최근 워드프레스 보안 문제가 심심치 않게 발견되어 주의를 필요합니다. 모든 문제가 100% 해결될 수는 없겠지만, 워드프레스 홈페이지를 안전하게 지키는 데 필요한 기본 요소는 알아 둘 필요가 있습니다. 다음은 워드프레스 홈페이지를 보다 안전하게 운영하는데 도움이 되고자 “WordPress Security: Everything You Need to Know” 를 바탕으로 정리한 내용입니다.
Step 1. 주기적 백업
가장 먼저 주기적 백업입니다. 백업과 관련된 수 많은 워드프레스 플러그인이 있고, 호스팅 업체에서 제공하는 백업 방법도 있습니다. 이에 대한 자세한 내용은 온라인에 많이 있으니 검색해 보시기 바랍니다. 만약 비용이 들더라도 확실한 백업을 원한다면 VaultPress (by AUTOMATTIC) 서비스를 추천합니다. VaultPress는 이미 수 많은 사이트의 보안 및 백업 서비스을 제공하고 있는 워드프레스 커뮤니티의 대표 서비스 중 하나입니다. 최근 Lite 상품이 출시되어 일반 사용자들도 접근 가능한 수준으로 비용이 떨어 졌습니다. 2015년 1월 현재 ValutPress의 가격 정책은 다음과 같습니다.
Step 2. 최신 상태로 유지
최신 상태로 유지할 대상은 다음과 같습니다.
- 워드프레스 코어
- 워드프레스 테마 (비활성화된 것 포함)
- 워드프레스 플러그인 (비활성화된 것 포함)
현재 사용중인 테마나 플러그인의 특별한 설정으로 인해 최신 버전으로 유지하기 어렵다면, 앞으로는 다른 교체 가능한 테마나 플러그인으로 교체하는 것이 좋습니다. 그리고 워드프레스 홈페이지에 주기적으로 방문하여 테마 및 플러그인에 새 버전이 있는지 확인하는 것을 습관화 하는 것이 좋습니다. 단, 정식 버전이 아닌 베타 버전의 경우는 주의를 해야 합니다.
Step 3. 사용하지 않는 오래된 테마와 플러그인 삭제
보안 문제에 노출된 대부분의 플러그인은 즉시 패치 버전을 내 놓습니다. 그렇기 때문에 업데이트 하지 않고 있는 방치된 테마 및 플러그인의 경우 어떤 문제가 있을지 알 수 없습니다. 그렇다고 워드프레스 홈페이지 필수적으로 사용하고 있는 플러그인까지 삭제하지는 마시기 바랍니다.
Step 4. 프로필 관리
워드프레스에서 활동하지 않고 그대로 방치해 놓은 계정을 주기적으로 정리합니다. 역할(roles)도 조정하도록 합니다. 그리고 administrator 역할을 아무 사용자에게 부여하지 않도록 합니다. 특히, 만약 admin 아이디를 사용중인 계정이 있다면 admin 계정을 삭제하고 다른 이름을 사용하시기 바랍니다. 이는 최근에 문제가 되었던 Brute-Force Attack의 주요 타킷이었기 때문입니다. 조심할 것은 admin 계정을 변경 후, admin 계정에서 작성한 글 등을 새 계정으로 이관하는 작업은 잊지 마시기를 바랍니다.
Step 5. 비밀번호 변경
비밀번호 변경이 필요한 리스트를 정리해 보면 다음과 같습니다.
- 모든 워드프레스 사용자 계정
- 호스팅 계정
- FTP/SSH 계정
위 계정의 비밀번호를 좀 더 강력한 것으로 변경할 것을 권장합니다. 강력한 비밀번호를 생성하는데 어려움이 있다면 LastPass Random Password Generator 서비스를 이용하는 것도 좋은 방법입니다.
Step 6. Disable FTP
FTP 접속 대신 SFTP (SSH File Transfer Protocol)을 사용하시기를 권장합니다.
Step 7. 호스팅 선정 시 중의
원문 글에서는 Westhost를 언급하고 있지만, 국내 사용자가 Westhost 호스팅을 이용할 일은 많지 않습니다. 대신 Westhost에서 제공하는 보안 방법을 인용해 보면 다음과 같습니다.
- ModSecurity
- SFTP support
- 27/7 local telephone support
- Daily backups
Step 8. 보안 플러그인 활성화
원문 글에서 추천한 플러그인은 다음과 같습니다.
Step 9. Sucuri 블로그 구독
마지막으로, 워드프레스 보안과 관련된 소식을 주로 전하는 Sucuri 블로그를 구독할 것을 추천합니다.
