워드프레스에는 보안을 강화하는 데 도움이 되는 여러 가지 보안 플러그인이 있습니다. iThemes Security는 Wordfence보다 사이트 속도에 덜 영향을 미치는 것 같아 이 블로그에 한 동안 사용되었습니다. 이 글에서는 iThemes Security 플러그인의 고급 기능에 대해 살펴보겠습니다.
iThemes Security 플러그인의 고급 기능
iThemes Security는 종합적인 보안 기능을 제공하는 보안 플러그인 중 하나로 현재 1백만 개 이상 사이트에 설치되어 사용되고 있습니다. 종합적인 보안 기능을 제공하기 때문에 사이트 속도에 부정적인 영향을 미칠 수 있습니다. 이 플러그인을 사용하는 경우 설치 전후의 속도를 체크해보시기 바랍니다.
이 워드프레스 플러그인을 설치하여 활성화하면 워드프레스 관리자 페이지 > Security > Settings에서 상세한 설정을 할 수 있습니다. iThemes Security의 일반적인 기능 설정은 "워드프레스 보안 플러그인 iThemes Security"를 참고해보시기 바랍니다.
Advanced 탭
워드프레스 관리자 페이지 > Security > Settings에서 상단의 Advanced (고급) 탭을 누르면 몇 가지 추가적인 기능을 이용할 수 있습니다.
여기에서 제공하는 기능 중 일부는 시스템을 불안정하게 할 수 있으므로 적용하려는 경우 반드시 백업을 받아놓는 것이 안전할 것 같습니다.
Admin User (관리자 사용자)
이 기능을 사용하여 사용자 이름이 "admin"이나 사용자 ID가 "1"인 사용자를 제거하여 보안을 강화할 수 있습니다.
관리자 이름으로 "admin" 또는 사이트의 도메인 이름(예: example.com 사이트에서 example을 관리자 이름으로 사용하는 경우)으로 사용하면 보안상 좋지 않습니다. "admin" 등 일부 사용자 이름으로 해킹 시도가 빈번하게 발생합니다.
User ID가 1인 사용자가 있을 경우 Change the ID of the user with ID 1을 체크하여 사용자 ID를 변경할 수 있습니다.
이 툴을 사용하여 변경할 경우 일부 플러그인이나 테마 또는 커스텀 사항과 호환되지 않는 문제가 발생하므로 이 툴을 사용하기 전에 DB 백업을 할 것을 안내하는 경고가 표시됩니다.
Change Content Directory (콘텐츠 디렉터리 변경)
wp-content 디렉터리의 위치를 다른 이름을 사용하도록 변경합니다.
기본적으로 워드프레스에서는 플러그인, 테마 및 업로드 파일들을 wp-content 디렉터리 아래에 보관합니다. 예전의 덜 지능적인 봇은 보안에 문제가 있는 파일(취약한 파일)을 찾기 위해 이 디렉터리를 이용하지만, 요즘 나오는 봇들은 이 폴더를 프로그램적으로 찾을 수 있을 정도로 진화되었다고 합니다. 그러므로 콘텐츠 디렉터리를 변경하는 것은 더 이상 보안적인 측면에서 권장되지 않습니다.
만약 사이트가 워드프레스로 만들어졌다는 것을 밝히고 싶지 않은 경우 이 플러그인을 사용하여 콘텐츠 디렉터리를 변경하는 고려해볼 수 있겠지만 이 경로를 변경하면 일부 플러그인, 테마 또는 사이트 콘텐츠 기능이 제대로 작동하지 않을 수도 있습니다.
wp-content의 디렉터리 이름을 다른 이름으로 변경한 후에 문제가 발생하면 undo 기능을 사용하여 변경을 취소할 수 있습니다. undo 기능은 이 기능을 위하여 wp-config.php 파일에 추가된 변경 사항이 수정되지 않은 경우에만 사용할 수 있습니다.
※사이트가 워드프레스로 만들어졌다는 사실을 알지 못하도록 하는 플러그인이 있습니다. 하지만 이런 플러그인을 사용할 경우 시스템이 불안해질 수 있다고 하니 꼭 필요한 경우가 아니라면 (예를 들어, 고객이 강력히 주장하는 경우) 그다지 바람직하지 않은 것 같습니다.
주의사항: iThemes 플러그인을 비활성화하거나 제거하더라도 이 기능에 의한 변경 사항은 되돌아가지 않습니다.
주의사항: Content Directory를 변경하기 전에 데이터베이스 백업을 하도록 하십시오.
경고: 이미지와 이미지를 참조하는 기타 콘텐츠가 있는 사이트에서 Content Directory의 이름을 변경하면 사이트가 깨지게 됩니다. 이 때문에 새로 워드프레스를 설치한 사이트에서 Content Directory를 변경하는 것이 좋습니다.
Change Database Table Prefix (데이터베이스 테이블 프리픽스 변경)
기본적으로 워드프레스는 데이터베이스 내의 모든 테이블에 wp_ 프리픽스를 할당합니다. 워드프레스 DB 테이블 프리픽스를 바꾸면 보안이 강화되는 것으로 여겨졌지만, 실질적인 도움이 되지 않는다고 합니다.
참고: 이 툴을 사용하려면 일부 호스팅 업체에서 처리할 수 있는 것보다 더 많은 시스템 메모리가 요구될 수 있습니다. 그러므로 반드시 DB 백업을 확실히 하시기 바랍니다. 그렇지 않으면 DB가 손상될 경우 복구하기가 쉽지 않을 수 있습니다.
Hide Backend (백엔드 숨기기)
로그인 페이지의 이름을 변경하여 로그인 페이지를 숨기고 wp-login.php 및 wp-admin 주소에 접근하지 못하도록 합니다.
로그인 페이지 (wp-login.php, wp-admin, admin 및 login)을 숨겨서 자동화된 공격(봇에 의한 공격) 시 로그인 페이지를 찾는 것을 어렵게 만들고 워드프레스 플랫폼에 익숙하지 않은 사용자들이 보다 쉽게 로그인 페이지에 접근할 수 있도록 하려는 경우 이 방법을 이용할 수 있습니다.
만약 변경한 로그인 페이지 주소를 기억하지 못하는 경우에는 ftp에 접속하여 iThemes Security 폴더를 삭제할 수 있습니다. 하지만 다시 설치하여 활성화할 경우 동일한 현상이 발생할 것 같습니다. 관리자 주소를 변경하려는 경우 기억하기 쉬운 주소로 변경하는 것이 이런 문제를 예방할 수 있을 것입니다.
참고로 6.3.0 이전 버전에서는 Hide Backend 기능을 사용하면 wp-config.php 파일에 관련 코드를 추가했지만, 6.3.0 버전에서 Hide Backend 기능이 완전히 새롭게 작성되어 웹서버 구성 파일에 아무 것도 추가하지 않고 완전히 PHP 코드로 구현된다고 합니다.
마치며
이상으로 iThemes Security의 Advanced 탭에서 제공하는 기능에 대해 살펴보았습니다. 고급 탭의 기능을 사용하려는 경우에는 데이터베이스 백업을 받아놓는 것이 안전합니다.
iThemes Security는 무료 버전에서도 다양한 보안 기능을 제공합니다. 2단계 인증, 멀웨어 스캔 예약, 패스워드 없이 로그인 (Passwordless Login) 등 추가 기능을 사용하려는 경우 iThemes Security PRO 버전을 이용할 수 있습니다.
좋은 정보 감사합니다!
고급(?) 보안 기능이기 때문에 일반적인 상황에서는 이용할 필요가 없을 것 같습니다.