star
YOUR NAME

Blog Story

워드프레스 보안 설정 플러그인 없이 강화 해주는 방법들

By on 2월 19th, 2024

지난 포스팅에 이어 오늘은 워드프레스 보안 설정 두 번째, 플러그인을 사용하지 않고 기본적인 셋팅으로 소중한 콘텐츠를 지키는 방법을 알아 보도록 하겠습니다.

워프 자체도 보안 관련으로 꾸준하게 업그레이드 되고 있지만 그에 비례해 사이트에 대한 보안 공격 기술도 날로 진화하는 듯, 예전보다 많이 좋아졌다 고는 하지만 그래도 아무런 관리 없이 안심하고 운영하기에는 아무래도 걱정이 앞섭니다. 어느날 갑자기 관리자인 본인조차 자신이 운영하는 사이트에 접속을 하지 못하거나 사이트의 기능이 마비되어 복구를 하려고 보니 막막한 상황이 닥치기도 하는데요,

 

워드프레스 보안 설정

 

사용하기에 부담스러운 플러그인을 사용하지 않고 수동 설정으로 사이트 건강을 지키는 방법!

워드프레스 보안 설정 기본적으로 해 두면 좋은 방법 5가지

SSL 인증서 설치, HTTP 보안 버전인 HTTPS 프로토콜의 사용

데이터를 암호화하여 공격자가 중간에서 데이터를 가로채 위조 변경하는 것을 방지함으로써 사용자의 개인정보를 보호하고 아울러 사이트의 신뢰성을 높여 seo에도 좋다고 하지요. 보안 인증서의 경우 웹 호스팅 신청 시 기본적으로 무료 제공되거나, 무료 발급해 주는  곳이 많으니 잘 선택하고,  인증서 플러그인을 사용해 리다이렉션을 하는 방법도 고려해 볼 수 있습니다.

 

관리자,사용자 이름 설정과 변경 등 관리

워드프레스에 로그인 할 때 쓰는 사용자 이름과 비밀번호를 쉽게 예측 및 접근하기 힘들도록  독특하면서도 복잡하며 길게 설정합니다. 또 자신도 모르게 추가되어 있거나 변경된 부분이 있는지 평소에 사용자 옵션 관리창을 자주 확인하는 것도 좋습니다.

좀 극단적인 방법이기는 하지만, 조금이라도 더 사이트의 보안을 강화하고 싶다면 기본 로그인 화면인 wp-login 대신 개인 설정한 페이지로 리다이렉션 시켜 계정이 탈취되는 것을 방지하는 방법도 있고, 호스팅 업체 서비스 보안 관리 메뉴를 잘 활용하여  FTP 접속 비밀번호 강화, 그리고 권한에 대한 접속 아이피를 특정 아이피 및 국가로 제한하는 등의 옵션도 잘 설정해 두도록 합시다.

 

보안관리

 

파일 편집 비활성화

제 경우 정말 자주 사용하는 기능이여서 아직 완전 무력화😁시키지는 않았지만, 파일 편집을 불가능하게 만듬으로써, 관리자가 추가하지 않은 특정 코드가 추가됨으로 인해 사이트 설정을 변경하는 악성 보안 공격을 막을 수 있습니다.

기본적으로 워드프레스/PHP 설치 시 해당 부분이 자동으로 파일 편집 불가능으로 설정이 되어 있을텐데요, 저는 반대로 파일 편집 기능을 워프 관리창에서 바로 쓰고 싶어 코드 변경을 했었지요. 다시 원 상태로 돌리려면  ‘파일 매니저’ 플러그인으로 사이트 내에서 편집하거나 FTP접속 프로그램인 파일질라로

wp-config.php 파일을 편집할 수 있습니다. 루트 디렉토리에 위치한 wp-config.php을 열고 관련 코드인

define(‘DISALLOW_FILE_EDIT’,true);

를 찾아 코드의 끝 부분이 true로 되어 있는지 false로 되어 있는지 확인해 봅시다. (찾기 어려우면 CTRl+F 활용) ,만약 false로 되어 있다면 true로 변경하여 파일편집 기능을 비활성화 시켜줌으로 보안을 강화해 줍니다.


테마파일

반대로 해당 부분을 false로 바꾸면 워드프레스 관리자 창의 ‘외모’ 메뉴에  ‘테마 파일 편집기’를 추가함으로서 테마 관련 수정을 하거나 function 파일에 다양한 추가 기능을 넣은 등, 굳이 ftp 프로그램에 접속하지 않고도 사이트 내에서 관리를 할 수 있게 되어 사용이 편하다는 장점은 있으니 참고 바랍니다.

 

워드프레스 버전 숨기기

일반적으로 권장되는 워드프레스 보안 설정 중, 워프의  버전을  숨김으로써 특정 버전의 취약점을 노린 공격 시도를 어렵게 만들 수 있습니다.

아주 간단하게 테마의 header.php에 있는 코드인,

<meta name=”generator” content=”WordPress <?php bloginfo(‘version’); ?>” />

를 제거 해 주거나, 좀 더 확실한 방법으로 function.php 파일에 코드 한 줄 넣어 줌으로써 해결할 수 있습니다.

function remove_version_info() {
return '';
}
add_filter('the_generator', 'remove_version_info');

 

쓰지 않는 테마와 플러그인 제거 및 정기적인 업데이트

오래되어 업데이트가 이루어 지지 않은 테마나 쓰지 않는 플러그인들의 취약점을 이용한 공격을 막기 위해 워드프레스 코어 업데이트를 하고 테마와 플러그인을 항상 최신 버전으로 유지하도록 합시다.

추가로 로그인 관련 보안으로 일정 횟수 이상 로긴 시도가 이루어 지면 차단을 하거나(Login lockdown), 두 단계 인증(Two factor)와 같은 플러그인들의 사용, wordfence, solid security(ithemes security의 새 이름),sucuri 와 같은 통합 보안 관리 전문 플러그인을 사용하는 것도 좋겠지만,  아무래도 사이트의 전반에 걸쳐 많은 리소스를 잡아 먹는 만큼, 설치 후 사이트의 속도 저하가 염려 되시는 분들은  간단한 수동 보안 관련 설정을 통해 평소에 사이트 관리를 잘 해 주는 것이 중요할 것 같습니다.

TAGS
RELATED POSTS

more

LEAVE A COMMENT

CATEGORY
ABOUT