🔐 로그인 보안 강화

🔐 로그인 보안 강화

2단계 인증, reCAPTCHA, 로그인 제한 실전 적용 가이드

"워드프레스가 해킹당했어요."
"관리자 계정으로 수백 번 로그인 시도가 있어요."
"로그인 보안 설정 안 해도 괜찮을까요?"

대부분의 워드프레스 해킹은 ‘로그인 페이지’로부터 시작됩니다.
공격자는 무차별 대입(Brute Force)으로 비밀번호를 시도하거나,
취약한 계정을 찾습니다.

이번 글에서는
✔ 워드프레스 로그인 보안의 기본 개념
✔ 2단계 인증 설정 (2FA)
✔ reCAPTCHA 연동 방법
✔ 로그인 시도 제한 설정
✔ 보안 플러그인 추천
을 실무 중심으로 소개합니다.

 

---

✅ 1. 로그인 보안이 중요한 이유

취약점결과

admin 계정 ID 노출	비밀번호만 알면 로그인 가능
무제한 로그인 시도	Brute Force 공격 발생
봇 로그인	서버 과부하 + 데이터 유출 위험
로그인 폼 자동화 해킹	PHP 취약점 노출 가능성 증가

📌 로그인 보안 설정은 워드프레스 운영의 최소한의 방어선입니다.

---

🧠 2. 2단계 인증(2FA) 설정 방법

✅ 플러그인 추천: WP 2FA – Two-factor Authentication

기능설명

구글 OTP 앱 연동	로그인 시 추가 인증 코드 입력 필요
사용자별 2FA 강제 가능	관리자, 편집자 등 역할 기준 설정 가능
백업 코드 제공	휴대폰 분실 시 대비

🔧 설치 및 설정

1. 플러그인 설치 → WP 2FA
2. 2단계 인증 설정 시작 클릭
3. Google Authenticator 앱으로 QR 코드 스캔
4. 코드 입력 → 백업 코드 저장

📌 공격자가 비밀번호를 알아도 인증 앱 없으면 로그인 불가!

---

🧩 3. reCAPTCHA 적용으로 자동 로그인 차단

✅ 플러그인 추천: Advanced Google reCAPTCHA

(또는 WPForms, Login No Captcha reCAPTCHA)

설정 절차

1. Google reCAPTCHA 사이트 접속
2. 새 사이트 등록 → V2 또는 V3 키 발급
3. 워드프레스 플러그인에 키 등록
4. 로그인, 회원가입, 댓글 영역에 적용 선택

유형특징

V2 (체크박스)	"나는 로봇이 아닙니다" 직접 체크
V3 (점수 기반)	사용자 행동으로 자동 판단 (UI 없음)

💡 V2가 눈에 보여 더 확실한 보안 효과 체감 가능

---

🚫 4. 로그인 시도 제한 기능

✅ 플러그인 추천: Limit Login Attempts Reloaded

기능설명

로그인 실패 횟수 제한	예: 5회 실패 시 20분 차단
IP 주소 기준 차단	동일 IP 반복 시 자동 블록
관리자 이메일 알림	반복 공격 감지 시 통보 가능

📌 해킹 봇의 반복 시도 자체를 차단해 서버 부하와 위험을 줄임

---

🔐 5. 고급 보안 조합 전략

전략사용 도구효과

관리자 경로 변경	WPS Hide Login	/wp-admin 대신 별도 주소 설정
로그인 알림 메일	Wordfence	로그인 성공 시 즉시 메일 전송
보안 이벤트 로그	iThemes Security	누가, 언제, 어디서 로그인 시도했는지 확인 가능

---

✅ 로그인 보안 강화 체크리스트

항목완료 여부

관리자 ID를 'admin'에서 변경	✅ / ❌
2단계 인증(2FA) 활성화	✅ / ❌
reCAPTCHA 적용 완료	✅ / ❌
로그인 실패 시도 제한 설정	✅ / ❌
관리자 경로 숨김 적용	✅ / ❌
보안 이벤트 모니터링 도구 사용	✅ / ❌