워드프레스를 대상으로 대규모 무차별 대입 공격(Brute Force Attack) 발생

  • 네이버 블로그 공유하기
  • 네이버 밴드에 공유하기
  • 페이스북 공유하기
  • 트위터 공유하기
  • 카카오스토리 공유하기

보안업체인 Wordfence에 의하면 어제 12월 18일 오전 3시(UTC 시각 기준)에 워드프레스 사이트를 대상으로 대규모 분산 무차별 대입 공격(브루트 포스 공격, Brute Force Attack)이 발생했다고 하네요.

이번 공격에는 공격에 동원된 IP 수도 많고 각 IP가 막대한 수의 공격을 발생하는 등, 그 규모면에서 Wordfence가 워드프레스 보안 서비스를 시작한 2012년 이래 가장 규모가 큰 공격이라고 합니다. (공격이 피크일 때는 시간당 공격 수가 1,400만 건이 넘었다고 하네요.)

자세한 내용은 Breaking: Aggressive WordPress Brute Force Attack Campaign Started Today, 3am UTC를 참고해보시기 바랍니다.

massive brute force attack Dec18 compressor - 워드프레스를 대상으로 대규모 무차별 대입 공격(Brute Force Attack) 발생

링크된 글에 따르면 글 작성 당시 밝혀진 점은...

  • 당시까지 공격의 정점에 이를 때에 시간당 1410만 건에 이름
  • 관련된 IP의 총 개수는 10000개가 넘음
  • 시간당 공격 대상이 된 워드프레스 사이트가 최대 19만 개에 이름
  • Wordfence가 워드프레스 보안 사업을 시작한 이래 시간당 공격량으로는 최대 규모

공격에 대한 대비

사실 이 블로그에서 워드프레스 관련 보안과 관련하여 작성한 조치를 취한 경우 별 걱정을 하지 않으셔도 될 것 같습니다. 다음과 같은 조치를 취해 워드프레스 사이트의 보안을 강화하는 것이 좋습니다.

  1. 브루트 포스 공격을 지능적으로 차단하는 Wordfence 같은 방화벽 설치("워드프레스 베스트 보안 플러그인" 참고)
  2. 모든 사용자 계정, 특히 관리자 계정에 대하여 강력한 비밀번호 사용. (Wordfence Premium은 password auditing(비밀번호 감사) 기능을 제공한다고 하네요.)
  3. 관리자 사용자 이름으로 'admin'을 사용하는 추측하지 쉽지 않은 이름으로 변경
  4. 사용하지 않는 계정 삭제. 특히 사용하지 않는 관리자 계정을 삭제하십시오. 그러면 '공격 표면(attack surface)'을 줄일 수 있습니다.
  5. 모든 관리자 계정에 대하여 2단계 인증 활성화.
  6. IP를 차단하는 IP 블랙리스트 활성화. (개인적으로 iThemes Security 플러그인을 설치하여 사용하고 있는데, Network Brute Force Protection라는 기능을 통해 금지된 IP를 차단해주는 기능이 있습니다. Wordfence의 경우 프리미엄 버전에서 실시간 IP 블랙리스트를 제공한다고 하네요.)
  7. 관리자가 로그인하면 알려주도록 구성하여 로그인 공격 모니터링. Wordfence 무료 버전에서는 이 기능을 제공합니다.
  8. 동일한 패스워드를 여러 서비스에 사용하는 것은 금물.

참고로 워드프레스 보안을 위해 다음과 같은 세 가지 기본적인 원칙을 따르면 워드프레스 사이트를 안전하게 운영할 수 있을 것입니다.

  1. 워드프레스, 테마, 플러그인을 항상 최신 버전으로 업데이트
  2. 워드프레스 보안 플러그인 설치
  3. 정기적인 백업

유비무환(有備無患)이라는 말이 있듯이, 소잃고 외양간 고치는 것보다 미리 대비하는 것이 최선 같습니다.

참고로 이 블로그의 경우 회원가입을 받지 않기 때문에 워드프레스에 특정 IP로만 로그인이 가능하도록 설정해놓았습니다. 그리고 가성 서버 호스팅(VPS)을 이용하는 경우 평소에는 SSH 접속을 하지 못하도록 차단하는 것이 보안상 좋을 듯 합니다. (이 블로그에서는 Bluehost VPS를 사용 중인데 평소에는 SSH Password Authentication 기능을 꺼놓고 있습니다(참고).)

참고:



7 개 댓글

  1. 안녕하세요, 운영자님, 워드프레스 사이트를 운영 중 보안 관련하여 질문이 생겨 이렇게 질문을 남깁니다.
    Brute Force 공격에 대비하기 위해 위의 사항을 실시하고, i themes security 플러그인을 통해 공격을 막고 있습니다.
    그런데, log 기록을 보니 몇날 며칠이 지나도록 burte force 공격이 멈추지않고 계속 행해지고 있는것을 확인하고 있습니다.
    혹시 이런 부분에 관하여 가능한 어드바이스나 조치가 있을까요? 글이 길었습니다. 감사합니다~!

    응답
    • 안녕하세요?

      이 문제에 대해 해외 블로그 글을 찾아보니 다음과 같은 조치를 조언하고 있네요.
      - 방화벽 플러그인 설치
      - 워드프레스, 테마, 플러그인을 모두 최신 버전으로 업데이트
      - 2단계 인증 추가하기
      - 강력한 비밀번호 사용
      - Directory Browsing 비활성화 ( https://iwordpower.com/disable-directory-browsing/ 참고)
      - 특정 워드프레스 폴더에 PHP 파일 실행 비활성화
      -> /wp-content/uploads/ 폴더에 .htaccess 파일을 만들고 다음 코드를 추가합니다.

      https://www.screencast.com/t/ZqJ0bil7IJt

      - 사이트 백업

      그래도 문제가 해결 안 되면 웹호스팅 업체에 한 번 문의해보시기 바랍니다.

      (특히 워드프레스, 테마, 플러그인을 모두 최신 버전으로 업데이트하는 것이 좋고, 오랫동안 업데이트가 안 된 플러그인은 사용하지 않는 것이 바람직합니다.)

      응답
      • 안녕하세요, 상세한 답변 감사합니다. 그동안 올려주신 여러 자료 덕에 위의
        - 방화벽 플러그인 설치
        - 워드프레스, 테마, 플러그인을 모두 최신 버전으로 업데이트
        - 2단계 인증 추가하기
        - 강력한 비밀번호 사용
        - Directory Browsing 비활성화 ( https://iwordpower.com/disable-directory-browsing/ 참고)

        까지는 진행을 했는데요, .htaccess 파일을 맥에서 텍스트편집기로 작성후 업로드 하니 웹사이트에서 각종 이미지 로딩에 문제가 생기네요. 제가 htaccess 파일에 적법한 파일을 생선한 것인지 의문이 들지만 혹시 이에 관하여 어떤 커멘트를 해주실 수 있으시나요?

        감사합니다!!

      • Apache 서버에서 .htaccess 파일을 만들 수 있습니다.
        고유주소 설정이 기본으로 설정된 경우 .htaccess 파일이 생성되지 않을 것입니다.

        Apache 웹 서버이고 고유주소 설정이 '기본'이 아닌 상황에서 .htaccess 파일이 보이지 않는다면, ftp 클라이언트(예: 파일질라)에서 숨기 파일을 표시하도록 설정해보시기 바랍니다.

        https://avada.co.kr/wordpress/%EC%9B%8C%EB%93%9C%ED%94%84%EB%A0%88%EC%8A%A4-htaccess-%ED%8C%8C%EC%9D%BC%EC%9D%B4-%ED%91%9C%EC%8B%9C%EB%90%98%EC%A7%80-%EC%95%8A%EB%8A%94-%EA%B2%BD%EC%9A%B0/

        Nginx 서버인 경우 다음 글을 참고해보세요:
        https://websiteforstudents.com/block-access-wordpress-wp-admin-via-nginx-ubuntu-17-04-17-10/

    • 다음 글도 참고해보시기 바랍니다:

      https://www.thewordcracker.com/basic/%EC%9B%8C%EB%93%9C%ED%94%84%EB%A0%88%EC%8A%A4-%EB%B3%B4%EC%95%88-%EA%B0%95%ED%99%94%ED%95%98%EA%B8%B0/

      로그인하는 사용자가 몇 명 없는 경우 특정 IP로만 로그인이 가능하도록 조취를 취하는 것도 고려해보시기 바랍니다.

      응답
  2. 헐... 우째 이런 일이..ㅜㅜ
    저도 워드프레스 로그인하는 곳은 사무실과 집밖에 없어서 특정 ip로그인 해 두어야 할 듯 싶네요..
    소 잃고 외양간 고치는 일이 없도록 해야 되겠어요..!!

    응답
    • 보안 플러그인을 하나 설치해놓고 최신 버전으로 업데이트하면 별 문제는 없을 것입니다.
      아무래도 로그인이 가능한 IP를 제한하면 보안에 많이 도움이 될 것 같습니다.

      응답