이 사이트가 워드프레스로 만들어졌다는 사실을 아무에게도 알리지 말아다오

어떤 사이트가 워드프레스로 만들어졌는지는 여러 가지 방법을 통해 확인할 수 있습니다. 예를들어, www.example.com/wp-amdin처럼 /wp-admin을 URL 주소에 추가하여 접속을 시도해보면 워드프레스 사이트인지 알 수 있습니다(참고로 간혹 /wp-admin 경로를 변경하는 경우도 있습니다). 이외에도 페이지 소스에서 wp-content가 있는지를 통해서도 확인이 가능합니다.

Hide My WP - 워드프레스 보안을 위해 워드프레스 경로를 숨기는 플러그인

하지만 간혹 워드프레스로 제작된 사이트이지만 위의 방법을 통해서 확인이 되지 않는 경우도 있습니다. 여러 가지 방법이 있을 수 있겠지만 보안을 위해 어떤 사이트가 워드프레스로 제작되었다는 사실을 숨겨주는 플러그인을 사용하여 사이트가 워드프레스로 제작되었다는 것을 숨길 수 있습니다.

이런 기능을 하는 플러그인이 Hide My WP라는 플러그인입니다.

Hide My WP - 워드프레스 보안을 위해 워드프레스 경로를 숨기는 플러그인

플러그인 판매 사이트인 Codecanyon에서 꾸준히 베스트 셀링을 기록하고 있는 이 플러그인은 폴더나 파일 구조를 변경하지 않고 '워드프레스를 사용하고 있다는 사실'을 숨겨줍니다. Hide My WP 플러그인을 사용하면 발견되지 않은 취약점으로부터 보호할 수 있다고 하네요.

소스 코드에서 어떠한 문자열(String)도 제거하거나 바꿀 수 있다고 하네요. 아마도 소스 코드에서 특정 단어를 제거하거나 변경하고 고유주소를 변경하여 워드프레스로 제작되었는지를 숨겨주는 기능을 하는 것 같습니다.

미리 작성된 설정 구성표(Settings Scheme)을 선택하여 쉽게 사용할 수 있고 커스터마이징도 가능합니다. 이 플러그인은 멀티 사이트에서도 작동하며, Apache, Nginx, Windows Server(IIS)와도 호환됩니다. 그리고 보안 플러그인도 포함되어 있다고 하네요.

Hide My WP Features List - 워드프레스 플러그인 기능

워드프레스 고유주소 변경: HMWP는 실제 파일이나 폴더를 변경하지 않고 모든 것을 기본 위치에 유지하여 플러그인의 호환성을 극대화합니다.

  • wp-login.php 숨기기
  • wp-admin 숨기기 또는 변경
  • 워드프레스 테마 디렉터리 변경, 스타일시트에서 테마 정보 제거, 기본 WP 클래스를 바꾸고 최종적으로 Minify를 수행함
  • 플러그인 디렉터리를 변경하고 플러그인 이름을 해시(hash)
  • upload URL, wp-includes 폴더, AJAX URL 등 변경
  • 워드프레스 쿼리 URL 변경
  • 작성자(Author) 퍼머링크 변경(또는 비활성화)
  • 피드 변경 또는 비활성화
  • 그 외 모든 워드프레스 파일 숨기기
  • 워드프레스 아카이브, 카테고리, 태그, 페이지, 글 등 비활성화

이렇게 변경해도 SEO에 문제가 없을까 궁금해서 잠시 검색해보니 "Does it affect SEO?"라는 FQA 글에서 이 문제에 대해 간략하게 설명하고 있네요. 그대로 옮겨보면 다음과 같습니다:

SEO에 영향을 미치나요?

메인 컨텐츠 URL(포스트, 카테고리, 태그, 작성자, 피드)을 변경하지 않을 경우 SEO에 영향을 미치지 않습니다. 어떠한 SEO 문제도 없습니다.

HMWP는 포스트, 카테고리 및 태그에 대한 동일한 WP 기본 고유주소 설정을 덮어쓰기할 뿐입니다. 그러므로 이 플러그인을 사용하지 않을 경우에도 이러한 설정을 변경할 경우 순위에 영향을 미칠 수 있습니다. 물론, 어떠한 컨텐츠 URL을 변경하지 않고도 HMWP를 사용할 수 있습니다.

플러그인 판매 페이지의 Comments 섹션을 보면 HMWP는 물리적으로 경로/디렉터리를 변경하지 않으므로 301 리디렉트를 만들 필요가 없다(Hi, you need not create 301 redirects as HMWP doesn’t physically change the paths/directories)라고도 언급되어 있네요. 참고로 Hide My WP는 어떠한 30x 리디렉트도 사용하지 않고 내부 rewrite 규칙을 사용하므로 속도에 영향이 없다고 합니다(Hide My WP doesn’t use any 30x redirect, instead it uses rewrite rule that is internal and doesn’t have any affect in speed).

참고: 메인 컨텐츠 URL(포스트, 카테고리, 태그, 피드 등)을 변경하거나 변경하지 않도록 선택할 수 있습니다.

이 플러그인을 처음 접했을 때 이런 플러그인도 있었네라는 생각과 함께 흥미롭지만 이것을 누가 구입할까라는 생각이 들었습니다. 하지만 이 플러그인은 현재(2016년 5월 중순)까지 16,000개 이상이 판매되었고 사용자 평점도 4.48(5.0 만점)로 비교적 높은 편입니다. 이런 특수 기능의 플러그인이 16,000개 이상 팔렸다는 것은 대단한 것 같습니다. 가격이 23달러인데 단순히 2만원으로 계산해도...

워드프레스에 스팸 플러그인을 설치하여 사이트를 모니터링해보면 끊임없이 외부에서 사이트에 로그인하려고 시도합니다. 저는 주로 admin, Admin, administrator, demo1 등의 아이디를 주로 이용하여 해킹을 시도하는 것을 관찰할 수 있었습니다(참고). 그러므로 이러한 아이디를 관리자 아이디로 사용할 경우 해킹 위험에 더 크게 노출될 것 같습니다.

워드프레스를 사용하다 보면 스팸봇을 통해 회원 가입이 이루어지고 스팸 댓글이 올라오는 등 별로 유쾌하지 못한 경험을 하게 됩니다. 스팸 플러그인을 설치하여 어느 정도 방지가 가능하지만 완벽하게 방지하는 못하는 듯 하고, 워드프레스에서 이용할 수 있는 훌륭한 스팸 방지 플러그인인 Akismet 등을 사용해보면 정상 사용자도 차단하는 부작용도 간혹 경험하게 됩니다. 이 플러그인이 이런 보안적인 요소를 어느 정도 차단해줄지 궁금하네요. Hide My WP는 사이트가 워드프레스로 제작되었다는 사실을 숨김으로써 잠재적인 보안 취약점으로부터 보호해 준다고 하니 보안이 염려되는 경우 고려해볼 수 있는 옵션 같습니다.

업데이트: 워드프레스 로그인 페이지 경로를 숨기는 방법은 보안에 큰 효과가 없다는 것이 최근의 결론 같습니다. 로그인 페이지 URL을 변경할 경우 오히려 사이트를 불안하게 만들 수도 있다고 합니다. Hide My WP를 사용하여 보안에 큰 도움이 될지에 대해서는 확실히 모르겠지만, 사이트가 워드프레스로 제작되었음을 숨기고 싶은 경우 이외에는 일반적으로 사용할 필요는 없는 것 같습니다.

참고


4개 댓글

  1. 안녕하세요. 좋은 정보를 알려주신 덕분에... 제가 찾고자 하는 플러그인을 찾았습니다. 하지만 ㅠ.ㅠ
    Built With에서는 워드프레스 및 각종 플러그인 등의 정보를 숨길 수가 없었습니다. 또한 워드프레스 4.6에서는TablePress와 충돌나지 않습니다만, 4.7에서는 충돌이 나서 아예 화면이 나오지 않습니다. Hide My WP 역시 최신의 워드프레스에 맞게 업데이트 되었습니다만, 마찬가지입니다. 혹시 이와 같은 기능이 있는 다른 플러그인이 있으면 조언 부탁 드립니다. 아... 참고로 Kboard는 이후에 추가를 했었는데요... 웹페이지 다 엉켜서 복원을 했어야 했습니다. 감사합니다.

    1. 안녕하세요?
      댓글 남겨주셔서 감사합니다. 우선은 Hide My WP에 문의하여 수정을 요청하는 것이 좋을 듯 합니다. (하지만 특정 플러그인에 대한 호환성에 대해 지원을 안 해 줄 수도 있을 것 같습니다.)

      이와 비슷한 기능의 플러그인으로 Swift Security - Hide WordPress(https://1.envato.market/vqZmL )라는 플러그인이 있습니다. 평가 자체는 Hide My WP보다 약간 좋은 듯 합니다. 먼저는 4.7과의 호환성 등에 대해 문의해보시면 어떨까 생각되네요.

      정보를 숨기려는 이유가 보안 때문인가요?
      이 블로그의 경우 회원 가입 기능을 없애고 로그인도 특정 IP에서만 가능하도록 하고, 이외에 여러가지 보안 관련 조치를 적용한 상태입니다. 물론 해커가 마음만 먹으면 해킹할 수 있겠지만... 해커가 이 사이트를 마음먹고 해킹할 이유는 없을 것 같고요. 일반적인 공격에 대해서는 어느 정도 안심할 수 있는 것 같습니다.

      1. 안녕하세요. 빠른 답변에 감사드립니다.
        알려주신 플러그인으로 테스트해보겠습니다. HIde My WP는 플러그인과 오류가 날 경우, 아예 페이지가 안 떠버려서요... 고객센터를 보니, 저와 비슷한 오류를 겪은 분들이 많더군요. 우리나라에서도 우리나라 환경에 맞게 워드프레스 플러그인이 많이 개발되면 좋겠습니다.

        정보를 숨기는 이유는 보안 때문이기도 합니다만,
        저희는 블로그 형식이 아니라... 업무 소개 및 공개하는 내용들이 있어, 비슷하게 따라할까봐 숨기는 것입니다^^ 숨기면, 또 누군가는 정보를 알 수 있게 웹사이트를 개발할 것이고... 계속 반복되는 것이지만, 안 하는 것보다는 나은 것 같아서... 담당자로서 일단 해두는 것입니다.

        항상 많은 도움 받고 있습니다.
        감사합니다.

Word에 답글 남기기 응답 취소

* 이메일 주소는 공개되지 않습니다.