워드프레스 기본 보안 체크리스트
- 워드프레스가 최신 버전으로 업데이트가 되어 있는가?
– 워드프레스는 세계에서 가장 많이 사용하는 CMS 입니다. 취약점이 발생될 시 바로 업데이트가 되기 때문에, 귀찮아서 업데이트를 안할 경우 사이트가 보안에 취약해질 수 있습니다. - 관리자 아이디를 ‘admin’ 또는 ‘administrator’ 로 만들었는지 또는 관리자 비밀번호가 너무 쉽지 않은지?
– 관리자는 워드프레스의 모든 권한을 가지고 있는 중요한 부분이다. 아이디가 admin 또는 root 일 경우, 보안에 취약할 수 있으며 ddos의 위험이 있습니다. - 워드프레스 설치 시 Database table prefix가 기본 값이다. (default.’wp-’)
– 널리 알려져 있는 기본 데이터베이스 테이블 prefix을 이용 시 보안에 취약할 수 있습니다. - 워드프레스 설치 시 기본 폴더로 설치를 했다. (wp-admin, wp-content, wp-includes)
– 로그인 페이지(WP-login, WP-admin)등 폴더를 널리 알려져 있는 기본으로 두게 되면, 자동화 공격으로 인해 피해를 볼 수 있습니다. - wp-config.php 그리고 .htaccess 파일이 777 또는 755 권한이 아닌지?
워드프레스 추천하는 보안 플러그인
1. iThemes Security (구 Better WP Security)
워드프레스 보안 플러그인 중에 해외에서 손 꼽히는 플러그인입니다. 항상 해외 블로그 TOP에 들어있으며 국내 플러그인 소개에서도 많이 소개되어 있습니다.
현재 Taking LAB에서도 활성화되어 있으며, 손쉽게 보안을 설정할 수 있다는 것이 장점입니다.
- 3,108 평가 기준에 의한 별점 4.5점 만점입니다.
2. Wordfence Security
Wordfence Security은 방화벽, 바이러스 검색, 실시간 트래픽 등 다양한 기능을 가진 무료 보안 플러그인입니다.
- 1,479 평가 기준에 의한 별점 5점 만점입니다.
3. BulletProof Security
XSS, RFI, CRLF, CSRF, Base64, Code Injection, SQL Injection 에 강력하다는 평을 받고 있으며, 항상 해외 블로그 TOP에 들어있는 유명 플러그인입니다.
- 572 평가 기준에 의한 별점 5점 만점입니다.
4. All in One WP Security & Firewall
다른 플러그인 보다 나온지 별로 안된 플러그인입니다. 하지만, 좋은 평을 받고 있습니다.
- 132 평가 기준에 의한 별점 5점 만점입니다.
워드프레스 추천하는 기타 보안 플러그인
1. Akismet
워드프레스는 전세계적으로 많이 사용되고 있는 CMS입니다.
하지만, 운영되고 있는 사이트를 대상으로 스팸 글, 링크, 댓글 등을 올리는 스패머가 있으며 그에 따른 툴도 유료로 판매되고 있습니다.
Akismet 은 스팸 댓글을 차단하는 대표적인 플러그인이며, 워드프레스를 사용하는 사람들에게는 꼭 필요한 플러그인입니다.
2. Limit Login Attempts
관리자 페이지 또는 로그인 페이지에서 무작위 공격을 방어해주는 플러그인이며, 자동으로 무작위 공격자의 IP 주소를 차단할 수 있습니다.
3. WordPress File Monitor Plus
워드프레스 파일 중 변경이 된 파일이 있을 시, 메일로 어떤 파일이 변경되었는지 보내주는 플러그인입니다.
4. BBQ: Block Bad Queries
Block Bad Queries (BBQ) 는 악의적인 URL 접속 요청에 대해 웹 사이트를 보호하는 플러그인입니다.
eval(.base64_, 과도하게 긴 문자열 요청 등) .htaccess 를 사용할 수 없는 사이트에 대해 필요한 플러그인입니다.
