처음 워드프레스로 홈페이지를 만들었을 때, 가장 간과했던 부분이 바로 '보안'이었습니다. 디자인이나 콘텐츠에만 신경 쓰다 보니, 어느 날 느닷없이 관리자 페이지에 접속이 되지 않았고, 확인해보니 악성 코드가 심어진 상태였습니다. 그때부터 저는 보안의 중요성을 절실히 느끼고 하나하나 설정을 바꿔가며 현재는 비교적 안정적인 홈페이지 운영을 이어가고 있습니다. 이 글에서는 제가 직접 경험하며 적용해 본 워드프레스 보안 강화 설정을 체계적으로 정리해드리겠습니다.
워드프레스 보안이 중요한 이유
워드프레스는 전 세계에서 가장 널리 사용되는 CMS(Content Management System)입니다. 사용자가 많다는 것은 곧 해커의 표적이 되기 쉽다는 뜻이기도 합니다. 실제로 워드프레스 기반 사이트는 다양한 취약점을 노린 공격에 노출되기 쉽습니다. 개인정보 유출, 관리자 권한 탈취, 악성 코드 삽입 등 심각한 보안 문제가 발생할 수 있으므로 사전 예방 조치가 필요합니다.
기본 보안 설정
관리자 아이디 변경
워드프레스를 처음 설치하면 기본 관리자 계정이 'admin'으로 설정되는 경우가 많습니다. 이는 해커가 가장 먼저 시도하는 계정명이기도 합니다. 설치 후 즉시 관리자 계정을 다른 이름으로 변경하고, 강력한 비밀번호를 설정하는 것이 중요합니다.
워드프레스 버전 최신 상태 유지
워드프레스는 보안 패치를 주기적으로 제공합니다. 테마와 플러그인도 마찬가지입니다. 항상 최신 버전으로 업데이트하여 알려진 취약점을 최대한 빨리 차단해야 합니다.
파일 권한 설정
워드프레스 파일의 권한을 적절히 설정하는 것도 중요합니다. 일반적으로 wp-config.php 파일은 440 또는 400으로, 디렉토리는 755, 파일은 644로 설정하는 것이 보안에 유리합니다.
로그인 보안 강화
이중 인증(2FA) 활성화
이중 인증은 관리자 로그인 시 비밀번호 외에 추가 인증 절차를 거치게 하는 기능입니다. Google Authenticator와 같은 앱을 통해 설정할 수 있으며, 관리자 계정 탈취 위험을 크게 줄일 수 있습니다.
로그인 시도 제한
무차별 대입 공격(Brute Force Attack)을 방지하기 위해 일정 횟수 이상 로그인 시도가 실패하면 IP를 차단하는 설정을 추천합니다. 'Limit Login Attempts Reloaded'와 같은 플러그인을 활용할 수 있습니다.
로그인 URL 변경
기본 로그인 URL인 /wp-login.php는 누구나 알고 있기 때문에, 이를 변경함으로써 불필요한 로그인 시도를 사전에 차단할 수 있습니다. 'WPS Hide Login' 플러그인을 통해 간단하게 설정 가능합니다.
보안 플러그인 활용
Wordfence Security
워드펜스는 방화벽, 악성 코드 스캔, 로그인 보안 등 종합적인 기능을 제공하는 플러그인입니다. 실시간 트래픽 모니터링과 알림 기능도 탁월하여 대부분의 보안 위협에 대응할 수 있습니다.
iThemes Security
이 플러그인은 30개 이상의 보안 기능을 제공하며, 특히 비정상적인 파일 변경 탐지, 데이터베이스 백업, 관리자 페이지 접근 제한 등에 강점을 가지고 있습니다.
All In One WP Security
초보자도 쉽게 접근할 수 있도록 인터페이스가 직관적으로 설계된 플러그인입니다. 각 보안 항목을 점수화하여 현재 보안 상태를 한눈에 파악할 수 있도록 도와줍니다.
백업 전략 구축
정기적인 자동 백업
사이트가 공격당하거나 오류로 인해 손상되었을 때 복구할 수 있도록 정기적인 백업이 필수입니다. 'UpdraftPlus'는 클라우드 저장소 연동이 가능하여 안정적인 백업을 지원합니다.
백업 파일 외부 저장
백업 파일을 동일한 서버에 저장하면 서버 전체가 해킹당했을 때 복구가 어려워집니다. 가능하면 구글 드라이브, Dropbox, AWS S3 등 외부 저장소를 활용하세요.
기타 고급 보안 설정
SSL 인증서 적용
HTTPS 프로토콜을 사용하면 데이터 전송 시 암호화가 적용되어 중간자 공격(Man-in-the-middle attack)을 방지할 수 있습니다. Let’s Encrypt를 통해 무료로 SSL 인증서를 설치할 수 있습니다.
디렉토리 검색 차단
디렉토리 인덱싱이 활성화되어 있으면 누군가 파일 목록을 쉽게 볼 수 있습니다. .htaccess 파일에 Options -Indexes를 추가하여 이를 차단할 수 있습니다.
XML-RPC 비활성화
XML-RPC 기능은 일부 API 호출에 필요하지만, 보안상 취약점으로 자주 활용됩니다. 별도의 사용 목적이 없다면 'Disable XML-RPC' 플러그인을 통해 비활성화하는 것이 좋습니다.
마무리하며
워드프레스는 사용자 친화적인 플랫폼이지만, 기본적인 보안 설정만으로는 외부 공격을 완전히 방어할 수 없습니다. 저는 수차례의 시행착오를 거쳐 위와 같은 보안 조치를 단계적으로 적용했고, 현재는 보안 문제 없이 홈페이지를 안정적으로 운영 중입니다. 지금이라도 늦지 않았습니다. 위의 내용을 하나씩 점검하고 적용한다면 여러분의 워드프레스 사이트도 훨씬 안전해질 수 있습니다.
'워드프레스' 카테고리의 다른 글
| 워드프레스 홈페이지에서 멀티 언어 설정하는 법 (2) | 2025.04.23 |
|---|---|
| 워드프레스 쇼핑몰 구축하기 | 우커머스 사용법 (1) | 2025.04.22 |
| 워드프레스 네이버페이 결제 연동 하는 방법 총정리 (1) | 2025.04.20 |
| 애드센스 승인 받기 위한 워드프레스 최적화 팁 (2) | 2025.04.19 |
| 워드프레스 사이트에 애드센스 광고 삽입하는 방법: 초보자 가이드 (2) | 2025.04.18 |