워드프레스 보안강화: 초보자도 쉽게 따라 하는 10가지 핵심 방법

워드프레스 보안강화에 들어가며: 당신의 워드프레스는 안전한가요?

워드프레스로 멋진 웹사이트를 만드셨나요? 축하드립니다! 하지만 잠깐, 당신의 소중한 웹사이트가 해커들의 공격에 노출되어 있다는 사실을 알고 계셨나요? 걱정 마세요. 이 가이드를 통해 여러분은 워드프레스 보안 전문가가 되어 사이트를 안전하게 지킬 수 있습니다. 자, 이제 시작해 볼까요?

우선 그 보다 먼저, 워드프레스 보안 취약점이 실제로 악용되거나 감염된 사건들을 아래와 같이 3가지 정도 알려드립니다.

1. REST API 취약점으로 인한 대규모 사이트 손상: 2017년 초 WordPress REST API의 취약점으로 인해 수십만 개의 워드프레스 사이트가 해킹되었습니다. 이 사건은 최신 버전으로 업데이트하지 않은 사이트들이 대규모로 피해를 본 대표적인 사례입니다.
2. 사인원(Signon) 멀웨어(악성코드) 감염: 수만 개의 워드프레스 웹사이트가 ‘사인원’이라는 새로운 악성코드에 감염되었습니다. 이 멀웨어는 감염된 사이트를 방문한 사용자들을 다른 사이트로 다시 연결시키고, 그곳에서 광고에 노출되게 하는 방식으로 작동했습니다.
3. ID 및 패스워드 탈취 사건: 워드프레스의 인기 증가와 함께 취약점을 노린 해킹도 급증했습니다. 보안업체 하우리의 보고에 따르면, 워드프레스의 취약점을 악용하여 사용자의 ID와 패스워드를 탈취하는 사례가 발생했습니다.

<뉴스 기사>

https://news.mt.co.kr/mtview.php?no=2022032622354696547

이러한 사례들은 워드프레스 사이트의 보안 강화가 얼마나 중요한지를 잘 보여줍니다. 정기적인 업데이트, 강력한 보안 플러그인 사용, 그리고 기본적인 보안 수칙 준수가 이러한 위협으로부터 사이트를 보호하는 데 필수적임을 알 수 있습니다.

이제 워드프레스 사이트의 보안이 뚫렸을 때의 피해를 막기 위한 방법들을 알아보겠습니다.

1. 항상 최신 버전 유지하기

워드프레스, 테마, 플러그인을 최신 버전으로 유지하는 것은 보안의 기본입니다. 마치 우리가 스마트폰 앱을 업데이트하는 것처럼, 워드프레스도 정기적인 업데이트가 필요합니다.

워드프레스 코어 업데이트하기

1. 워드프레스 관리자 대시보드에 로그인합니다.

2. 상단의 “업데이트” 메뉴를 클릭합니다.

3. 워드프레스 업데이트가 있다면 “지금 업데이트” 버튼을 클릭합니다.

자동 업데이트 설정하기

1. 대시보드에서 “설정” > “일반”으로 이동합니다.

2. “자동 업데이트” 섹션에서 원하는 옵션을 선택합니다.

플러그인과 테마 업데이트

1. “업데이트” 페이지에서 플러그인과 테마 탭을 확인합니다.

2. 업데이트가 필요한 항목 옆의 체크박스를 선택합니다.

3. “업데이트” 버튼을 클릭합니다.

주의: 업데이트 전 반드시 백업을 진행하세요!

2. 강력한 비밀번호 사용하기

약한 비밀번호는 해커들에게 열린 문과 같습니다. 강력한 비밀번호로 이 문을 굳게 잠가봅시다.

강력한 비밀번호 만들기

– 최소 12자 이상의 길이

– 대문자, 소문자, 숫자, 특수문자를 모두 포함

– 개인정보나 쉽게 추측할 수 있는 단어 피하기

예시: “M@nySt@rs1nTh3Sky!” (많은 별이 하늘에!)

비밀번호 변경하기

1. 워드프레스 관리자 대시보드에서 “사용자” > “프로필”로 이동합니다.

2. 페이지 하단의 “새 비밀번호 생성” 섹션에서 새 비밀번호를 입력합니다.

3. “프로필 업데이트” 버튼을 클릭하여 저장합니다.

비밀번호 관리 도구 사용하기

LastPass나 1Password와 같은 비밀번호 관리 도구를 사용하면 복잡한 비밀번호를 쉽게 생성하고 관리할 수 있습니다.

3. 두 단계 인증(2FA) 활성화

두 단계 인증은 비밀번호 외에 추가적인 보안 계층을 제공합니다. 이것은 마치 집 열쇠와 함께 지문 인식도 필요한 것과 같습니다.

두 단계 인증 설정하기

1. 플러그인 추가하기: “플러그인” > “새로운 플러그인 추가”에서 “Two Factor Authentication”을 검색하여 설치 및 활성화합니다.

2. 플러그인 설정: 설치된 플러그인의 설정 페이지로 이동합니다.

3. 인증 방법 선택: Google Authenticator나 SMS 등 원하는 방법을 선택합니다.

4. 지시에 따라 설정을 완료합니다.

팁: Google Authenticator 앱을 사용하면 별도의 하드웨어 없이 스마트폰으로 간편하게 인증할 수 있습니다.

4. 보안 플러그인 설치하기

보안 플러그인은 워드프레스 사이트의 보안을 강화하는 강력한 도구입니다. 마치 집에 방범 시스템을 설치하는 것과 같습니다.

Wordfence Security 설치 및 설정

1. “플러그인” > “새로운 플러그인 추가”에서 “Wordfence Security”를 검색합니다.

2. “지금 설치” 버튼을 클릭한 후 “활성화”합니다.

3. 대시보드에 나타난 Wordfence 메뉴에서 “Wordfence 설정”을 클릭합니다.

4. “방화벽” 탭에서 기본 설정을 확인하고 필요에 따라 조정합니다.

5. “스캔” 탭에서 정기적인 스캔 일정을 설정합니다.

주의: 너무 많은 보안 플러그인을 동시에 사용하면 사이트 성능에 영향을 줄 수 있으므로, 하나의 종합적인 플러그인을 선택하는 것이 좋습니다.

5. 정기적인 백업 실행

백업은 최악의 상황에서 당신 사이트를 구원할 수 있는 생명줄입니다.

UpdraftPlus를 사용한 백업 설정

1. “플러그인” > “새로운 플러그인 추가”에서 “UpdraftPlus”를 검색하여 설치 및 활성화합니다.

2. “설정” > “UpdraftPlus 백업”으로 이동합니다.

3. “백업 지금 생성” 버튼을 클릭하여 첫 백업을 생성합니다.

4. “설정” 탭에서 자동 백업 일정을 설정합니다.

   – 파일: 주 1회

   – 데이터베이스: 일 1회 권장

5. “저장 위치” 설정에서 Google Drive나 Dropbox와 같은 클라우드 스토리지를 선택하여 오프사이트 백업을 구성합니다.

팁: 중요한 변경 사항을 적용하기 전에는 항상 수동으로 백업을 실행하세요.

6. SSL 인증서 설치

SSL은 여러분 사이트와 방문자 사이의 데이터를 암호화합니다. 이는 공용 Wi-Fi에서 대화할 때 비밀 코드를 사용하는 것과 같습니다.

Let’s Encrypt SSL 인증서 설치하기

많은 호스팅 제공업체가 Let’s Encrypt SSL을 무료로 제공합니다. 호스팅 제어판에서:

1. SSL/TLS 섹션을 찾습니다.

2. Let’s Encrypt 옵션을 선택합니다.

3. 도메인을 선택하고 인증서 발급을 클릭합니다.

4. 발급 완료 후, 워드프레스 주소를 HTTPS로 변경합니다:

   – 워드프레스 관리자 대시보드 > 설정 > 일반

   – WordPress 주소(URL)와 사이트 주소(URL)를 http://에서 https://로 변경

5. 변경 사항 저장 후 사이트를 새로 고침합니다.

주의: SSL 적용 후 혼합 콘텐츠 오류가 발생할 수 있습니다. 이 경우 “Really Simple SSL” 플러그인을 사용하여 자동으로 수정할 수 있습니다.

7. 파일 권한 최적화

파일 권한은 누가 어떤 파일에 접근하고 수정할 수 있는지를 결정합니다. 이는 집의 각 방에 다른 잠금장치를 다는 것과 같습니다.

FTP를 통한 파일 권한 변경

1. FileZilla와 같은 FTP 클라이언트를 사용하여 서버에 연결합니다.

2. 워드프레스 루트 디렉토리로 이동합니다.

3. 각 항목에 대해 오른쪽 클릭 후 “파일 권한”을 선택합니다:

   – 디렉토리: 755

   – 파일: 644

   – wp-config.php: 600

4. “하위 디렉토리에 적용” 및 “모든 파일에 적용” 옵션을 선택합니다.

주의: 파일 권한 변경은 사이트에 영향을 줄 수 있으므로, 변경 전 반드시 백업을 진행하세요.

8. 관리자 계정 보호

기본 ‘admin’ 사용자명은 해커들의 첫 번째 공격 대상입니다. 이를 변경하고 추가 보호 조치를 취해봅시다.

관리자 사용자명 변경하기

1. 새로운 관리자 계정 생성:

   – “사용자” > “새로 추가”로 이동

   – 고유한 사용자명과 이메일 주소 입력

   – 역할을 “관리자”로 설정

2. 새 계정으로 로그인 후, 기존 ‘admin’ 계정 삭제:

   – “사용자”에서 기존 admin 계정 선택

   – “삭제” 선택 후 콘텐츠 귀속 처리

로그인 URL 변경하기

“WPS Hide Login” 플러그인을 사용하여 기본 로그인 페이지 주소를 변경할 수 있습니다:

1. 플러그인 설치 및 활성화

2. “설정” > “일반”에서 새로운 로그인 URL 설정

로그인 시도 제한 설정

Wordfence 플러그인을 사용 중이라면:

1. Wordfence > 로그인 보안

2. “무차별 로그인 시도 제한” 활성화

3. 최대 로그인 시도 횟수와 잠금 기간 설정

9. 데이터베이스 보안 강화

데이터베이스는 여러분 사이트 정보가 저장된 곳입니다. 이를 안전하게 지키는 것은 매우 중요합니다.

데이터베이스 비밀번호 변경

1. 호스팅 제어판의 데이터베이스 관리 섹션으로 이동합니다.

2. 워드프레스 데이터베이스 사용자를 찾아 강력한 새 비밀번호를 설정합니다.

3. wp-config.php 파일에서 DB_PASSWORD 값을 새 비밀번호로 업데이트합니다.

데이터베이스 테이블 접두사 변경

새로운 워드프레스 설치 시:

1. 설치 과정에서 “고급 옵션” 선택

2. 테이블 접두사를 wp_가 아닌 다른 값으로 설정 (예: mysite_)

기존 사이트의 경우 “Better Search Replace” 플러그인을 사용하여 조심스럽게 변경할 수 있습니다.

불필요한 데이터 정리

1. “WP-Optimize” 플러그인 설치 및 활성화

2. 대시보드 > WP-Optimize로 이동

3. “데이터베이스 최적화” 탭에서 필요한 옵션 선택 (예: 스팸 댓글 삭제, 개정 내용 정리)

4. “최적화 실행” 클릭

주의: 데이터베이스 작업 전 반드시 전체 백업을 진행하세요.

10. 정기적인 보안 감사 실시

정기적인 보안 점검은 당신의 웹사이트를 건강하게 유지하는 데 필수적입니다. 마치 정기 건강검진을 받는 것과 같습니다.

보안 스캔 도구 활용하기

1. Sucuri SiteCheck 사용하기

   – https://sitecheck.sucuri.net/ 방문

   – 당신의 웹사이트 URL 입력 후 ‘Scan Website’ 클릭

   – 결과를 검토하고 제안된 개선 사항 확인

2. 워드프레스 보안 스캐너 플러그인 사용

   – “플러그인” > “새로운 플러그인 추가”에서 “Wordfence” 또는 “Sucuri Scanner” 검색 및 설치

   – 플러그인 설정에서 정기적인 스캔 일정 설정 (예: 주 1회)

   – 스캔 결과 검토 및 제안된 조치 수행

비정상적인 활동 모니터링하기

1. 워드프레스 활동 로그 검토

   – “WP Activity Log” 플러그인 설치 및 활성화

   – 대시보드 > 활동 로그에서 비정상적인 로그인 시도나 변경 사항 확인

2. 파일 변경 모니터링

   – Wordfence의 파일 변경 감지 기능 활용

   – 알 수 없는 파일 변경이 감지되면 즉시 조사

접근 로그 분석

1. 호스팅 제어판에서 접근 로그 확인

   – cPanel의 경우: “Metrics” > “Errors” 또는 “Raw Access Logs”

   – 비정상적인 IP 주소나 과도한 요청 패턴 확인

2. 로그 분석 도구 사용

   – 무료 도구: GoAccess (터미널 기반)

   – 설치: 호스팅 제공업체의 가이드 참조

   – 로그 파일 경로 지정 후 분석 실행

정기적인 보안 체크리스트 만들기

매월 1일에 다음 체크리스트를 수행하는 것이 좋습니다:

1. 모든 워드프레스 코어, 테마, 플러그인 업데이트 확인

2. 백업 정상 작동 여부 테스트

3. 사용하지 않는 플러그인과 테마 제거

4. 관리자 계정 비밀번호 변경

5. 보안 스캔 실행 및 결과 검토

6. 파일 권한 재확인

7. SSL 인증서 만료일 체크

결론: 지속적인 관심이 핵심입니다.

워드프레스 보안은 일회성 작업이 아닌 지속적인 과정입니다. 이 가이드에서 설명한 10가지 방법을 꾸준히 실천한다면, 여러분의 워드프레스 사이트는 훨씬 더 안전해질 것입니다.

간단히 정리하겠습니다.

워드프레스 보안은 처음에는 복잡해 보일 수 있지만, 이 가이드를 따라 하나씩 실천해 나간다면 충분히 관리할 수 있습니다. 여러분의 디지털 자산을 안전하게 지키는 것은 관리자인 여러분이 어떻게 하느냐에 달려있습니다.

마지막으로, 워드프레스 보안은 계속 발전하고 있습니다. 최신 보안 트렌드와 워드프레스 업데이트를 주기적으로 확인하는 것을 잊지 마시면서 안전한 워드프레스 순항되시길 바랍니다.

*함께 읽으면 좋은 글:

인기 있는 워드프레스 테마 4가지

SEO 최적화를 위한 워드프레스 플러그인 5가지 소개