워드프레스 보안 강화: 사이트를 안전하게 지키는 법

몇 달 전, 워드프레스로 운영 중이던 블로그에 이상한 현상이 생기기 시작했습니다. 관리자 계정으로 로그인했는데, 알 수 없는 플러그인이 설치되어 있고, 메인 페이지에 광고성 스팸 링크가 삽입되어 있었습니다. 바로 해킹이었습니다. 평소 백업도 잘 하지 않았고, 보안에 대한 지식도 거의 없던 터라 복구하는 데 정말 큰 시간을 들여야 했죠. 그 이후로 워드프레스 보안에 대해 본격적으로 공부하기 시작했고, 지금은 해킹 걱정 없이 안정적으로 사이트를 운영하고 있습니다. 이 글에서는 워드프레스를 안전하게 지키기 위해 꼭 알아야 할 보안 전략들을 공유하려고 합니다. 사이트를 처음 만드는 분들뿐 아니라 기존 사용자들에게도 꼭 필요한 내용이니 끝까지 읽어보시길 바랍니다.

워드프레스 보안의 중요성

워드프레스는 전 세계에서 가장 많이 사용되는 CMS입니다. 사용자가 많은 만큼, 해커들의 주요 타깃이 되기 쉽습니다. 실제로 2023년 한 해 동안 전 세계 워드프레스 사이트 중 약 40% 이상이 보안 위협에 노출되었다는 통계도 있습니다.

보안 위협의 유형

• 브루트포스 공격: 무작위로 비밀번호를 대입해 로그인 시도
• SQL 인젝션: 데이터베이스를 조작하는 악성 코드 삽입
• XSS(크로스사이트 스크립팅): 악성 스크립트를 통해 정보 탈취
• 파일 업로드 취약점: 백도어 코드 삽입
• 워드프레스 코어 및 플러그인의 보안 결함

1단계: 관리자 로그인 보안 강화

대부분의 워드프레스 해킹은 로그인 정보를 노린 공격에서 시작됩니다. 관리자 로그인 페이지를 보호하는 것만으로도 전체 보안 수준을 크게 높일 수 있습니다.

1. 아이디 및 비밀번호 강화

• 기본 아이디 'admin'은 반드시 변경
• 영문, 숫자, 특수문자를 조합한 비밀번호 사용
• 비밀번호는 주기적으로 변경

2. 로그인 페이지 URL 변경

워드프레스의 기본 로그인 주소는 /wp-login.php 또는 /wp-admin입니다. 이를 변경하면 해커의 자동 공격을 방지할 수 있습니다.

추천 플러그인: WPS Hide Login

3. 로그인 시도 제한

동일 IP에서 일정 횟수 이상 틀릴 경우 로그인을 차단하여 브루트포스 공격을 방지할 수 있습니다.

추천 플러그인: Limit Login Attempts Reloaded

4. 이중 인증(2FA) 적용

관리자 계정에 이중 인증을 설정하면, 비밀번호 외에 추가 인증을 요구하므로 보안이 훨씬 강력해집니다.

추천 플러그인: Google Authenticator, Two Factor

2단계: 워드프레스 및 플러그인 최신 상태 유지

구버전의 워드프레스 코어나 플러그인은 보안 취약점이 그대로 방치될 수 있습니다. 항상 최신 버전으로 유지하는 것이 기본적인 보안 수칙입니다.

업데이트 체크 방법

• 워드프레스 대시보드 → 업데이트 메뉴 확인
• 자동 업데이트 기능 활용
• 신뢰할 수 없는 플러그인은 설치하지 않기

보안성이 높은 플러그인 선택 팁

• 공식 워드프레스 저장소에서 다운로드
• 업데이트 이력과 최근 업데이트 날짜 확인
• 사용자 리뷰와 평점 검토

3단계: 보안 플러그인 설치

보안 플러그인은 워드프레스 사이트를 상시 모니터링하고, 해킹 시도를 사전에 탐지하거나 차단해주는 역할을 합니다.

추천 보안 플러그인

• Wordfence Security: 방화벽, 스캔, 로그인 보안 통합
• iThemes Security: 30개 이상의 보안 기능 제공
• Sucuri Security: 외부 해킹 방지와 파일 무결성 검사

기능별 확인 사항

• 웹 방화벽(WAF)
• 파일 변경 감지
• 실시간 트래픽 감시
• 스팸 차단
• IP 차단 및 블랙리스트

4단계: 정기적인 백업 설정

아무리 보안을 강화해도 100% 안전하다고 할 수는 없습니다. 예기치 못한 해킹이나 시스템 오류에 대비해 정기적으로 백업하는 것이 중요합니다.

백업 대상

• 데이터베이스
• 워드프레스 파일(테마, 플러그인, 업로드 이미지 포함)
• 설정 파일(wp-config.php, .htaccess 등)

백업 플러그인 추천

• UpdraftPlus: 클라우드 연동 가능, 자동 백업 설정
• BackWPup: 일정 예약 백업 가능
• VaultPress: Jetpack과 연동, 실시간 백업 지원

5단계: 서버 및 호스팅 보안 강화

웹사이트의 뿌리인 서버 자체가 취약하면 아무리 워드프레스 내에서 보안을 강화해도 소용이 없습니다. 서버 보안도 함께 고려해야 합니다.

호스팅 선택 시 확인할 사항

• 보안 인증서(SSL) 기본 제공 여부
• 자동 백업 시스템 운영 여부
• 방화벽 및 악성코드 차단 기능 유무
• 서버 접근 로그 제공 여부

필수 서버 보안 설정

• FTP 대신 SFTP 사용
• phpMyAdmin, SSH 접근 시 IP 제한 설정
• 파일 권한 적절히 설정(예: wp-config.php는 400 또는 440)

6단계: 파일 및 디렉토리 보호

워드프레스는 파일 구조가 예측 가능하므로, 공격자가 특정 파일이나 폴더에 접근하는 것을 차단해야 합니다.

권한 설정 가이드

• wp-config.php: 400 또는 440
• .htaccess: 644
• wp-content/uploads: 755

.htaccess를 이용한 보호

<Files wp-config.php>
Order Allow,Deny
Deny from all
</Files>

<FilesMatch "\.(htaccess|htpasswd|ini|log|conf)$">
Order Allow,Deny
Deny from all
</FilesMatch>
  

맺음말

워드프레스는 누구나 쉽게 웹사이트를 만들 수 있게 해주는 훌륭한 도구이지만, 그만큼 보안에 대한 책임도 사용자에게 있습니다. 보안 사고는 한 번만 당해도 돌이킬 수 없는 피해를 줄 수 있으므로, 예방이 최선의 방책입니다.

제가 실제로 겪었던 해킹 피해 이후 적용해온 보안 강화 전략들을 이 글에 모두 담았습니다. 지금은 다소 복잡해 보일 수 있지만, 단계별로 하나씩 점검하고 설정하다 보면 여러분의 워드프레스 사이트는 훨씬 더 안전해질 것입니다. 오늘부터 바로 점검을 시작해보세요. 보안은 준비된 자만이 지킬 수 있습니다.

워드프레스 보안 강화