2024 워드프레스 보안 팁 : 공격에서 웹사이트를 보호하세요.
워드프레스는 분명 세계적인 기업으로, SEO 작업을 수행하기 위한 콘텐츠 발행 툴 중 가장 인기가 있습니다. 빠르고 쉬운 UI, 피드백, AI 활용까지 콘텐츠 발행을 위한 툴로 그 무엇보다 유용하죠.
하지만 이에 대해 부정적으로 생각하는 사람들도 있습니다. 잦은 플러그인 오류, 연결 오류, 그리고 보안이죠. 연동이나 플러그인 오류 등은 다른 툴에서도 종종 일어나는 현상이지만, 보호와 관련한 목소리가 특히 높습니다. 오늘은 워드 프레스 보안 이슈에 대한 내용과 보호를 위한 방법에 대해 알아보도록 하겠습니다.
워드프레스의 보안
워드프레서는 웹사이트와 민감한 사용자 정보를 가지기 위해 끊임없이 시도하고 있습니다. 그 결과, 전례 없는 사이버 공격이 발생하고 있습니다.
워드펜스(Word Fence)는 워드프레스 보호 플러그인 중 하나입니다. 2023년 1,000억 건 이상의 패스워드 공격을 차단했고, 추가로 매일 3만개의 웹사이트가 새로 해킹당하고 있다고 합니다. 이는 중소, 소규모를 떠나 모든 규모의 비즈니스에 큰 영향을 미치는 문제입니다. 랜섬웨어 공격이 많을수록, 대기업을 표적으로 삼긴 하지만 대기업은 자신을 지킬 힘이 있습니다. 하지만 중소기업과 소기업은 그럴 만한 지식과 여력이 부족하죠.
실제로 온라인 공격의 43%가 대기업보단 중소기업을 노리고 있으며 더 심각한 것은 이들 기업 중 단 14%만이 스스로를 보호할 여력이 있다는 것입니다. 특히, 직접적으로 관리하지 않으면 SEO를 떠나 기업 자체에 큰 타격을 입을 수 있는 만큼, 아래 내용을 따라 웹사이트/블로그를 관리해보세요.
나의 웹사이트를 지키는 11가지 팁
SSL 인증서 구현
SSL(보안 소켓)은 하나의 웹 인증서로, 호스트와 클라이언트(웹 서버와 웹 브라우저)사이에 암호화된 연결을 설정할 수 있는 표준 기술입니다. 이 인증서는 둘 사이에 전달되는 모든 데이터가 비공개적으로 전송될 수 있도록 보호합니다. SSL 인증서는 수많은 웹사이트에서 사용하는 업계 표준 인증서이며, 우선은 본 인증서를 획득하는 것이 첫 시작입니다.
비밀번호 변경과 사용
패스워드에 대한 의식 수준이 최근 높아지고 있습니다. 당연한 말이지만, 익숙하거나 기억하기 쉬운 패스워드 사용은 지양하는 것이 좋습니다. 다른 웹사이트에서 사용 중이거나 이름이나 개인정보가 포함되는 비밀번호도 피하는 것이 좋죠. 우선 모든 로그인에 강력한 패스워드를 설정하고, 자주 변경하는 것을 권장드립니다. 이것이 강력할수록 사이버 공격의 피해자가 될 가능성은 급격히 줄어듭니다.
요즈음엔 구글 검색에 ‘패스워드 강도 검사기’ 등의 툴이 즐비해 있는 만큼, 무료 도구를 사용하여 강화하는 것도 하나의 방법입니다.
보안 플러그인
워드 프레스 내에는 보호를 위한 플러그인도 존재합니다. 이 플러그인으로 웹사이트에 추가적인 보호층을 설치할 수도 있죠. 여기 몇가지를 추천드립니다.
- 워드팬스 보안(Word Fence) – 방화벽 및 멀웨이 스캔
- 올인원(All In One) – WP 보안 및 방화벽 설치
- MalCare 워드 프레스 보호
핵심 파일 업데이트
현재 웹에는 현재 총 10억 9천만개의 사이트가 존재한다고 합니다. 그리고 그 중 8억개 이상의 사이트가 워드프레스를 사용하고 있습니다. 이러한 인기로 워드 프레스는 항상 해킹의 표적이 되는 경우가 많습니다.
사이트의 보안과 안정성을 위해 워드 프레스를 항상 최신 상태로 유지하는 것을 권장드립니다. 수억의 사용자가 있는 만큼, 취약점이 보고될 때마다 워드프레스팀은 업데이트를 배포하기 때문입니다. 오래된 버전의 워드 프레스를 사용하지 말고, 자동 업데이트를 설정하는 것을 추천드립니다. 또는 자동 업데이트 기능이 내장된 관리형 워드 프레스 솔루션을 고려하는 것도 하나의 방법입니다.
플러그인과 테마 주의하기
위의 방법으로 대부분의 공격을 막을 수 있긴 하지만, 워드 프레스 테마나 플러그인 등과 같이 업데이트가 보호하지 못하는 취약한 영역이 많습니다. 우선, 신뢰할 수 잇는 개발자의 플러그인과 테마만 설치하세요. 출처가 불분명하다면 유용하더라도 사용을 지양하는 것이 맞습니다.
또한, 플러그인과 테마는 반드시 함께 업데이트하세요. 오래된 버전의 워드 프레스와 마찬가지인 이유입니다.
웹사이트 백업
백업은 웹사이트 보호의 기본 사항입니다. 워드 프레스에서도 예외는 없죠. 중요한 파일과 데이터를 항상 백업해두고, 또 자주 백업하세요. 빼앗긴 정보보다 다시금 빠른 복구와 운영이 더욱 중요합니다.
다음은 관리자 단계에서 수행할 수 있는 고급 사항들을 살펴보겠습니다.
관리자 아이디 사용 금지
“admin”아이디는 우선 사용하지 않는 것을 권장드립니다. 이는 흔한 사용자 아이디이기 때문에 쉽게 추측할 수 있고, 로그인 인증 정보도 유출되기 매우 쉽습니다. 강력한 패스워드와 함께 고유한 사용자 아이디를 추가하여 정보 해독을 더욱 어렵게 만드세요.
WP 관리자 로그인 페이지 숨겨놓기
계정 단계에서 또 사용할 수 있는 방법은 WPS 로그인 숨기기와 같이 플러그인을 사용하여 워드 프레스 관리자 로그인 페이지를 숨길 수도 있습니다.
기본적으로 대부분의 워드 프레스 로그인 페이지는 URL 끝에 “/wp-admin” 또는 “/wp-login.php”를 추가하여 액세스할 수 있습니다. 해커나 사기꾼이 로그인 페이지를 확인하면 사용자 아이디와 패스워를 알아내어 관리자 대시보드에 액세스하려고 시도할 수 있습니다. 페이지를 숨기면 이를 쉽게 막아낼 수 있습니다.
XML – RPC 비활성화
워드 프레스는 XML – RPC 프로토콜을 사용하여, 소프트웨어 클라이언트로 기능을 확장시킵니다. 하지만 대부분의 사용자는 이 기능이 딱히 필요하진 않고, 그저 취약점으로 남을 뿐입니다.
비활성화 기능은 워드팬스 보안 플러그인 내에 있으니, 이를 사용하여 비활성화하세요.
wp-config.php 파일 강화
.htaccess 파일을 통해 wp-config.php 파일을 보호하여 웹사이트를 더욱 잘 보호할 수 있습니다.
워드 프레스 wp-config.php 파일에는 워드 프레스 보호키와 워드 프레스 데이터베이스 연결 세부 정보 등 워드 프레스 설치에 대한 매우 민감한 정보가 포함되어 있으므로 쉽게 액세스할 수 없도록 하는 것이 좋습니다.
보안 검사 도구 실행
하지만 워드 프레스 웹사이트에 존재조차 몰랐던 취약점이 있을 수 있습니다. 그렇기 때문에 취약점을 찾아서 수정할 수 있는 도구를 사용하는 것이 좋습니다.
WPScan 플러그인은 워드 프레스 코어 파일, 플러그인 및 테마에서 알려진 취약점을 스캔합니다. 또한 플러그인은 새로운 보안 취약점이 발견되면 이메일로 알려줍니다.
마무리
웹사이트 공격과 보안이슈는 과거부터 있어왔지만, 최근 더욱 심각해지고 있습니다. 소 잃고 외양간을 고치는 것은 추천드리지 않습니다. 사전에 웹사이트를 보호하고, 보안문제를 예방해야만 합니다.
최근의 백업은 이러한 점에서 상당히 중요합니다. 웹사이트 복구를 빠르게 진행하고, 그 동안 위험에 대처할 시간을 벌 수 있으니까요. 무료 SSL이나 전용 IP 주소, 자동 업데이트, 디도스 보호 등 여러가지 방법을 서치하고, 보안전략을 꾸려야 할 때가 왔습니다. 워드 프레스의 소중한 정보가 노출되지 않도록 항상 주의하시기 바랍니다.
