【보존판】워드프레스의 보안을 강화하는 필수 5가지 방법 정리

 

워드프레스는 오픈 소스이며, 무료로 사용할 수 있는 플러그인도 다양하기 때문에 전 세계적으로 가장 많이 사용되는 CMS(컨텐츠 메니지먼트 시스템)의 하나입니다. 하자만, 오픈 소스로 인해 취약점이 발견되기 쉬워 해커의 표적이 되기 쉽습니다. 따라서 워드프레스로 사이트를 제작할 때 에는 워드프레스 보안을 매우 중요한 것으로 파악하고 대응하는 인식이 필요합니다. 완벽한 툴은 없지만 오픈소스인 워드프레스의 경우 보안에 한층더 유의하여야 합니다.
※CMS란 “인터넷이나 컴퓨터 통신 등을 통하여 제공되는 각종 정보나 그 내용물들을 관리하는 정의된 목적을 달성하기 위한 통합 요소들의 집합체”

그래서 이번에 쉽게 적용 할 수 있는 보안 대책 중에서 플러그인을 설치 하지 않는 보안관련 내용을 몇가지 소개할려고 합니다.
플러그인을 도입하는 메리트도 많이 있습니다만, 다음과 같은 단점도 있기 때문입니다.
● 플러그인을 이용할 경우 메모리 영역을 사용하기 때문에 사이트의 속도가 느려질 수 있다.
● 플러그 인으로 인해 예상치 못한 동작이 발생할 수 있다.
● 플러그인 자체에 취약점이 존재할 가능성이 있다.

그럼 다음에 순서대로 설명해 나갑니다.

 

1. 워드프레스와 플러그인의 버전을 최신으로 유지

 

워드프레스는 오픈 소스에서 가장 유명한 CMS입니다.
따라서 앞서 언급 한 바와 같이, 해커의 표적이 되기 쉽고 취약점도 발견되기 쉽습니다.

취약점이 발견 된 경우 워드프레스는 그때마다 버전을 업로드 하고 대책을 실시하고 있습니다. 최신 버전은(알려진) 취약점이 없고, 반대로 버전이 오래 될수록 취약점은 많아진다고 보면 됩니다.
기본적인 일이지만 매우 중요하므로 가능하면 항상 최신 버전으로 유지하는 것이 좋습니다.

2. 사용하지 않는 플러그인 삭제

설치만 해두고 사용하지 않는 플러그인이나, 한번 사용했지만 현재는 사용하지 않는 플러그인은 “비활성화” 해두지 말고 “삭제” 하도록 합시다. 왜냐하면, “삭제” 해 두지 않으면 플러그인 취약점이 존재하는 경우, 그 취약점을 노려 해킹을 당할 수 도 있기 때문입니다. 사용하지 않는 플러그인은 “완전히 제거(삭제)”하는 것이 중요합니다.

 

3. 기본 사용자 이름 “admin”은 사용하지 말 것

워드프레스를 설치하고 나면 기본 상태의 사용자 계정인이 “admin”으로 되어있습니다. 이 ‘admin’계정을 그대로 사용할 경우 매우 위험합니다. 왜냐하면 해커로부터 악의적인 공격을 받을 경우 비밀번호 만 맞추면 뚫리기 때문에 로그인 할 때 보다 쉽게 계정을 습득하게 됩니다. 실제로 워드프레스에서 행해진 해커 공격의 대부분은 사용자 이름 “admin”으로 해두기 때문에 해커의 로그인에 쉽게 뚫리게 됩니다.  따라서 ‘admin’계정은 삭제하거나 변경하여 사용하는 것이 좋습니다.

1. 사용자 이름 “admin”을 제거하는 방법
2. 워드프레스에 로그인
3. 다른 관리자 계정 만들기
4. 로그 아웃
5. 새로 만든 다른 관리자 계정으로 로그인
6. ‘admin’계정을 삭제

※ 제거 할 때는 “모든 게시물과 링크를 다음 사용자에게 할당”을 선택하지 않으면 “admin”사용자가 투고 한 기사가 모두 사라져 버리기 때문에 주의하시기 바랍니다.

WordPress의 사용자 이름 (admin)을 변경 · 삭제하는 방법

 

4. wp-config.php에 액세스하지 못하도록함

데이터베이스의 계정 정보가 기재되어 있는 “wp-config.php” 파일은 워드프레스를 이용하는데 있어서 가장 중요하고 가장 보안 수준을 높게 설정해야 하는 파일입니다.
이 파일은 해커의 손에 넘어가 버리면 데이터베이스가 해커에 의해 직접 조작되어 버리는 위험이 있습니다. 따라서 외부에서의 접근을 불가로 설정하고 권한도 엄격하게 설정해야 합니다.

설정단계

“wp-config.php”와 같은 계층의 “.htaccess”파일에 다음 내용을 입력하십시오.
※ “.htaccess”파일이 없는 경우 파일을 작성하십시오.

< Files WP-config.php>

order allow, deny

deny from all

</ files >

 

이제 외부에서의 접근은 불가능합니다.

그 다음에 권한설정을 합니다. “wp-config.php”권한은 “400”으로 하는 것이 좋습니다. 이제 관리자만 “읽기” 권한을 부여하도록 설정합니다.

 

5. 데이터베이스 테이블 접두사를 기본값에서 변경

워드프레스를 설치 한 후 기본값을 그대로 사용하면 DB테이블에는 ‘wp_ “라는 접두사가 설정되어 있습니다.
하지만, 이대로 사용하면 ‘테이블 이름’이 특정되어 버리므로 데이터베이스에 해킹이 쉬워집니다. 따라서 “테이블 이름”을 식별 어렵게 하기 위해서 접두사를 변경하는 설정을 해야 합니다.

자세한 내용은 여기를 참고하시기 바랍니다.

DB테이블의 접두사를 변경하는 방법

 

정리

그 밖에도 다양한 보안관련 방법이 있으며, 언급하자면 아마도 끝이 없을 것입니다. 어떤 사이트에서도 최소한이 5개 정도는 실천해 두는 것이 좋습니다. 모든 설정을 해도 10분 정도의 작업으로 보안상태를  훨씬 향상시킬 수 있습니다.

그러나 웹사이트를 공개하고 있는 경우 해킹을 100 %막는 것은 불가능합니다. 바이러스나 악성 프로그램은 나날이 발전해 나가고 있습니다. 원래 시스템이란 것이 완벽한 것은 없기 때문에 알려지지 않은 오류나 취약점은 포함하고 있기 마련입니다. 따라서 보안강화와 동시에 만일의 해킹 피해를 당했을 때를 위해 백업 해 두는 것도 필수입니다.

백업해야하는 것은 다음 세 가지 부분입니다.

• 워드프레스 폴더 파일 세트
• 워드프레스에서 사용하는 데이터베이스
• 워드프레스 관리 화면에서 내보낼 수 있는 “개별기사, 고정 페이지, 카테고리, 태그, 등의 정보 (XML 파일 형식)”

보안 및 백업을 해 두는 것으로, 사이트의 위험을 최소화 하면서 운영해 나가시기 바랍니다.