워드프레스 관리자 페이지는 잘 관리되지 않을 경우에 해커의 집중 공격 대상이 될 수 있습니다. 아직도 수많은 워드프레스 관리자가 보안에 크게 신경쓰지 않는 것이 현실입니다. 하지만 관리자 영역에서부터 시작된 침입은 삽시간에 웹사이트 전체를 망가뜨립니다. 심지어는 웹사이트 접속자들 까지 피해를 입기도 하므로 관리자는 해킹에 대해서 항상 경각심을 가져야 합니다. 아래에서 관리자 영역의 보안을 지키는 방법 8가지를 소개해 보겠습니다.
이 포스팅은 정보 공유를 목적으로, 외부 필자에게 제공받은 원고를 기반으로 작성되었습니다. 이 워드프레스 블로그의 주제와 부합하는 유용한 자료를 보내 주시면 검토 후 게재해 드릴 수 있습니다. 또한, 네이버 카페와 이 블로그를 통해 홍보 목적의 협찬 포스팅도 가능합니다. 협찬 포스팅 문의는 여기에서 연락주시기 바랍니다.
워드프레스 관리자 페이지 보안을 지키는 8가지 방법
- VPN 사용하기: 관리자 영역 보안을 VPN을 사용하여 한층 강화할 수 있습니다. 해커는 당신이 관리자로서 하는 모든 액션들을 감시하려 할 것입니다. 트래픽을 감시해서 민감 정보를 빼돌리고, 계정을 탈취하거나 사이트 전체를 장악할 수 있습니다. 때로는 해커가 웹사이트에 멀웨어를 심어 두기도 합니다. VPN은 네트워크 연결을 암호화 합니다. 침입자가 트래픽을 감시할 수 없도록 안전하게 연결을 보호해 주므로 해킹의 위험을 낮추어 줍니다. 또한 멀웨어가 퍼지지 않도록 감지하여 미리 차단하여 주는 기능이 있으므로 작업시 VPN을 꼭 활성화 하는 것이 좋습니다.
- 관리자 ID와 패스워드 강화: 관리자 계정 ID와 패스워드를 어려운 것으로 설정해야 합니다. 만약 관리자 아이디로 ‘admin’을 사용하면서 패스워드도 짧은 것으로 하면 금방 해킹을 당하고 말 것입니다. 관리자 아이디를 해커가 추측하기 어려운 것으로 지정하십시오. 또한 숫자, 영문 대소문자, 특수문자 등을 포함한 길고 복잡한 패스워드를 만들어 사용해야 합니다. 물론 로그인 정보는 타인과 절대 공유하면 안되고, 파일에 기록해 두는것도 유출의 위험이 있으니 금물입니다. 또한 주기적으로 패스워드를 변경하는 것도 잊지 말아야 합니다.
- 로그인 시도 횟수 제한: 관리자 페이지 로그인을 무한대로 시도해 볼 수 있다면 그것만큼 위험한 일이 없을 것입니다. 왜냐하면 해커가 봇을 이용하여 무차별 대입 공격을 하다 보면 끝내 로그인이 되는 경우가 있기 때문입니다. 이를 위해 로그인 시도 횟수를 제한해 주는 기능을 가진 플러그인을 다운로드 받아 설치할 수 있습니다. 로그인 시도 횟수는 보통 3회로 권장하지만 개인이 설정할 수 있습니다.
- 워드프레스 최신 업데이트 하기: 워드프레스 자체 소스코드 또한 보안 취약점이 있기 때문에 개발자들이 주기적으로 신규 버전 업데이트를 합니다. 그런데 구버전의 워드프레스 버전을 업데이트 없이 그대로 사용하고 있다면 어떻게 될까요? 해커가 이미 알려진 취약점을 통해 아주 쉽게 사이트를 공격 할 수 있습니다. 워드프레스를 최신 버전으로 항상 업데이트 하는 것을 잊지 마시기 바랍니다.
- SSL 인증서 적용하기: HTTP 통신 만으로 홈페이지를 구축한다면 해커가 패스워드 등 민감 정보를 쉽게 해독 할 수 있습니다. SSL 인증서는 HTTPS 프로토콜로 통신 내용을 암호화하여 정보가 해커에게 노출되는 것을 방지해 줍니다. 관리자 로그인 페이지에 SSL 인증서를 적용하여 공격자가 민감 정보를 알 수 없게 방지하시기 바랍니다. 참고로 워드프레스에는 Let’s Encrypt 무료 SSL 인증서가 제공되지만, 원할 경우 사설 공인 인증서를 유료로 발급받아 적용할 수 있습니다.
- IP 접근 제한: 가능한 어드민 영역에 접근 가능한 IP를 제한하는 것이 좋습니다. 홈페이지를 관리하는 회사 IP 또는 재택근무를 한다면 자택 IP 정도만 허용해 두십시오. IP 제한 설정은 wp-admin 폴더 하위에 있는 .htaccess 파일을 수정하면 됩니다. 허용 IP 이외의 IP가 관리자 페이지에 접근을 하려고 하면 ‘Forbidden’ 메시지와 함께 접근이 거부될 것입니다.
- 2채널 인증: 관리자 로그인 시 인증 장치로 패스워드 뿐 아니라 2채널 인증을 설정하는 것이 좋습니다. 혹시나 비밀번호가 유출이 된 경우에도 2채널 인증이 설정 되어 있다면 안전장치 역할을 해 줍니다. 로그인을 하기 위해 패스워드와 더불어 OTP(일회용 인증번호)까지 입력을 해야 하므로 해킹하기가 까다롭습니다. 인증 번호까지 만약 해킹을 당한다면 로그인이 뚫릴 수 있으나 그런 일은 대개 일어나지 않습니다. 인증 번호는 일회용인데다가 시간 제한으로 인해 정해진 시간 내에 입력해야 하기 때문에 안전합니다.
- 방화벽 설정: 방화벽을 설정하여 여러가지 악의적인 공격 행위로부터 관리자 페이지를 보호할 수 있습니다. 먼저 트래픽이 방화벽에 도달하고, 거기서 분석을 거친 다음 수상한 트래픽이 있다면 접근을 못하게 막아줍니다. 방화벽 또한 워드프레스 플러그인으로 쉽게 설치가 가능합니다. 무료 플러그인의 경우에는 대개 기능에 제한이 있습니다. 가격과 성능 등을 비교하여 좋은 방화벽을 선택하시기를 바랍니다.
마무리
누구나 쉽게 만들 수 있는 워드프레스 홈페이지, 하지만 보안 마저도 가볍게 접근하면 안된다는 점을 명심하십시오. 특히 관리자 영역을 해커에게 빼앗기는 일이 있어서는 절대 안됩니다. 관리자 계정을 지키고, 워드프레스 버전을 항상 최신으로 유지하는 등 보안에 항상 신경을 써야 소중한 디지털 자산을 지킬 수 있습니다. 특히 홈페이지 작업시 VPN을 사용하여 각종 바이러스와 해킹으로 부터 웹사이트의 안전을 지키시기 바랍니다.
잘보고갑니다. jetpack 방화벽 대신 닌자방화벽만 써도 될까요?
원하는 플러그인을 사용하시면 될 것 같습니다.
이 블로그의 경우 한동안 BBQ라는 방화벽 플러그인을 사용했습니다.
https://www.thewordcracker.com/basic/%EA%B0%80%EB%B2%BC%EC%9A%B4-%EC%9B%8C%EB%93%9C%ED%94%84%EB%A0%88%EC%8A%A4-%EB%B0%A9%ED%99%94%EB%B2%BD-%ED%94%8C%EB%9F%AC%EA%B7%B8%EC%9D%B8/
가벼운 방화벽 플러그인을 원하는 경우 괜찮은 선택일 수 있습니다.
클라우드웨이즈를 이용하는 경우 Application 관리 페이지에서 Bot Protection을 활성화하면 별도의 플러그인을 설치할 필요가 없습니다.
의견 잘 보고 갑니다! 저도 BBQ를 써봐야겠네요! BBQ가 상대적으로 가볍고 닌자나 다른 방화벽 보다 성능이 떨어지더라도 저는 카페24 호스팅을 받고있는데 카페24에서 지원하는 방화벽과 같이 동행하면 어느정도 괜찮을까요? 특히 wp-login 쪽으로 봇이나 스파이더가 타고 들어가서 트래픽이나 보안이슈가 있다고해서 wp hide로 로그인 페이지도 숨겨둔 상황입니다!
카페24의 경우 7일간의 백업으로 제공하므로 문제가 될 경우 복원할 수 있습니다.
하지만 자체적으로도 백업하여 PC에 정기적으로 보관하면 안심할 수 있을 것입니다.
로그인 페이지를 숨기는 것은 효과가 없을 수 있습니다. 로그인하는 기기가 정해져 있는 경우 다음 글을 참고하여 특정 IP 주소에서만 로그인/관리자 페이지에 접속할 수 있도록 코드를 추가할 수 있습니다.
https://www.thewordcracker.com/basic/%ec%9b%8c%eb%93%9c%ed%94%84%eb%a0%88%ec%8a%a4-%eb%b3%b4%ec%95%88-%ea%b0%95%ed%99%94%ed%95%98%ea%b8%b0/
감사드립니다 ^^