친절한 우리 고모

친절한 고모의 친절한 이야기

  • 워드프레스

    🔐 워드프레스 보안 기본 설정

    2025. 4. 12.

    by. 친절한 고모

    목차

      🔐 워드프레스 보안 기본 설정

      (로그인 보호, 파일 접근 차단 등)

      워드프레스는 전 세계에서 가장 많이 쓰이는 CMS이기 때문에
      해킹 대상이 되기 쉽습니다.

      특히 실서버에 배포한 후에는
      보안 설정을 제대로 하지 않으면 사이트 전체가 무너질 수 있습니다.

      이번 글에서는
      ✔ 워드프레스 보안을 위한 필수 설정
      ✔ 로그인 보호와 파일 접근 제한
      ✔ 추천 보안 플러그인과 설정 팁
      을 실전형으로 안내합니다.

       

      🔐 워드프레스 보안 기본 설정

      ✅ 1. 기본 관리자 계정부터 바꾸자

      항목조치이유
      관리자 ID admin 사용 금지 공격자들이 가장 먼저 시도하는 아이디
      비밀번호 대문자 + 숫자 + 특수문자 조합 무차별 대입 공격 방지
      관리자 계정 숨기기 닉네임과 로그인 ID 다르게 설정 ID 유출 차단

      워드프레스에서 글 작성 시 보이는 작성자명은 ‘닉네임’입니다.
      로그인 ID와 다르게 설정해 두세요.

      🛡 2. 로그인 시도 제한 (무차별 공격 방지)

      **무차별 대입 공격(Brute Force Attack)**은
      아이디/비밀번호를 반복 대입하는 방식입니다.

      ✅ 추천 플러그인:

      • Limit Login Attempts Reloaded
      • Loginizer

      설정 예시:

      항목설정 추천값
      로그인 실패 허용 횟수 3회
      잠금 시간 20분 이상
      이메일 알림 실패 시 관리자에게 알림 전송

      💡 이 플러그인은 단순하면서도 아주 강력한 1차 방어입니다.

      🔒 3. wp-config.php 및 중요한 파일 접근 차단

      📁 wp-config.php 보호 (.htaccess 사용)

      .htaccess에 아래 코드 추가:

      apache
      복사편집
      <files wp-config.php> order allow,deny deny from all </files>

      📁 디렉토리 목록 노출 차단

      apache
      복사편집
      Options -Indexes

      이 코드를 .htaccess에 추가하면
      폴더 내 파일 리스트가 노출되지 않게 됩니다.

      🚫 4. XML-RPC 비활성화 (불필요한 외부 통신 차단)

      워드프레스는 기본적으로 xmlrpc.php를 통해 외부 통신을 허용합니다.
      하지만 대부분의 사용자에겐 필요 없는 기능이며, 공격 경로로 자주 활용됩니다.

      차단 방법 (.htaccess 추가):

      apache
      복사편집
      <Files xmlrpc.php> order deny,allow deny from all </Files>

      또는 Disable XML-RPC 플러그인을 설치해도 됩니다.

      🧩 5. 보안 플러그인 추천

      플러그인주요 기능
      Wordfence 방화벽, 악성코드 스캔, 로그인 보안
      iThemes Security 1 클릭 보안 설정, DB 접두어 변경 등
      All in One WP Security 초중급자 모두에게 적합한 종합 보안 플러그인

      💡 플러그인을 너무 많이 설치하면 오히려 충돌을 유발할 수 있으므로
      기능 중복 없이 1~2개만 선택해서 사용하는 것을 권장합니다.

      ✅ 6. 관리자 URL 변경 (고급 설정)

      워드프레스 기본 로그인 주소는 yourdomain.com/wp-admin
      → 공격자들이 너무 쉽게 접근합니다.

      방법:

      • WPS Hide Login 플러그인 설치
      • wp-login 주소를 yourdomain.com/mylogin 등으로 변경
      • 기억하기 쉬우면서도 예측 불가능한 주소 설정

      📋 보안 설정 체크리스트

      항목설명완료 여부
      관리자 ID 보안 ID는 ‘admin’ 금지 / 닉네임과 구분 ✅ / ❌
      로그인 시도 제한 무차별 대입 방지 ✅ / ❌
      wp-config 보호 .htaccess로 접근 차단 ✅ / ❌
      디렉토리 인덱싱 금지 파일 목록 노출 차단 ✅ / ❌
      XML-RPC 차단 외부 공격 경로 차단 ✅ / ❌
      관리자 URL 변경 로그인 진입점 숨기기 ✅ / ❌
      보안 플러그인 설치 Wordfence, iThemes 등 최소 1개 ✅ / ❌

      📘 다음 글 예고

      👉 워드프레스 이메일 발송 설정 (SMTP 적용 및 메일 실패 방지)
      : 댓글 알림, 폼 응답 등 워드프레스에서의 메일 발송 실패를 막고 안정적인 SMTP 설정 방법을 알려드립니다.

      저작자표시 비영리 변경금지

      '워드프레스' 카테고리의 다른 글

      💾 워드프레스 자동 백업 설정 및 복구 방법  (0) 2025.04.13
      💬 워드프레스에서 댓글 관리 및 스팸 차단 전략  (2) 2025.04.13
      🌐 워드프레스 멀티사이트 기능 설정 방법  (0) 2025.04.12
      📧 워드프레스 이메일 발송 설정  (0) 2025.04.12
      🔍 워드프레스 SEO 기본 세팅  (0) 2025.04.12
      ⚡ 워드프레스 속도 최적화 기본 설정  (0) 2025.04.12
      🔐 실서버에서 SSL 적용 및 HTTPS 설정하기  (1) 2025.04.12
      🌐 로컬 워드프레스에서 실제 서버로 옮기는 법  (0) 2025.04.12

      이 글을 본 사람들도 관심있게 본 글

    티스토리툴바