 것입니다.
워드프레스 코어, 테마 또는 플러그인 업데이트를 소홀히 하면 멀웨어에 감염되거나 해킹을 당할 수 있습니다. 악성코드에 감염되면 치료하고 복원하는 데 비용이 들 뿐 아니라 사이트 평판에도 치명적인 손상을 가져올 수 있습니다. 그러므로 항상 강조하듯이 '소 잃고 외양간 고치기'보다 미리 대비하는 것이 최선 같습니다.
워드프레스 사이트가 멀웨어에 감염되었다면 다음 글을 참고로 악성코드 제거를 시도해보시기 바랍니다.
악성코드 치료에 어려움을 겪거나 기타 워드프레스 문제가 있는 경우 이 페이지에서 서비스(유료)를 의뢰하실 수 있습니다.
