블로그 보안, 뭐부터 시작할까?

글쓴이 /

워드프레스를 처음 설정하고 나서, “이거 해킹당하면 어떡하지?”라는 생각이 한 번 들었던 적이 있습니다.
실제로는 어떤 방식으로 공격이 이루어지는지 잘 모르겠지만 막연한 불안감이 계속 남아 있었습니다.

그래서 이번 글에서는 블로그가 해킹당하는 대표적인 이유 5가지를 정리하고 초보자 기준에서 어떤 부분부터 점검하면 좋을지 함께 알아보려고 합니다.

플러그인/테마 업데이트 안 함

업데이트는 보통 우리에게 기능 개선이나 편의성 향상 정도로만 생각되기 쉽습니다. 하지만 실제로는 보안과 훨씬 더 밀접한 요소입니다. 플러그인이나 테마의 취약점은 시간이 지나면 공개되는 경우가 많고, 이를 노리는 자동화된 공격도 함께 늘어납니다.

저도 처음에는 업데이트를 미루다가, 나중에 한 번에 처리하려고 했던 적이 있는데 그 과정에서 오히려 오류가 날까 걱정이 되기도 했습니다.

업데이트를 하지 않는 상태는 이미 알려진 약점을 그대로 노출하고 있는 것과 비슷합니다. 플러그인과 테마를 업데이트 하는 것은 가장 기본적이지만, 동시에 가장 중요한 관리라고 볼 수 있습니다.

비밀번호가 약할 경우

너무 당연한 이야기지만, 비밀번호가 단순하면 그만큼 쉽게 뚫릴 수 있습니다. 특히 블로그를 처음 만들 때는 빠르게 설정하려다 보니 단순한 비밀번호를 사용하는 경우도 많습니다.

저 역시 처음에는 편하게 사용할 수 있는 비밀번호로 설정했던 적이 있는데, 보안을 생각하면 이 부분은 반드시 점검해야 한다고 느꼈고 영문, 숫자, 특수문자를 조합한 충분히 긴 비밀번호로 변경해두는 것이 좋겠습니다.

보안 플러그인 없음

워드프레스에는 기본적인 보안 기능이 포함되어 있지만, 그것만으로는 부족한 경우가 많습니다. 보안 플러그인을 활용하면 로그인 시도 횟수를 제한하거나, 의심스러운 접근을 차단하고, 파일 변경 여부를 감지하는 등 추가적인 방어 기능을 적용할 수 있습니다.

그래서 보안 플러그인이 없다면 단순히 설정이 부족한 상태가 아니라, 외부에서 들어오는 시도를 그대로 받아들이는 구조에 가깝다고 볼 수 있습니다. 최소한 하나 정도는 설치해두는 것이 좋습니다.

추천할만한 플러그인은 2가지 입니다.

Wordfence Security

  • 로그인 시도 제한 (무차별 공격을 막아줌)
  • 실시간 방화벽 (이상한 접근 차단)
  • 보안 스캔 (악성코드 체크)

WPS Hide Login

로그인 보안과 관련해서는 WPS Hide Login과 같은 플러그인을 활용하는 방법도 있습니다. 이 플러그인은 기본적으로 /wp-admin으로 접속하던 관리자 로그인 주소를 내가 원하는 다른 주소로 변경해주는 기능을 제공합니다.

실제로 주소를 완전히 바꾸는 것이 아니라, 기존 로그인 경로로는 접근하지 못하도록 막고 새로운 주소로만 접속할 수 있게 만드는 방식입니다. 이를 통해 외부에서 무작위로 로그인 시도를 하는 봇들의 접근을 어느 정도 차단할 수 있습니다.

설정도 복잡하지 않고, 주소만 변경하면 바로 적용되기 때문에 초보자도 부담 없이 사용할 수 있는 보안 방법 중 하나입니다. 다만 완벽한 보안이라기보다는 기본적인 방어막을 하나 추가하는 개념으로 이해하면 좋습니다.

출처 불명 테마/플러그인

워드프레스 공식 저장소에서 검색해 설치할 수 있는 플러그인들은 비교적 검증된 편입니다. 특히 다운로드 수가 많고 업데이트가 꾸준한 것들은 안정성이 높은 편입니다. 반면, 외부 사이트에서 “프리미엄 무료 배포” 등을 내세우는 파일들은 주의가 필요합니다. 겉보기에는 정상처럼 보여도 내부에 악성 코드가 포함된 경우도 있기 때문입니다. 초보라면 검증된 경로에서만 설치하는 것이 가장 안전합니다.

관리자 사이트 관련 기본 설정을 그대로 사용

마지막은 기본 설정과 관련된 부분입니다. 예를 들어 사용자명을 ‘admin’처럼 단순하게 설정하거나, 쉽게 유추 가능한 아이디를 사용할 경우 공격 시도에 더 노출될 수 있습니다. 자동화된 봇들은 보통 가장 가능성이 높은 아이디부터 시도하기 때문에, 이런 단순한 계정은 상대적으로 위험합니다.

또한 관리자 로그인 주소인 /wp-admin은 기본값 그대로 사용되는데, 이를 그대로 두기보다 보안 플러그인을 통해 다른 주소로 우회 설정하는 방법도 있습니다. 실제 주소가 바뀌는 것은 아니지만 외부에서는 접근하기 어려운 구조로 만들어주는 방식입니다. 매번 동일한, 그것도 남들과 같은 주소로 접속하는게 신경쓰인다면 플러그인 사용도 한 번 고려해볼 만한 부분입니다.

마무리

다시 정리해보면, 해킹은 특정 누군가를 노린 공격이라기보다 ‘취약한 사이트를 자동으로 찾아내는 구조’에 가깝다는 것을 알게 되었습니다. 즉, 특별히 눈에 띄지 않더라도 기본적인 관리가 되어 있지 않다면 누구든 대상이 될 수 있다는 의미입니다.

그렇다고 해서 완벽한 보안을 처음부터 갖출 필요는 없습니다. 다만 이번에 정리한 것처럼 업데이트, 비밀번호, 기본 설정 정도만 점검해도 대부분의 위험은 크게 줄일 수 있습니다. 저 역시 이번 글을 계기로 보안 설정을 다시 한 번 점검해보게 되었고, 블로그를 시작하는 단계에서는 이 정도만 챙겨도 충분히 의미 있는 시작이라고 느꼈습니다.

보안 기본 설정도 중요하지만 실제로 문제가 발생했을 때를 대비하는 백업 역시 함께 준비해두는 것이 중요하다고 느꼈습니다. 다음 글에서는 백업 플러그인을 활용해 미리 대비하는 방법을 정리해두었습니다.

블로그 백업, 왜 중요한지 확인하기

“블로그 보안, 뭐부터 시작할까?”에 대한 1개의 생각

  1. 핑백: 워드프레스 백업, 미리 해두는 게 중요한 이유 – sovel.kr

댓글 달기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다

위로 스크롤