워드프레스를 이용하여 홈페이지를 제작하시는 분들을 위해 워드프레스 홈페이지 보안을 강화하는 8가지 방법을 공유해 드립니다. 아직 망보드 설치가 되어 있지 않으신 분들은 아래 주소의 망보드 플러그인 설치방법을 참고하셔서 망보드를 설치해 주세요.
1. 관리자 아이디 및 비밀번호 변경
워드프레스 홈페이지는 관리자 로그인 주소가 고정되어 있기 때문에 워드프레스로 만든 홈페이지를 검색엔진에 등록할 경우 다수의 해커로부터 "무차별 관리자 암호 대입 공격"에 쉽게 노출될 수 있습니다. 무차별 관리자 암호 대입 공격은 홈페이지 로그인 주소(https://홈페이지/wp-login.php)에 관리자 아이디(admin) 및 비밀번호(1234,password)를 계속 변경해 가면서 1시간에 수백~수천번씩 로그인을 시도하는 형태의 공격을 말하는데 가장 빈번하게 이뤄지는 해킹 공격입니다. 저희가 약 8년동안 해킹된 워드프레스 사이트를 분석해보면 거의 90% 이상이 "무차별 관리자 암호 대입 공격"에 의해 관리자 아이디와 비밀번호가 노출 된 경우였습니다. 관리자 아이디를 "admin" 으로 설정하거나 워드프레스 사용자명과 별명을 동일하게 설정해서 사용할 경우 관리자 아이디를 쉽게 확인할 수 있는데 관리자 아이디가 노출되면 비밀번호를 계속 변경해 가면서 계속 로그인을 시도하여 비밀번호가 노출되는 문제가 발생할 수 있습니다.
보안팁1: 관리자 아이디가 admin으로 설정되어 있거나 사용자명과 별명이 동일할 경우 관리자 아이디 변경하기
보안팁2: 비밀번호에 영문자, 숫자, 대문자, 특수기호를 조합하여 복잡한 비밀번호 사용하기
2. 관리자 로그인 주소와 사용자 로그인 주소 분리 규모가 있는 웹사이트를 워드프레스로 제작할 경우 별도의 보안성 검토를 받아야 하는 경우가 많은데 보안 요구사항에 관리자 로그인 주소와 사용자 로그인 주소를 완전히 분리해서 구현해야 하는 경우가 있습니다.
- 워드프레스 관리자 > MangBoard > 옵션설정 페이지에서 회원모드는 "MB-USER", 회원 폼 모드는 "MB-FORM"으로 설정
회원 모드 설정 1) WP-USER 워드프레스 회원 관리 시스템의 기능을 그대로 망보드 회원 관리 기능에 적용해서 사용합니다 워드프레스 로그인, 망보드 로그인 중 어느 것으로 로그인을 해도 워드프레스, 망보드 로그인 세션을 모두 생성합니다. 망보드 회원가입 기능 이용시 워드프레스, 망보드 2개 회원 시스템에 모두 가입이 됩니다. 2) MB-USER 망보드 회원 기능을 워드프레스 회원 기능에서 분리하여 보다 많은 회원을 보다 쉽고 빠르게 관리할 수 있습니다. 망보드 로그인 기능 이용시 망보드 로그인 세션만 생성되고, 워드프레스 로그인 기능 이용시 워드프레스, 망보드 로그인 세션이 모두 생성됩니다. 망보드 회원가입 기능 이용시 망보드 회원 가입 시스템에만 등록이 되며, 워드프레스 회원가입 기능 이용시 워드프레스,망보드 회원 시스템에 모두 가입이 됩니다.
회원 폼 모드 설정 1) WP-FORM 테마에 회원 관련 버튼 및 URL을 워드프레스에서 제공하는 로그인, 회원가입, 비밀번호 찾기 페이지로 연결합니다. 2) MB-FORM
테마에 회원 관련 버튼 및 URL을 망보드에서 제공하는 로그인, 회원가입, 비밀번호 찾기 페이지로 연결합니다.
- 워드프레스 관리자 > 설정 > 일반 페이지에서 "누구나 가입할 수 있습니다" 항목의 체크박스를 해제하여 워드프레스 회원가입 기능 비활성화 (워드프레스에서 제공하는 회원가입 페이지에서 회원가입이 불가해지고 망보드 회원가입 페이지를 통해서만 회원가입이 가능)
3. 관리자 로그인 주소 변경하기
워드프레스 홈페이지는 관리자 로그인 주소가 고정되어 있고 널리 알려져 있기 때문에 홈페이지 도메인이 검색엔진을 통해 노출될 경우 "무차별 관리자 암호 대입 공격"을 받을 수 있습니다. 이러한 문제를 해결하기 위해 "WPS Hide Login 플러그인"을 설치해서 관리자 로그인 주소를 변경해 주시면 됩니다.
- WPS Hide Login 플러그인 설치 후 워드프레스 관리자 > 설정 > WPS Hide Login > 로그인 url 항목에서 관리자 로그인 주소 변경
4. 특정 IP 주소만 관리자 페이지 접속이 가능하도록 설정하기 관리자 로그인 주소만 변경해줘도 보안 위협이 크게 감소하긴 하지만 특정 IP 주소만 관리자 페이지에 접속하도록 설정해 주시면 한단계 더 높게 보안을 설정하실 수 있습니다. - 관리자 보안 플러그인 설치 후 워드프레스 관리자 > MangBoard > 옵션설정 페이지에서 "관리자 접속 IP" 항목에 관리자 페이지 접속을 허용할 IP 주소 입력
5. 반복적으로 로그인 실패시 로그인 제한하기 반복적인 로그인 실패는 계정 정보를 탈취하기 위한 시도일 가능성이 높습니다. 로그인 횟수를 제한하는 보안기능은 공격자가 무작위로 비밀번호를 대입하여 로그인을 시도하는 공격을 어렵게 만들어 사용자 계정을 보호할 수 있습니다. 망보드 스토어에서 무료로 제공하는 "관리자 보안 플러그인"을 설치하시면 1시간 동안 10회 이상 로그인에 실패할 경우 1시간 동안 로그인을 제한하는 보안기능이 자동으로 설정됩니다.
6. 보안 플러그인 설치
워드프레스는 다양한 보안 플러그인을 무료로 설치해서 사용할 수 있는데 필요에 따라 보안 플러그인을 1개 정도 설치해서 사용하시면 보안 기능을 크게 향상시킬 수 있습니다.
(방화벽 보호, 맬웨어 검사, 로그인 보안)
(방화벽 보호, 스팸차단, 로그인 보안, DDOS 공격 방지)
(방화벽 보호, 로그인 보안, 보안 알림, 모니터링)
7. REST API 접근 차단 및 XMLRPC 기능 비활성화
워드프레스에서 제공하는 REST API 및 XMLRPC 기능은 취약점으로 이용될 가능성이 높기 때문에 반드시 필요한 경우가 아니라면 비활성화해서 보안위협을 제거해 주는게 좋습니다. 망보드 스토어에서 무료로 제공하는 "관리자 보안 플러그인"을 설치하시면 자동으로 2개의 기능이 비활성화됩니다. (Bluehost 호스팅과 같이 XMLRPC 기능을 이용하여 관리자 기능을 제공하는 호스팅에서는 사용 불가)
8. 보안인증서 설치 및 HTTPS로 리다이렉트 설정하기
정보통신망법 개정에 따라 회원가입을 받는 홈페이지 또는 쇼핑몰의 경우 의무적으로 보안인증서를 설치하고 보안접속을 통해 개인정보를 암호화해서 전송해야 합니다. 보안인증서를 설치 하신 후 홈페이지 주소를 반드시 https로 시작하도록 설정해 주셔야 하며 로그인 및 회원가입 페이지의 경우 반드시 보안접속(HTTPS)이 되도록 설정해 주셔야 하는데 망보드 스토어에서 무료로 제공하는 "HTTPS 리다이렉트 플러그인"을 설치해 주시면 브라우저에서 일반접속(HTTP)으로 접속한 사용자를 자동으로 보안접속(HTTPS)으로 전환해 주는 보안기능이 자동으로 설정됩니다.
- 보안인증서 설치 후 "워드프레스 관리자 > 설정 > 일반" 페이지에서 워드프레스 주소와 사이트 주소를 https로 시작하도록 설정 |
Hometory
