워드프레스 보안을 강화하는 7가지 방법

워드프레스 홈페이지도 보안이 필요한가?

워드프레스는 이미 전세계 웹사이트의 30%를 차지할 만큼 널리 사용되고 있습니다. 잘 알려진만큼 해킹의 타겟이 되기도 합니다. 당연한 일입니다. 알려진 워드프레스 해킹 수법도 많습니다. 해킹을 당하면 어떻게 될까요? 기본적으로 사이트가 정상적으로 작동하지 않을 수 있습니다. 느려지거나, 고객의 개인 정보가 유출되거나, 심한 경우 내 사이트에 심어진 멀웨어가 또다른 해킹의 도구가 되어서 다른 사이트를 공격하는데 사용될 수도 있습니다. 이렇게 되면, 사이트가 전세계 보안 업체/단체의 블랙리스트에 올라서 “위험한 사이트”로 분류되기도 합니다. 때로는 다른 방문자가 이 사이트에 들어올 때 이런 경고가 나타나서, 사이트 방문을 막을 수도 있습니다. 그러나 그렇다고 워드프레스가 해킹에 취약한 위험한 도구하는 말은 아닙니다. 반대로, 해킹 방법이 알려져 있다는 것은 그 해킹 공격에 대한 방어책도 있다는 말입니다. 미래 대비를 잘 해두면 해킹의 피해자가 되지 않을 수 있습니다! 반면에 보안을 등한시하면 이미 잘 알려진 방법으로도 손쉽게 사이트가 해킹당할 수도 있습니다! 워드프레스 해킹을 막을 수 있는 7가지 기본적인 중요한 방법을 소개합니다.  

방법 1. 가장 중요한 것은 아이디와 암호!

해킹의 가장 단순한 방법은 잘 쓰이는 아이디와 암호를 무차별적으로 조합해서 넣어보는 것입니다. 브루트포스(Brute force) 공격이라고 불리는 이 고전적이고 단순무식한 방법은 단순하지만 효과적입니다. 관리자 아이디로 admin, admin1, 사이트도메인이름 등의 잘 쓰이는 쉽게 연상되는 단어를 사용하는 것은 이런 종류의 해킹 시도의 손쉬운 먹이감이 됩니다. 거기에 123456, password, 12345678, qwerty 등 간단한 숫자, 단어로 된 암호는 최악입니다. 그럼에도 이것들이 전세계에서 가장 많이 쓰이는 비밀번호입니다! 해킹 시도로 아이디 admin, 비밀번호 123456을 넣어 보면 바로 로그인이 되는 사이트가 수두룩하다는 말입니다. 그래서, 보안의 가장 중요하면서도 기본이 되는 것은 아이디와 암호의 관리입니다. 사이버 보안에서 가장 취약한 부분이 이 부분입니다. 아무리 비싼 장비와 복잡한 보안 소프트웨어를 써도, 이렇게 간단한 아이디와 암호를 쓰면 브루트포스 해킹툴로 너무나 손쉽게 해킹당할 수 있습니다. 따라서, 손쉽게 떠올릴 수 있는 단어 대신 사이트이름이나 닉네임과 연관없는 단어의 조합으로 관리자 아이디를 만드세요. 예를 들어 닉네임은 “관리자”, “사이트이름”이 가능합니다. 포스팅할 때 저자로 표시되기 적절합니다. 그러나, 아이디는 자신만 아는 단어로 쓰시면 좋습니다. 암호는 반드시 영대소문자, 숫자, 기호가 섞인 형태로 만드세요. 길이가 길 수록 해킹하기 어려워집니다. 길이가 15자리가 되면 1년간은 안전하다고 알려져 있습니다. 한국어를 쓰는 우리는 암호를 만들 때 장점이 있습니다. 키보드의 영타 상태에서 한국어로 입력하는 것입니다. 자신만 기억하는 단어들을 조합하는 겁니다. 예를 들어 “남산맥북까페”를 영타로 치면 “skatksaorqnrRkvp”입니다. 각 단어의 첫글자만 대문자로 하고 사이에 기호를 넣으면, “Skatks*Aorqnr*Rkvp”가 되지요. 여기에 숫자를 섞습니다. “Skatks*Aorqnr*Rkvp084231” 이러면 보안성이 높은 훌륭한 암호가 됩니다. 자신만 기억하는 쉽게 연상되는 단어들로 일정한 규칙을 만들어서, 사이트, 기간마다 약간의 변화를 주면 쉽게 기억할 수 있습니다.  

방법 2. 관리자는 이단계 인증 암호를 쓰세요!

개인 인증을 강화하기 위해 많은 사이트들이 SMS인증이나 이메일 인증 등 2단계 인증 방식을 종종 활용합니다. 구글 인증기(Google Authenticator)앱을 쓰면 일회성 인증 암호를 활용할 수 있습니다. 워드프레스의 많은 플러그인들이 이런 방법을 지원합니다. 이전의 포스트를 참조하셔도 좋습니다. (구글 OTP로 워드프레스 관리자 보안 강화하기) 아주 간단하면서 편리한 플러그인으로 2FAS Light가 있습니다. 설치 후, 핸드폰에 구글 인증기를 앱스토어에서 검색해 설치하세요. 플러그인 페이지에서 나오는 QR코드를 스캔하면, 자동으로 인증기에 등록이 되고, 이후엔 인증기를 실행하면 나오는 숫자 비밀번호를 로그인시에 입력하면 됩니다. 매번 입력하기 귀찮을 때엔, OTP 암호 입력시 하단에 있는 “Remember this device”를 체크해 주시면 한동안 그 기기에서는 OTP암호를 입력하지 않아도 됩니다. 위의 방법1과 이 이단계 인증 방법을 사용하면, 관리자 암호가 해킹당할 위험을 현저하게 줄일 수 있습니다. 관리자 암호가 안전할 때 사이트 보안의 기본이 확보됩니다!  

방법 3. 꼭 정기적으로 업데이트를 하세요!

워드프레스는 코어 프로그램 뿐 아니라 테마와 많은 플러그인의 조합으로 이루어져 있습니다. 프로그램 기능의 개선 뿐 아니라 중요한 보안 관련 업데이트가 포함됩니다. 따라서, 정기적으로 최신의 상태로 업데이트하는 것은 보안의 필수 요소입니다! 그런데, 업데이트를 하게 되면 사이트가 유지보수 모드로 들어가면서 잠시 접속이 중단됩니다. 방문자가 많은 낮시간에 이렇게 했다가는 사이트 신뢰성에 문제가 생깁니다. 쇼핑몰이라면, 그 순간 구매를 진행하던 고객은 난처한 상황을 겪게 됩니다. 그래서, 가능한 한 사용자가 적은 늦은 밤이나 새벽 시간에 업데이트를 하는 것이 좋습니다. 매번 업데이트 때마가 밤 늦게 시간을 내야 하고, 백업도 하고, 신경 쓰기 귀찮으시면 업데이트 관리 서비스를 받아보세요. (마이크로프레스는 호스팅 고객의 업데이트 유지 보수 서비스를 제공하고 있습니다.)  

방법 4. 백업은 필수!

만에 하나, 멀웨어에 감염되거나 사이트에 이상이 생겼다면, 이전의 정상 상태로 되돌리는 것이 필요합니다. 정기적인 사이트 파일, 데이터베이스의 백업을 하는 것이 필요합니다. 주기적으로 자동 백업이 되도록 백업 플러그인을 사용하는 것이 좋습니다. 호스팅 서비스를 하는 업체에서도 백업을 하겠지만, 백업 플러그인을 통해 이전 상태로 되돌릴 수 있도록 준비해 두는 것이 가장 빠르고 간단한 방법입니다. 또한, 매번 업데이트나 중요한 변경을 하기 전에 백업해 두는 것도 중요합니다! 이런 변경으로 사이트 상태가 이상해졌다면 바로 전의 상태로 되돌리면 됩니다.  

방법 5. 테마와 플러그인은 잘 알려진 안전한 것만 설치하세요!

때로는 유료 테마나 플러그인을 제한을 풀어서 무료로 만들었다거나, 토렌트 등에서 비정상적으로 입수된 테마나 플러그인은 위험할 수 있습니다. 무료를 미끼로 멀웨어를 포함시켰다면, 스스로 해킹 도구를 설치하는 상황이 됩니다. 절대로, 비정상적인 경로에서 입수한 플러그인을 설치하시지 마세요! 워드프레스 사이트를 통해 검색된 테마나 플러그인이라도, 최근에 업데이트가 되고 있는지 확인해 보세요. 오랫 동안 업데이트가 없었다면, 제대로 관리되지 않고 있는 것입니다. 그렇다면, 그 기간동안 발견된 취약점에 대한 보완이 전혀 없는 것입니다. 그만큼 해킹 시도에 취약한 것이니 이런 플러그인은 사용하지 않는 것이 좋습니다. 사용자가 많고, 꾸준히 관리되고 있는 플러그인이 안전합니다.  

방법 6. 안전한 호스팅 서비스를 이용하세요!

워드프레스 사이트 자체적으로도 해킹에 대비해야 하지만, 서비스 받고 있는 서버 컴퓨터가 해킹당하면 아무 소용이 없습니다. 호스팅 받고 있는 서버 업체가 안전하게 서버를 관리하는 것도 중요합니다. 방화벽 정책, 침입 탐지 소프트웨어 등이 잘 설정되어 있어야 하고, 관리자 관련 보안, 보안 연결 등 기본적인 보안 대책이 중요합니다. 대부분 호스팅업체가 이런 기본적인 서버 보안은 잘 하고 있습니다. 워드프레스가 받는 브루트포스 공격(무차별 대입 공격), 크로스사이트 스크립팅, SQL 인젝션등의 알려진 주요 해킹 방법은 웹서버 차원에서 일차로 차단시킬 수 있습니다. 따라서, 현재 사용하고 계신 호스팅 업체에서 서버 설정으로 일차적으로 차단시켜 주고 있는지 확인해 보시면 좋습니다. 워드프레스 전용 웹호스팅이 아니라면, 이런 워드프레스를 위한 보안 설정이 안되어 있을 수 있습니다. 마이크로프레스는 워드프레스에 최적화된 안전한 호스팅 서비스를 제공하고 있습니다.  

방법 7. 보안 도구를 쓰세요!

사이트 보안 : 워드프레스 사이트에서 보안 점검과 멀웨어 차단을 해주는 프로그램들이 많이 있습니다. Sucuri Security는 사이트의 기본 보안 상태를 점검하는 떼 아주 유용합니다. 불법 로그인 시도나, 해킹 공격을 막아주기도 하고, 잦은 공격 시도를 하는 IP를 아예 차단시킬 수도 있습니다. 중요한 기능을 제공하면서도 사이트 성능에 큰 영향을 주지 않습니다. (어떤 보안 플러그인들은 설치 후 설정에 따라 사이트 성능에 영향을 줄 수 있습니다. 설치 전 백업을 하시면 좋습니다.) 온라인 멀웨어 스캔 : Quttera와 같은 온라인 멀웨어 스캔 도구를 사용하면, 실시간으로 검사를 할 수 있습니다. 홈페이지 주소만 입력하면, 자세한 분석 보고서를 보여줍니다. 내 홈페이지를 검사해 보세요! 개인 전자 기기의 보안 : 사이트 보안이 아무리 잘 되어 있어도, 개인 컴퓨터나 모바일 기기가 감염되어 있다면, 역시 큰 문제가 됩니다. 관리자가 로그인할 때에 컴퓨터에 설치된 멀웨어가 관리자나 ftp 아이디와 암호를 빼내 간다면, 사이트를 보호하기 위한 모든 노력이 소용없게 됩니다. 따라서, 개인용 컴퓨터나 기기에 반드시 보안 소프트웨어를 설치해 두셔야 합니다. AVG antivirus FREE, Sophos home 등 무료이면서도 기능이 훌륭한 소프트웨어들이 있습니다.     사이버 보안은 계속해서 관심을 가져야 할 부분입니다. 물론, 너무 염려한다고 해결되는 것은 아니지만, 중요한 만큼 관심을 기울여서 적절한 대비를 하면 충분히 안전을 확보할 수 있습니다. 위의 7가지 방법을 기억해 보시면 분명히 도움이 될 겁니다. 물론, 이것이 다는 아닙니다. 마이크로프레스 블로그를 통해 관련된 정보를 계속 더 전해드리겠습니다!