iThemes의 Hide Backend 기능을 사용하여 워드프레스 로그인 페이지 숨기기
고객의 요청에 의해 워드프레스 로그인 페이지의 경로를 변경하고 싶은 경우가 있을 수 있습니다. 이 경우에 보안 플러그인 중 하나인 iThemes Security의 Hide Backend 기능을 사용할 수 있습니다.
이 글이 작성된 후에 iThemes Security 플러그인의 인터페이스가 크게 바뀌었습니다. 새로운 인터페이스는 "워드프레스 보안 플러그인 iThemes Security"을 참고해보세요.
※ iThemes Security 플러그인의 이름이 "Solid Security"로 바뀌었습니다.
워드프레스 로그인 페이지 숨기기
iThemes Security가 설치되어 있다면 워드프레스 관리자 페이지에서 Security > Settings로 이동한 후에 Advanced 탭을 누르면 Hide Backend 옵션을 찾을 수 있습니다.
Hide Backend 기능을 사용하여 로그인 페이지 URL을 변경하여 wp-login.php와 wp-admin에 접근하지 못하도록 설정할 수 있습니다.
새 인터페이스에는 Security > Advanced > Hide Backed 탭에서 백엔드 숨기기(로그인 페이지 숨기기) 옵션을 활성화/비활성화할 수 있습니다.
Configure Settings(설정 구성)를 클릭합니다.
자동화된 공격(봇에 의한 해킹 공격) 시도 시 로그인 페이지를 쉽지 찾지 못하도록 만들고 워드프레스 플랫폼에 익숙하지 않은 사용자들이 쉽게 사용할 수 있도록 로그인 페이지(wp-login.php, wp-admin, admin 및 login)을 숨긴다고 설명되어 있네요. 이 부분에 대해서는 아래의 "워드프레스 로그인 페이지 주소/관리자 로그인 페이지 주소를 숨기는 것이 효과가 있을까?"에서 별도로 설명했으므로 참고해보시기 바랍니다.
Hide Backend 옆에 있는 Enable the hide backend feature(백엔드 숨기기 기능 사용)를 체크하면 Login Slug(로그인 슬러그) 등의 옵션이 표시됩니다.
Login Slug에 로그인 주소로 사용할 슬러그를 지정합니다. 예를 들어, wplogin을 입력하면 로그인 URL은 www.example.com/wplogin이 됩니다.
Enable Redirection을 클릭하면 비로그인 사용자가 wp-admin에 접속을 시도할 경우에 403 (forbidden) 오류를 표시하는 대신 지정된 경로로 이동합니다.
워드프레스 로그인 페이지 주소/관리자 로그인 페이지 주소를 숨기는 것이 효과가 있을까?
초기 워드프레스 보안 플러그인에는 워드프레스 기본 로그인 페이지/관리자 로그인 페이지를 숨기거나 DB 테이블 프리픽스를 변경하는 등과 같은 ‘불분명함을 통한 보안(Security through Obscurity, 은둔 보안)’ 기능을 제공하여 해커로부터 데이터를 숨기려고 시도했습니다.
하지만 이러한 방식(로그인 페이지 URL 숨기기, DB 테이블 프리픽스 변경)은 해커와 데이터 사이트에 ‘장벽’을 제공하지 않고 사실상 별 보호 효과가 없다고 합니다.
오히려 로그인 페이지 URL을 변경하면 사이트가 불안정해지는 등 문제가 발생할 수 있습니다. 예를 들어, 다국어 번역 플러그인 WPML 같은 플러그인의 특정 기능에서 문제가 발생하기도 합니다.
그리고 로그인 페이지 URL을 변경한 후에 변경한 URL을 기억하지 못해서 로그인을 못하는 사용자들이 드물지만 간혹 있습니다.
그러므로 꼭 필요한 경우(예: 고객의 강력한 요청)가 아니라면 워드프레스 로그인 페이지 주소/관리자 로그인 페이지 주소를 변경하는 것은 그리 좋은 생각이 아닙니다.
워드프레스는 보안에 강하지만 업데이트를 소홀히 하거나 너무 쉬운 비밀번호를 사용하는 등 잘못된 보안 관행으로 인해 보안에 취약해질 수 있습니다. 강한 비밀번호를 사용하고 보안 플러그인을 설치하고 백업을 정기적으로 실시하는 등의 조치를 통해 보안을 강화할 수 있습니다. 보안 문제로 인해 멀웨어/악성코드에 감염되거나 해킹을 당해 어려움을 겪는 경우 여기에서 서비스(유료)를 의뢰하실 수 있습니다.
