워드프레스 로그인 페이지를 숨기는 것이 보안에 효과가 있을까?

워드프레스 기본 로그인 페이지를 숨기는 것이 보안에 효과가 있을까?

초기 워드프레스 보안 플러그인에는 워드프레스 기본 로그인 페이지를 숨기거나 데이터베이스 테이블 프리픽스를 변경하는 등과 같은 '불분명함을 통한 보안(Security through Obscurity, 은둔 보안)' 기능을 탑재하여 해커로부터 데이터를 숨기려고 시도했습니다.

하지만 이러한 방식은 해커와 데이터 사이트에 '장벽'을 제공하지 않고 사실상 별 보호 효과가 없다고 합니다.

워드프레스 로그인 페이지를 숨김으로써 얻은 효과보다는 오히려 부작용이 많다고 하네요. 가령 워드프레스 기본 로그인 페이지를 숨기면 사이트가 불안정해지고 커스터마이징된 테마가 깨질 수 있다고 합니다.

보안 문제는 보안에 취약한 플러그인이나 테마를 사용하거나 워드프레스를 업데이트하지 않아서 발생하는 경우가 많습니다.

무차별 대입 공격(brute force attack) 같은 보안 위협으로부터 보호하려면 Wordfence Security 같은 보안 플러그인을 설치하면 보안 플러그인에서 알아서 막아주기 때문에 보안 플러그인을 활용해보는 것도 좋을 것 같습니다.

• 워드프레스 베스트 보안 플러그인

그리고 강력한 비밀번호를 사용하고, admin 같이 추측하기 쉬운 아이디를 사용해서는 안 됩니다. Wordfence Premium 같은 유료 보안 플러그인을 사용하면 IP 블랙리스트를 통해 악의적인 공격자를 자동으로 막아주고 2단계 인증(2-factor authentication) 등 고급 기능을 제공한다고 하네요. 보안이 정말로 중요한 경우에는 고려해볼 수 있을 것 같습니다.

이 주제를 Ask Wordfence Ep 3: Should you hide your WordPress login page?(Wordfence에게 물어보기 에피소드 3: 워드프레스 로그인 페이지를 숨겨야 하나?)라는 동영상에서 다루고 있습니다. 다음 동영상을 참고해보시기 바랍니다.

동영상 나레이션이 영어입니다. 자막(Caption) 기능을 켜면 자동으로 생성된 영문 자막을 볼 수 있습니다. 대략적인 의미를 파악할 수 있을 것입니다.

저는 워드프레스 코어, 테마, 플러그인을 항상 최신 버전으로 업데이트하고, 보안을 위해 보안 플러그인을 하나 설치했습니다. 보안 플러그인이 무거운 편이라서 사이트 속도를 위해서는 설치하지 않은 것이 좋을 수도 있지만 보안이 더 중요한 것 같아서 일부러 설치하여 사용하고 있습니다. (해킹은 밤에 주로 일어나므로 밤에만 활성화하라고 하는 분도 계시더군요.)

참고:

• 워드프레스 보안 강화를 위한 기본적인 세 가지 방법