워드프레스 운영시 필수 보안 챙겨야하는 로그인 제한 설정방법 알아본다. 평소에 얼마나 많은 해킹 시도가 일어나는지 알면 놀랄 것이다. 문제가 생긴 뒤 해결하느라 맘고생 시간낭비 하지말고 이렇게 간단한 정도는 초기 세팅시 해놓고 운영하도록 하자.
워드프레스는 블로그를 내 호스팅 서버에 설치해서 운영하는 개념이다. 그 프로그래밍 코드가 오픈소스라 공개되어 있다. 장점은 많은 사람들이 다양한 플러그인을 만들고 문제 개선이 활발하다는거, 단점은 그걸 악용해서 해킹 시도가 빈번하게 일어나곤 한다.
로그인 주소 변경하기
가장 기본적인 해킹 방법은 아이디 비밀번호 대입으로 관리자 권한 접속을 시도하는 것이다. 이게 뚫리면 그냥 망하는거다.
왜냐면 무슨 프로그램으로 서버측에 어택 들어온 것도 아니고 그냥 블로거가 실제로 로그인 화면에서 아이디 비번 치고 접속하듯이 똑같이 들어오기 때문에 감지가 안되는 것이다.
그래서 아예 로그인 시도하는 주소 자체를 바꿔버려서 모르게 하는 방법이 1단계가 되겠다.
왠만하면 플러그인 설치는 최소화하는 주의인데, 이건 어쩔 수 없이 설치해주도록 한다. 로그인주소 변경을 개발지식 공부해서 직접 하자면 우리같은 일반인은 너무 골치아프니까 (괜히 직접 하다가 뭐 잘못 건드리는게 보안에 더 구멍뚫리는 일일 테니까)
플러그인 설치 후 활성화 해준 뒤 > 관리메뉴 > 설정 > WPS Hide Login 으로 들어간다.
아래쪽에 이렇게 WPS Hide Login 플러그인의 메뉴가 두 가지 새로 생겼을 것이다.
첫번째 줄은 로그인 url 주소를 나만 아는 것으로 바꿔주는 것이고, 두번째 줄은 기존 로그인 페이지로 접속 시도시 리디렉션 시킬 타겟 url 주소를 입력하는 것이다. 기본적으로 404 not found로 되어 있는데 저걸 지우고 메인 페이지로 보낼 수 있나 해봤는데 먹히지 않았다. 뭐라고 입력해야 되는 듯.
변경사항 저장을 누르면 이렇게 로그인 페이지가 바뀐다. 주의할 점은 저 새로운 로그인 주소를 까먹지 않도록 곧바로 즐겨찾기 저장해놓으라는 것이다.
로그인 횟수 제한하기
로그인 주소를 바꿨어도 혹시나 그걸 또 알아내고 시도하는 공격이 있을수도 있으니 2차적인 안전장치까지 마련해 놓으면 더 좋겠지? 바로 로그인 횟수 자체를 제한하는 것이다.
limit login attempts reloaded 라는 플러그인을 설치해서 활성화 해준다.
설정으로 들어가보면 기본적인 기능은 이렇게 특정 횟수 로그인 시도 실패가 있을 경우 특정 시간동안 제한을 거는 기능이다.
어차피 집의 내 컴퓨터에서 주로 접속을 하니까 보다 강력하게 설정을 해놨다. 잠금 3번 당하면 1200시간 50일동안 접속 못하게 ㅋㅋㅋ
(아예 네이버처럼 최초 인증한 브라우저나 IP 정보에서만 로그인 되고 새로운 시도는 무조건 인증을 하게 만드는 방법은 없나? 그게 제일 확실할 거 같은데)
limit login attempts reloaded 플러그인 대쉬보드에 보면 이렇게 로그인 시도도 표시된다. 여기서 자신의 워드프레스 로그 기록 공유를 선택하면, 클라우드 버전으로 무료 업그레이드가 된다.
그러면 전체 워드프레스에서 이 플러그인 설치된 곳이 200만회 이상이니까 그곳에서 모인 통계들을 가지고 단번에 이 IP는 악성 해킹시도 소스구나 하고 곧바로 차단도 가능해지는 것이다. 집단지성 빅데이터 같이 모아서 대응하는 훨씬 강력한 방식이라고 볼 수 있겠다.
이렇게 해서 기본적인 루트로 접근 시도하는 로그인 해킹 시도는 1차적으로 막을 수 있다. 막 어려운 작업도 아니고 간단한 플러그인 설치를 통해서 보안 강화를 할 수 있으니, 나중에 털리고 문제 생겨서 우는 것보다 처음 워프 세팅할 때 같이 해놓으면 안심이다.
보안 챙기는 김에 클라우드 웨이즈 계정의 비밀번호와, 각 워드프레스 관리자 아이디의 비번도 모두 구글 안심비번 추천 (영문 대소문자 + 숫자 + 특수기호 섞어서 랜덤)으로 변경해놓았다. 구글계정에 저장해놓고 자동 로그인으로만 사용하는거라 나도 비번을 모른다 이제 ㅋㅋㅋ
근데 구글 계정이나 컴퓨터 자체가 털리면 또 망하는거네. 보안은 창과방패의 싸움이라 이렇게 계속 신경쓰다보면 한도끝도 없긴 하다. 최소한 할 수 있는 데까지는 챙겨서 어이없게 털리는 일은 막아보는 거지 뭐.
