워드프레스 2단계 인증 로그인으로 보안 강화하기

최근 멀웨어에 감염된 워드프레스 사이트 문제를 자주 접하면서 보안이 중요하다는 점을 새삼 깨닫고 있습니다. 워드프레스 자체는 보안에 강하지만 업데이트를 제대로 하지 않거나 잘못된 보안 관행(예: 약한 비밀번호 사용, 멀웨어에 감염된 컴퓨터)으로 인해 보안에 취약해질 수 있습니다.

워드프레스에서 로그인 시 2단계 인증을 적용하면 보안을 강화할 수 있습니다.

워드프레스에서는 다양한 2단계 인증 플러그인이 있습니다.  무료 플러그인부터 iThemes Security Pro(2단계 인증은 유료 버전에서만 지원)와 같은 유료 플러그인이 있습니다.

WP Mayer라는 유명한 해외 블로거에서는 Two-Factor라는 플러그인을 최고의 워드프레스용 2단계 인증 플러그인으로 최근 소개하는 글을 게시했습니다.

워드프레스 2단계 인증 플러그인 Two-Factor

Two-Factor는 아직 정식 버전이 나오지 않았고 개발 버전이지만 비교적 안정적이라고 하네요. 그리고 평가도 좋은 편입니다.

이 플러그인을 설치하면 사용자 > 나의 프로필Two-factor Options 섹션이 추가됩니다.

워드프레스 2단계 인증 로그인

위의 그림과 같이 여러 가지 옵션 중에서 선택이 가능합니다.

Email을 통한 2단계 인증을 사용하면 별다른 설정이 필요 없이 곧바로 이용이 가능하지만, Google Authenticator를 통한 2단계 인증이 권장됩니다.

테스트 사이트에 설치하여 이메일을 통한 2단계 인증을 테스트해보니 잘 작동하네요.

2단계 인증 로그인

로그인 정보를 입력하면 위와 같이 Verification Code를 입력하라는 화면이 표시됩니다. 로그인 화면은 한글 UI로 표시되지만 인증 코드를 입력하는 화면은 영어로 표시되네요.ㅎㅎ 영문 인터페이스는 Loco Translate와 같은 플러그인을 사용하여 한글화할 수 있습니다.

이메일 인증을 선택한 경우 로그인을 시도하면 이메일로 인증 코드가 전송됩니다. (물론 이메일까지 해킹되면 이 방법도 무용지물이겠지만 그런 경우는 드물 것 같습니다.)

이메일을 통한 2단계 인증을 사용하는 경우 사이트에서 이메일을 제대로 발송하지 않으면 인증 코드가 전송되지 않습니다.

저는 이 플러그인을 이 블로그에 적용해볼까 고려 중입니다. 현재 사용자 이름 대신 이메일 주소만을 통해 로그인하도록 설정해놓은 상태입니다.

사용자 이름은 추측하기 쉬우므로 로그인 시 "사용자명 또는 이메일 주소" 기입란에 이메일 주소만을 허용하면 보안이 조금 더 향상될 수 있다고 하네요.

사이트가 악성코드에 감염되면 치료를 해도 다시 감염되는 사례가 많습니다. 그러므로 항상 최신 버전으로 워드프레스, 테마, 플러그인을 업데이트하는 등 보안에 신경 쓰는 것이 중요합니다.

멀웨어에 감염된 경우 다음 글을 참고로 악성코드 제거를 시도해보시기 바랍니다.

참고:


6개 댓글

    1. 위에서 소개한 플러그인을 사용하면 이메일을 통한 2단계 인증은 잘 되지만 구글 OTP 앱을 이용한 2단계 인증은 에러가 난다는 분이 계시네요.

      iThemes Security나 Wordfence Security의 유료 버전에서도 2단계 인증 로그인 기능이 제공됩니다.

  1. 좋은 글 글 잘 봤습니다.

    질문이 있습니다.

    1. 댓글을 쓰려면 load comment를 눌러서 disqus를 불러오던데 혹시 이런 것은 뭘로 구현한 것인지요?
    2. 이;런 접근을 한 이유는 따로 있는지요. 페이지를 깔끔하게한? 사용자는 한단계를 더 거치도록 했으므로 사용자 경험은 나빠지기는 합니다.
    3. 이 사이트는 회원가입을 하도록 하고 있는지요? 장기적인 무언가를 연두에두고 모으는지? 저는 활용 방안을 몰라서 막고 있습니다만.. 예전 경험으로는 너무 많은 fake 가입자가 많더군요. 어찌해볼 수 없고 그래서 포기한적이 있습니다.

    완연한 봄입니다
    오늘도 좋은 하루되시기 바랍니다.

    1. 안녕하세요?

      1. Disqus Conditional Load라는 플러그인을 사용했습니다.
      2. 보통은 글을 스크롤하여 내려오기 시작하면 Disqus가 로드되기 시작하도록 설정해놓았습니다. "Load Comment"를 클릭하도독 표시된다면 아마 이전 캐시가 남아서 그런 것이 아닐까 생각되네요.

      Disqus와 캐시 플러그인이 계속 충돌하여 몇 번 캐시 플러그인을 바꾸었는데요... 지금도 에러가 발생하는가 보네요.

      3. 회원 가입은 별도로 받고 있지 않습니다.

      장기적으로 무엇인가를 염두에 둔다면 Happist님께서 이용하고 계신 newsletter를 운영하는 것도 괜찮다는 생각입니다. 여기에서 물건을 팔 일도 없고 해서 당분간은 회원 가입은 염두에 두지 않고 있습니다.

      밤낮 온도차가 심하네요.
      건강 주의하시기 바랍니다.

      1. 태블릿 크롬/삼성 익스플러러/파이어폭스에서 그런 현상이 나타나네요..
        집 PC에서는 그런 현상은 없었던듯 합니다.
        참고하세요

      2. 방금 Hyper Cache에서 W3 Total Cache로 변경한 상태였는데, W3 Total이 제 블로그에서 에러를 발생하네요. (캐시 플러그인을 바꾼 짧은 순간에 Happist님이 들어오셨네요.ㅎㅎ)

        다시 Hyper Cache로 바꾸고, cache 폴더를 아예 삭제하니까 괜찮아진 것 같습니다.

        모바일에서 그런 현상이 나타난 이유는 플러그인 설정에서 버튼을 클릭해야 로드되도록 설정되어 있었기 때문이었습니다. 설정을 바꾸었습니다.

        알려주셔서 감사합니다.

댓글 남기기

* 이메일 주소는 공개되지 않습니다.