워드프레스 플러그인 없이 기본적인 보안 설정 방법
워드프레스는 강력하고 유연한 콘텐츠 관리 시스템(CMS)이지만, 보안을 위해 몇 가지 기본적인 설정을 반드시 해야 합니다. 플러그인을 사용하지 않고도 사이트의 보안을 강화할 수 있는 여러 방법이 있으며, 이 글에서는 워드프레스의 기본 보안 설정을 통해 사이트를 보호하는 방법을 소개합니다.
1. 관리자 계정 보안 강화
워드프레스의 보안을 강화하는 첫 번째 단계는 관리자 계정을 보호하는 것입니다.
- 기본 관리자 계정 변경: 워드프레스 설치 시 기본 관리자 계정 이름을
admin대신 다른 이름으로 설정합니다. 이미admin계정을 사용 중이라면, 새로운 사용자 계정을 생성하여 관리자 권한을 부여한 후admin계정을 삭제하세요. - 강력한 비밀번호 사용: 숫자, 대소문자, 특수 문자가 조합된 강력한 비밀번호를 사용하여 관리자 계정을 보호하세요.
- 이중 인증 활성화: 플러그인 없이도 일부 호스팅 제공 업체나 외부 서비스에서 이중 인증을 지원하므로, 이를 활용하여 보안을 강화할 수 있습니다.
2. wp-config.php 파일 보호
워드프레스의 핵심 설정이 담긴 wp-config.php 파일을 보호하면 사이트의 보안을 크게 향상시킬 수 있습니다.
- 파일 접근 제한:
wp-config.php파일에 대한 직접적인 접근을 차단하기 위해 .htaccess 파일에 다음 코드를 추가하세요:<files wp-config.php> order allow,deny deny from all </files> - 파일 권한 설정:
wp-config.php파일의 권한을 440 또는 400으로 설정하여, 서버의 파일에 대한 읽기 권한을 제한합니다.chmod 400 wp-config.php
3. 디렉토리 브라우징 비활성화
디렉토리 브라우징이 활성화된 경우, 해커가 서버에 있는 파일 구조를 쉽게 파악할 수 있습니다. 이를 비활성화하여 보안을 강화할 수 있습니다.
- .htaccess 파일 수정: 워드프레스 루트 디렉토리에 있는 .htaccess 파일에 다음 코드를 추가하여 디렉토리 브라우징을 비활성화합니다:
Options -Indexes
4. 자동 업데이트 설정
워드프레스 코어, 테마, 플러그인의 최신 버전을 유지하는 것은 보안상 매우 중요합니다. 자동 업데이트를 설정하여 항상 최신 버전으로 유지할 수 있습니다.
- wp-config.php 파일 수정: 자동 업데이트를 활성화하려면
wp-config.php파일에 다음 코드를 추가합니다:define('WP_AUTO_UPDATE_CORE', true);
5. 파일 편집 비활성화
워드프레스 대시보드에서 테마와 플러그인 파일을 직접 편집할 수 있는 기능을 비활성화하여, 해킹 시 파일이 수정되는 것을 방지할 수 있습니다.
- wp-config.php 파일 수정: 파일 편집 기능을 비활성화하려면
wp-config.php파일에 다음 코드를 추가하세요:define('DISALLOW_FILE_EDIT', true);
6. 비밀 키 보안 강화
워드프레스의 인증 키와 솔트를 강력한 값으로 설정하여, 세션과 쿠키의 보안을 강화할 수 있습니다.
- 비밀 키 생성: 워드프레스 비밀 키 생성기에서 강력한 비밀 키를 생성합니다.
- wp-config.php 파일 수정: 생성된 키를
wp-config.php파일의 기존 키 부분에 붙여넣습니다.
7. 로그인 시도 제한
비밀번호 추측 공격(브루트 포스 공격)을 방지하기 위해 로그인 시도를 제한하는 것이 좋습니다.
- 서버 설정: 서버의 보안 모듈(예: Fail2Ban, ModSecurity)을 사용해 로그인 시도를 제한할 수 있습니다. 이를 통해 일정 횟수 이상 로그인에 실패한 IP 주소를 차단할 수 있습니다.
8. 안전한 호스팅 사용
워드프레스 사이트의 보안을 강화하기 위해 신뢰할 수 있는 호스팅 제공 업체를 선택하는 것도 중요합니다. 보안이 강화된 서버 환경을 제공하는 호스팅을 선택하면, 서버 차원에서 추가적인 보안이 제공됩니다.
결론
플러그인을 사용하지 않고도 워드프레스 사이트의 보안을 강화할 수 있는 여러 방법이 있습니다. 관리자 계정 보안 강화, wp-config.php 파일 보호, 디렉토리 브라우징 비활성화, 자동 업데이트 설정, 파일 편집 비활성화, 비밀 키 보안 강화, 로그인 시도 제한 등의 방법을 통해 워드프레스 사이트를 더 안전하게 운영할 수 있습니다. 이러한 기본 보안 조치를 통해 해킹 위협으로부터 사이트를 보호하고, 안정적인 환경을 유지하세요.