일 평균 3만개의 사이트가 새롭게 해킹의 대상이 된다고 합니다. 워드프레스 사이트는 플러그인의 취약성, 약한암호 그리고 쓸모없는 플러그인 때문에 공격의 쉬운 표적이 될 수 있다고 말합니다.
워드프레스는 개발 코드와 소스를 모든 개발자에게 개방한 오픈소스 입니다. 참여, 개방, 공유 라는 웹2.0의 정신에 입각한 홈페이지 개발 툴 입니다.
언론이나 많은 사람들이 오픈소스인 워드프레스가 보안이 문제가 있다고 이야기합니다.
오픈소스는 모든 종류의 악의적 공격에 쉽게 노출됩니다. 하지만 그 이유만으로 해킹이 된다는 것은 사실이 아닙니다. 모든 악의적 공격에 버틸 수 있는 웹사이트는 얼마 되지 않으며. 해킹된 사이트의 대부분은 사용자의 잘못된 습관에 그 원인이 있는 경우가 많습니다
따라서 워드프레스 홈페이지 보안을 위한 10가지 보안 설정 노하우를 공유합니다.
1. 홈페이지 잠금 설정 및 사용자 차단 기능을 설정 합니다.
워드프레스의 로그인 방식은 도메인 뒤에 /wp-admin 혹은 /wp-login.php를 사용하게 됩니다.
이런 특성이 있기 때문에 무차별 공격이 자주 사용되는 경로로 로그인 액세스를 활용되게 됩니다.
이런 경우를 대비하기 위해서는 자동으로 공격자의 IP 주소에 대해 로그인 실패 횟수를 지정하고 공격자의 IP 주소를 차단할 수 있는 플러그인을 사용하면 됩니다.
2. 로그인 URL 이름 바꾸기
워드프레스 로그인 경로는 /wp-admin /wp-login.php 경로를 기본적으로 사용합니다.
해커가 로그인 경로를 할 경우에는, 쉬운 공격 경로가 되어 아이디 및 패스워드의 조합을 통해 데이터베이스에 침투를 시도하게 됩니다. 따라서 로그인 경로명만 /wp-celeblogin 등과 같이 손쉽게 바꾸어 주면 워드프레스 무차별 공격의 99%를 막을 수 있다고 합니다.
워드프레스 로그인 경로를 바꾸는 플러그인으로 iThemes Security 플러그인을 소개 합니다. 이 플러그인은 워드프레스 로그인 경로만 바꿔주는 플러그인은 아닙니다. 약 30개 이상의 보안 솔루션을 제공하는 보안의 필수 플러그인입니다. 플러그인의 자세한 내용을 알고 싶으시면 해당 이미지를 클릭하시면 자세한 내용을 확인 할 수 있습니다.
3. 파일시스템 보호
워드프레스를 좀 다뤄보신 분들은 아시겠지만 wp-admin 디렉터리는 워드프레스 홈페이지의 핵심 영역입니다. 이 부분이 해킹 당하는 경우가 빈번하다고 합니다. 따라서 wp-admin 디렉터리를 암호로 보호한다면 더욱더 안전한 사이트가 됩니다.
자동 백업을 통해 데이터베이스를 보호하고 안전하지 않은 권한 설정이 있는 파일 또는 폴더를 식별하는 기능 및 워드프레스 관리 영역에서 파일 편집을 비활성화하여 PHP 코드를 보호할 수 있습니다.
방화벽 형태로 다른 코드보다 먼저 웹 서버에서 처리하기 위해. htaccess 파일을 통해 방화벽 보호 기능을 쉽게 추가할 수도 있습니다. 이를 통해 핵심 코드에 전달되기 전에 악성 스크립트를 차단할 수 있습니다.
4. 아이디 강화
관리자 이름을 admin으로 선택하는 경우가 많습니다. 이렇게 추측하기 쉬운 계정에 명은 쉽게 해커들의 공격 무기가 되기도 합니다. 위에 언급한 iThemes Security 플러그인은 admin 으로 접근하는 악의적 시도를 파악하여 IP를 차단하는 기능을 가지고 있습니다.
아이디를 admin이 아닌 다른 것으로 바꾸는 것도 보안에 도움이됩니다.
5. 2단계 인증 사용
로그인 페이지에서 2 단계 인증을 도입하는 것도 도움이 됩니다. Captcha 로그인을 활성화하십시오
Captcha 기능을 찾기 힘들다면 Really Simple CAPCHA 플러그인이 있습니다. (별도 어드민 패널 없음. 설치시 자동 실행)
6. 파일 편집 금지 기능 부여
일부 사용자가 워드프레스 대시보드를 통해 워드프레스 테마 및 플러그인의 모든 파일을 수정할 수 있습니다. 파일 편집 금지 기능을 부여한다면 해커가 아무리 관리자 액세스를 하더라도 파일을 수정할 수 있고 비 담당자의 불필요한 휴먼 에러를 줄일 수 있습니다.
사이트의 구축이 완료된 뒤 아래와 같이 파일 편집 권한을 금지하면 좋습니다.
파일 편집 권한은 간단합니다. wp-config.php 파일 맨 아래에 다음의 명령어를 추가하면 됩니다.
define(‘DISALLOW_FILE_EDIT’, true);
7. SSL 사용
SSL (Secure Socket Layer) 인증서를 구현하여 사용자 브라우저와 서버 간에 안전한 데이터 전송을 보장하는 것이 좋습니다. SSL 인증서는 Goolge 웹사이트 순위에 영양을 미친다고 합니다. SSL 이 없는 사이트 보다 SSL이 높은 사이트를 높은 순위로 지정한다고 합니다.
8. 혹시 워드프레스 버전을 노출하고 계시나요?
워드프레스 사이트 구축 후 여러 사유로 최신 버전으로 업데이트를 못하는 경우가 있습니다.
해커들은 워드프레스 버전에 따른 공격 유형을 가지고 있고 낮은 버전인 경우에는 쉽게 해킹의 대상이 되곤 합니다. 위에 언급한 웬만한 보안 플러그인에서는 워드프레스 버전을 숨길 수 있는 옵션이 있습니다.
9. 정기적인 업데이트
위에 언급 한 경우처럼 워드프레스 테마와 플러그인을 최신 버전으로 업데이트하는 것이 최선의 방법이 됩니다. 테마 및 플러그인 업데이트를 통해 기존 사이트 스타일이 문제가 되는 경우가 있으므로 반드시 차일드 테마를 설치하여 테마 업데이트에 신경 써야 합니다.
10. 지속적이고 꾸준한 모니터링
대부분의 보안 관련 플러그인은 사이트에 손상을 주는 비 정상적인 시도에 대해 모니터링을 합니다. 다양한 경고들이 운영자에게 전달되지만 대부분은 이를 무시하거나 인지하지 못하고 있습니다. 따라서 아무리 좋은 보안플러그인을 설치 한다고 하더라도 지속적인 모니터링이 없다면 아무 소용 없습니다.
누군가 악의적으로 우리 사이트를 해킹하려고 맘 먹는다면 이를 사전에 막을 수는 없습니다. 하지만 그들의 시도가 감지되었다면 우리가 이를 방어하는 일은 어렵지 않습니다.