1. 강력한 비밀번호 및 2단계 인증 적용
포커스 키워드: 워드프레스 보안, 강력한 비밀번호, 2단계 인증
비밀번호 보안은 가장 기본적인 보안 강화 방법 중 하나입니다. 8자리 이상의 복잡한 비밀번호를 사용하고, 문자, 숫자, 특수문자를 조합해야 합니다. 또한, **2단계 인증(2FA)**을 설정하면 계정 해킹 위험을 크게 줄일 수 있습니다.
🔹 추천 도구
- Google Authenticator
- Authy
- Wordfence Security Plugin
2. 최신 버전 유지 및 자동 업데이트 설정
워드프레스는 정기적으로 보안 업데이트를 제공합니다. 핵심 시스템(Core), 테마, 플러그인을 항상 최신 버전으로 유지해야 합니다. 특히 보안 취약점 패치가 포함된 업데이트는 즉시 적용하는 것이 중요합니다. 또한, 자동 업데이트 기능을 활성화하면 보안 강화를 보다 쉽게 유지할 수 있습니다.
3. 보안 플러그인 활용
보안 플러그인은 워드프레스 사이트를 보호하는 데 필수적입니다. 대표적인 보안 플러그인은 다음과 같습니다.
| 보안플러그인 | 주요기능 |
| Wordfence Security | 방화벽, 악성코드 탐지, 로그인 보호 |
| iThemes Security | 브루트포스 공격 차단, 데이터베이스 백업 |
| Sucuri Security | 웹사이트 방화벽(WAF), 보안 점검 |
4. 관리자 로그인 URL 변경
기본적으로 워드프레스 로그인 페이지는 wp-admin 또는 wp-login.php입니다. 이는 해커들이 쉽게 접근할 수 있도록 만듭니다. 로그인 URL을 변경하여 보안을 강화할 수 있습니다.
🔹 활용 플러그인
- WPS Hide Login
5. 파일 및 디렉터리 권한 설정
워드프레스의 중요한 파일과 디렉터리는 적절한 권한을 가져야 합니다.
| 파일/디렉터리 | 권장 권한 |
| wp-config.php | 400 또는 440 |
| .htaccess | 444 |
| wp-content/uploads | 755 |
6. 정기적인 백업 수행
예기치 않은 보안 사고를 대비해 정기적인 백업을 수행해야 합니다. 이를 위해 자동 백업 플러그인을 활용하는 것이 좋습니다.
🔹 추천 백업 플러그인
- UpdraftPlus
- VaultPress (Jetpack 포함)
7. SSL 인증서 적용 (HTTPS)
SSL 인증서는 웹사이트와 사용자 간 데이터 전송을 암호화하여 보안을 강화합니다. Let’s Encrypt와 같은 무료 SSL 인증서를 활용하거나, 호스팅 제공업체에서 SSL 인증서를 구매할 수 있습니다.
8. REST API 및 XML-RPC 비활성화
REST API와 XML-RPC 기능은 보안 취약점이 될 수 있습니다. 이를 비활성화하면 불필요한 공격을 방지할 수 있습니다.
🔹 비활성화 방법
- Disable XML-RPC Plugin 설치
- functions.php 파일에서 REST API 비활성화 코드 추가
add_filter('rest_authentication_errors', function($result) {
if (!is_user_logged_in()) {
return new WP_Error('rest_disabled', __('REST API is disabled.'), array('status' => 403));
}
return $result;
});9. 의심스러운 IP 차단
웹사이트에 지속적인 공격을 시도하는 IP 주소를 차단해야 합니다. 방화벽 플러그인을 활용하거나 .htaccess 파일을 수정하여 특정 IP를 차단할 수 있습니다.
🔹 차단할 IP 추가 (.htaccess 파일 수정)
<IfModule mod_authz_core.c>
Require all denied
Require not ip 192.168.1.100
</IfModule>10. 정기적인 보안 점검 수행
보안 점검을 정기적으로 수행하면 보안 취약점을 조기에 발견하고 조치할 수 있습니다. Wordfence, Sucuri 같은 보안 플러그인의 자동 점검 기능을 활용하거나, 보안 전문가의 점검 서비스를 이용하는 것도 좋은 방법입니다.
자주 하는 질문 (FAQ)
Q1: 보안 플러그인은 여러 개 설치하는 것이 좋나요?
A: 아닙니다. 너무 많은 보안 플러그인을 설치하면 충돌이 발생할 수 있습니다. Wordfence 또는 iThemes Security 같은 강력한 플러그인 하나만 사용해도 충분합니다.
Q2: 무료 SSL 인증서도 충분한가요?
A: 네, Let’s Encrypt 같은 무료 SSL 인증서도 보안 기능이 충분합니다. 하지만 금융 거래가 포함된 사이트라면 유료 SSL 인증서를 고려하는 것이 좋습니다.
Q3: 자동 백업 주기는 얼마나 자주 설정해야 하나요?
A: 최소한 주 1회 백업을 권장하며, 업데이트 후에는 즉시 백업을 수행하는 것이 좋습니다.