워드프레스 보안 플러그인 Solid Security (이전 명칭 iThemes Security)
"워드프레스 베스트 보안 플러그인"에서 Wordfence Security를 비롯하여 인기 있는 워드프레스용 보안 플러그인을 간략히 소개하고 있습니다.
이 블로그에는 별다른 보안 플러그인이나 스팸 관련 플러그인이 설치되어 있지 않으나 간혹 멀웨어나 해킹 때문에 피해를 입는 사이트를 접하다 보니 보안에 무척 신경이 쓰이네요. 그래서 Solid Security (이전 명칭 iThemes Security)라는 플러그인을 설치해보았습니다.
[ 이 글은 업데이트된 iThemes Security 플러그인의 인터페이스를 반영하여 새롭게 작성되어 재발행되었습니다. ]
워드프레스 보안 플러그인 Solid Security (구명칭 "iThemes Security")
iThemes Security는 Wordfence Security 플러그인보다 가볍다는 평가가 있어서 이 블로그에 한동안 설치하여 사용했습니다. 특히 iThemes Security Pro 버전을 구입하여 이용했는데요. 지금 생각해보니 일반 블로그 사이트인 경우 굳이 Pro 버전까지는 필요하지 않을 것 같습니다. 프로 버전에서는 자동으로 멀웨어(악성코드)를 스캔하여 보고하는 기능이 있으므로 이런 기능을 원하는 경우 고려해볼 수 있을 것입니다.
이 글을 작성한 이후 이 보안 플러그인의 인터페이스가 크게 변경되었습니다. 그러나 UI가 바뀌어도 기능 자체는 동일합니다.
iThemes Security 플러그인 기능(신버전)
iThemes Security 플러그인을 설치하고 활성화하면 Security > Settings로 이동하여 설정 마법사를 완료하도록 합니다. 이 플러그인에서 제공하는 옵션을 하나씩 살펴보겠습니다.
Features > Login Security에서는 Two-Factor(2단계 인증) 기능을 활성화/비활성화할 수 있습니다.
Lockouts 섹션에서는 Local Brute Force(로컬 무차별 대입 공격)와 Network Brute Force(네트워크 무차별 대입 공격) 차단 설정을 할 수 있습니다.
설정 마법사를 완료하면 Ban Users 항목이 추가로 표시될 것입니다. 그러면 특정 IP 주소나 User Agent가 사이트에 접근하지 못하도록 차단할 수 있습니다.
Utilities 섹션에서는 강제로 SSL/TLS을 통해 사이트가 로드되도록 하는 Enforce SSL, 수동 또는 자동 데이터베이스 백업 예약을 하는 Database Backups, 그리고 Security Check Pro 설정을 할 수 있습니다.
User Groups 탭에서는 각 사용자 역할(관리자, 편집자, 글쓴이, 외부 필진, 구독자 등)에 대한 설정을 할 수 있습니다. Password Requirements(패스워드 요건)에서는 강력한 비밀번호(Strong Passwords)를 사용하도록 강제할 것인지를 지정할 수 있습니다.
Configure > Global Settings에서는 iThemes Security에서 차단하지 않아야 하는 호스트 리스트를 추가할 수 있습니다.
Tools 섹션에서는 몇 가지 유용한 보안 기능이 제공됩니다. 예를 들어, Change User ID 1에서 사용자 ID가 "1"인 사용자의 ID를 바꿀 수 있습니다. 이는 사용자 ID가 "1"인 사용자가 관리자인 것으로 가정하여 이루어지는 사용자 ID 1에 대한 공격을 방지하기 위한 것입니다.
Advanced 섹션에서는 추가적인 보안 조치를 할 수 있습니다. 예를 들어, PHP Execution의 Disable PHP in Uploads를 활성화하면 Uploads 폴더에서 PHP 파일이 실행되지 않도록 비활성화합니다.
또한, Hide Backend에서는 관리자 페이지 로그인 주소를 바꿀 수 있습니다. 하지만 워드프레스 로그인 페이지 주소를 바꾸는 것은 보안 강화에 큰 도움이 되지 않는다는 것이 최근의 결론인 것 같습니다. 이 기능은 사용해도 큰 효과는 없을 수 있습니다.
iThemes Security 플러그인 기능( 구버전)
iThemes Security는 무료 기능과 유료 기능이 있으며 wordpress.org에서 무료 플러그인을 설치하여 사용할 수 있습니다. 유료 플러그인 기능은 회색으로 표시되고 "PRO"라는 라벨이 붙습니다.
이 플러그인을 설치하면 워드프레스 관리자 페이지(대시보드)에서 왼쪽 패널에 "Security"라는 메뉴가 추가됩니다. "Security"를 클릭하면 다양한 기능을 활성화/비활성화하거나 구성할 수 있습니다.
1) Security Check
권장 기능과 설정을 사용하도록 구성할 수 있습니다.
2) Global Settings(전역 설정)
iThemes Security의 작동 방식을 제어하는 기본적인 설정을 구성합니다. Configure Settings를 클릭하면 다양한 옵션을 설정할 수 있습니다.
3) 404 Detection(404 감지)
404 Detection은 존재하지 않는 많은 페이지에 접속하여 많은 404 오류가 발생하는 사용자를 감시합니다. 404 Detection 기능에서는 짧은 시간에 많은 404 개의 오류가 발생하는 사용자는 무엇인가(아마도 취약성)를 검사하고 있는 것으로 가정하여 이러한 사용자를 차단합니다. 이 기능은 또한 사이트의 보이지 않는 부분에서 404 오류를 발생시키는 숨겨진(드러나지 않는) 문제를 찾는 데에 도움이 되는 추가적인 이점을 제공합니다. 모든 오류는 "View Logs" 페이지에 기록됩니다.
4) Away Mode
대부분의 사이트는 하루 중 특정 시간에만 업데이트되기 때문에 하루 24시간 연중무휴로 WordPress 대시보드에 접근할 필요가 없습니다. 이 옵션을 사용하면 지정된 기간 동안 WordPress 대시보드에 접근하지 못하게 할 수 있습니다. 이 기능을 사용하면 공격자에 대한 노출을 제한할 뿐만 아니라 수업 또는 다른 이유로 일정에 따라 사이트 접근을 비활성화할 수 있어 유용할 수 있습니다.
5) Banned Users
특정 IP 주소와 사용자 에이전트가 사이트에 접속하지 못하도록 차단합니다.
6) Local Brute Force Protection
무차별 대입 공격(Brute Force Protection)으로부터 사이트를 보호합니다.
7) Database Backups
사이트의 DB 백업을 만듭니다. 백업은 수동으로 만들거나 예약에 따라 생성할 수 있습니다.
8) File Change Detection(파일 변경 감지)
예기치 않은 파일 변경을 모니터링합니다.
9) File Permissions
사이트의 주요 영역의 파일과 디렉터리 퍼미션(권한)을 확인할 수 있습니다.
10) Network Brute Force Protection
Local brute force protection은 사이트 액세스 시도만을 감시하여 로컬에서 지정한 차단 규칙에 따라 사용자를 차단합니다. Network brute force protection은 Local brute force protection에서 한 단계 나아가서 다른 사이트에 침입하려고 시도한 사용자가 사이트에 액세스하지 못하도록 차단하는 기능입니다.
11) SSL
브라우저와 서버 간 통신이 안전하도록 SSL 사용을 구성합니다.
12) Strong Password Enforcement
사용자들이 강력한 비밀번호(패스워드)를 사용하고 약한 비밀번호를 사용하지 못하도록 합니다.
13) System Tweaks
사이트에 대한 서버 구성(server config)을 변경하여 보안을 향상하는 고급 기능
14) WordPress Tweaks
기본 워드프레스 행동을 변경하여 보안을 향상시키는 고급 설정
15) WordPress Salts
사이트 보안 향상을 위해 워드프레스가 사용하는 시크릿 키(비밀 키)를 업데이트합니다.
Malware Scan Scheduling(멀웨어 스캔 예약) 등 이외의 기능들은 PRO 버전에서만 사용 가능합니다.
마치며
종합적인 보안 기능을 제공하는 보안 플러그인은 무거우므로 사이트에 부담이 될 수 있습니다. 그런 경우 낮에는 비활성화했다가 밤에만 활성화하는 방법도 생각해볼 수 있을 것 같습니다.
이러한 보안 플러그인 설치 외에 워드프레스 코어 파일/테마/플러그인을 항상 최신 버전으로 유지하고 정기적으로 백업을 실시하면 보안에 도움이 될 수 있고 만약의 사태가 발생하더라도 쉽게 복원할 수 있습니다.
추가:
이 블로그에는 현재 iThemes Security Pro(Blogger 버전)이 설치되어 있습니다. 2단계 인증과 매일 멀웨어를 스캔하는 기능을 제외하면 보통의 경우 무료 버전을 이용해도 괜찮을 것 같습니다.
※업데이트: iThemes Security 플러그인을 대신 BBQ라는 방화벽 플러그인을 설치했습니다. iThemes Security와 Wordfence Security는 종합적인 보안 플러그인으로 기능이 많지만 사이트에 부담을 줄 수 있습니다. 보안을 더욱 강화하려는 경우 Wordfence나 iThemes Security가 더 효과적이겠지만, 가벼운 보안 플러그인을 원하는 경우 BBQ와 같은 플러그인을 고려해볼 수 있습니다.
오늘 보안 프로그램을 깔았는데 베이직에서는 설정하는게 없는데 그대로 두면 되나요????
플러그인의 UI가 계속 바뀌는 것 같네요. 세팅을 하나씩 클릭하여 확인해보시기 바랍니다.
안녕하세요. ithemes security 를 설치 후 ssl인증서 설치 후 http 에서 https 로 리디렉션 되던 것이 http로 접속할 경우 보안안됨으로 표시되는 현상이 발견되었습니다.
그래서 ithemes security 를 비활성화 시켜놨더니 다시 정상적으로 https로 리디렉션이 되는 상태입니다.
워드프레스 시작한지 일주일 된 초보입니다.
어떤 걸 수정해야 다시 정상적으로 http로 접속해도 https로 리디렉션이 될 수 있는지 여쭤볼 수 있을까요?
안녕하세요? http에서 https로 리디렉션시키는 방법으로 1) .htaccess 파일에 코드를 추가하거나 2) 플러그인(예: Really Simple SSL)을 사용하는 방법이 있습니다.
iThemes Security에 이와 관련된 기능이 있는지 체크해보니 없는 것 같습니다.
.htaccess 파일에 코드를 추가하지 않았고 Really Simple SSL과 같은 플러그인을 사용하지 않는 경우 다음 글에서 소개하는 코드를 .htaccess 파일에 추가하여 문제가 해결되는지 체크해보시겠어요?
https://www.thewordcracker.com/miscellaneous/%EB%AC%B4%EB%A3%8C-%EB%B3%B4%EC%95%88%EC%84%9C%EB%B2%84ssl-%EC%9D%B8%EC%A6%9D%EC%84%9C%EB%A5%BC-%EC%A0%81%EC%9A%A9%ED%96%88%EC%8A%B5%EB%8B%88%EB%8B%A4/
그래도 문제가 해결되지 않는 경우 iThemes Security 대신 다른 보안 플러그인 사용을 고려해보시기 바랍니다.
신규사이트에 iThemes Security를 깔았는데 자꾸 Site Lockout Notification이 발생합니다.
로그에는 "너무 많은 잘못된 로그인 시도"라고 해서 해당 IP를 차단했는데, 다른 IP로 또 락이 걸리네요.
이런경우 IP차단외에 다른 방법은 없는건가요?
안녕하세요, 박승아님.
봇에 의한 로그인 시도가 많다면 Limit Login Attempts Reloaded와 같은 플러그인을 사용해볼 수 있습니다.
https://www.thewordcracker.com/basic/%EC%9B%8C%EB%93%9C%ED%94%84%EB%A0%88%EC%8A%A4-%EB%A1%9C%EA%B7%B8%EC%9D%B8-%EC%8B%9C%EB%8F%84-%ED%9A%9F%EC%88%98-%EC%A0%9C%ED%95%9C/
답변 감사합니다.
이미 iThemes Security에 있는 Local Brute Force Protection을 사용해서 로긴을 차단하고 있는데요, 알려주신 플러그인을 추가로 설정하면 별도의 도움이 되나요?
iThemes Security가 설치되어 있다면 말씀드린 플러그인은 설치하지 않으셔도 될 것 같습니다.
다만, 정기적으로 꼭 백업을 해주시면 좋을 듯합니다. (백업은 항상 필수입니다.ㅎ)
저는 구글 웹마스터도구에서 robots.txt 파일을 감지하는 못하는 문제가 나타나서 "Banned Users" 기능은 비활성화했습니다. robots.txt 관련 문제가 나타나면 이 기능을 비활성화한 후에 테스트해보시기 바랍니다.
https://www.thewordcracker.com/basic/%EA%B5%AC%EA%B8%80-%EC%9B%B9%EB%A7%88%EC%8A%A4%ED%84%B0%EB%8F%84%EA%B5%AC%EC%97%90%EC%84%9C-robots-txt-%ED%8C%8C%EC%9D%BC%EC%9D%84-%EA%B0%90%EC%A7%80%ED%95%98%EB%8A%94-%EB%AA%BB%ED%95%98%EB%8A%94/
iThemes Security 워드프레스 보안 플러그인의 경우 Logs 섹션에서 다음과 같은 데이터를 확인할 수 있습니다.
Invalid Login Attempts (잘못된 로그인 시도)
404 Errors Found (404 오류)
Malware Scan (멀웨어 스캔)
자세한 내용은 별도의 글에서 설명했으니 참고해보세요:
https://www.thewordcracker.com/intermediate/%EC%9B%8C%EB%93%9C%ED%94%84%EB%A0%88%EC%8A%A4%EC%97%90%EC%84%9C-404-%EC%97%90%EB%9F%AC%EB%A5%BC-%EB%B0%9C%EC%83%9D%EC%8B%9C%ED%82%A4%EB%8A%94-%EA%B8%80%ED%8E%98%EC%9D%B4%EC%A7%80-%ED%99%95%EC%9D%B8/