워드프레스 보안 강화 10가지 – 해킹 방지 필수 설정 가이드

by

워드프레스는 전 세계 웹사이트의 43%가 사용하는 만큼, 해커들의 주요 타겟이기도 합니다. Sucuri의 2025년 보고서에 따르면 해킹당한 CMS 사이트 중 96.2%가 워드프레스였습니다. 하지만 대부분의 해킹은 기본적인 보안 설정만 해도 예방할 수 있습니다. 이 글의 10가지를 적용하면 해킹 위험을 90% 이상 줄일 수 있습니다.

해킹이 발생하는 3대 원인

원인비율예시
오래된 플러그인/테마52%업데이트 안 한 플러그인의 보안 취약점
약한 비밀번호33%admin / 1234 같은 비밀번호
취약한 호스팅15%PHP 버전 미업데이트, 서버 설정 미흡

보안 강화 10가지 (우선순위 순)

1. 워드프레스/플러그인/테마 항상 최신 버전 유지 ⭐ 가장 중요

해킹의 절반 이상이 오래된 소프트웨어 취약점을 이용합니다.

  • 관리자업데이트에서 주 1회 확인
  • 자동 업데이트 활성화: wp-config.php에 define('WP_AUTO_UPDATE_CORE', true);
  • 사용하지 않는 플러그인/테마는 비활성화가 아닌 삭제 (비활성 상태에서도 해킹 가능)

2. 관리자 계정 보안 강화

  • 계정명: “admin” 절대 사용 금지. 새 관리자 계정을 만들고 기존 admin 삭제
  • 비밀번호: 최소 16자, 대소문자+숫자+특수문자 (예: Tr@vel2026!SecurE#)
  • 비밀번호 관리자 사용: Bitwarden(무료) 또는 1Password로 복잡한 비밀번호 관리

3. 로그인 시도 제한

해커는 자동화 도구로 초당 수백 번의 비밀번호를 시도합니다(브루트 포스 공격).

  • Limit Login Attempts Reloaded 플러그인 설치 (무료)
  • 설정: 5회 실패 → 15분 잠금, 3회 잠금 → 24시간 차단
  • 또는 Nginx에서 직접 제한: limit_req_zone 설정

4. 로그인 URL 변경

기본 로그인 URL(/wp-admin, /wp-login.php)은 모든 해커가 알고 있습니다.

  • WPS Hide Login 플러그인 설치 → 설정에서 URL을 /my-secret-login 같은 것으로 변경
  • 이것만으로도 자동화된 공격의 99%를 차단할 수 있습니다

5. 2단계 인증(2FA) 활성화

  • WP 2FA 또는 Google Authenticator 플러그인 설치
  • 로그인 시 비밀번호 + 스마트폰 인증 코드 필요
  • 비밀번호가 유출되어도 2FA가 있으면 안전

6. SSL(HTTPS) 적용

  • 모든 데이터(비밀번호 포함)가 암호화되어 전송
  • SEO에도 긍정적 영향 (구글 순위 요소)
  • Let’s Encrypt 무료 인증서 + Certbot으로 자동 갱신

7. 보안 플러그인 설치

플러그인무료 기능추천 대상
Wordfence방화벽, 악성코드 스캔, 로그인 보안가장 인기, 종합 보안
Sucuri Security보안 활동 모니터링, 파일 무결성 검사기업/전문 블로그
iThemes Security30가지+ 보안 설정다양한 보안 옵션 원할 때

추천: Wordfence 무료 버전이면 개인 블로그에 충분합니다.

8. 정기적 백업

해킹당해도 백업이 있으면 복구할 수 있습니다.

  • UpdraftPlus 플러그인: 구글 드라이브/Dropbox에 자동 백업
  • 설정: 주 1회 전체 백업, 일 1회 데이터베이스 백업
  • 백업 파일은 반드시 외부 저장소에 보관 (서버가 해킹되면 서버의 백업도 감염됨)

9. 파일 편집 비활성화

관리자 패널에서 테마/플러그인 파일을 직접 편집하는 기능은 해커가 악성 코드를 삽입하는 통로가 됩니다.

// wp-config.php에 추가
define('DISALLOW_FILE_EDIT', true);

10. XML-RPC 비활성화

XML-RPC는 외부에서 워드프레스에 접근하는 API인데, DDoS 공격과 브루트 포스 공격에 악용됩니다.

Nginx 설정에서 차단:

# /etc/nginx/sites-available/mysite 에 추가
location = /xmlrpc.php {
    deny all;
    return 403;
}

보안 체크리스트

  • ☐ 워드프레스/플러그인/테마 최신 버전
  • ☐ admin 계정명 변경
  • ☐ 강력한 비밀번호 (16자+)
  • ☐ 로그인 시도 제한 플러그인
  • ☐ 로그인 URL 변경
  • ☐ 2FA 활성화
  • ☐ SSL/HTTPS 적용
  • ☐ 보안 플러그인 (Wordfence)
  • ☐ 자동 백업 설정
  • ☐ 파일 편집 비활성화
  • ☐ XML-RPC 차단
  • ☐ 사용 안 하는 플러그인/테마 삭제

마무리

보안은 한 번 설정하고 끝나는 것이 아닙니다. 주 1회 업데이트 확인 + 월 1회 백업 확인 습관만 들이면 대부분의 해킹을 예방할 수 있습니다. 오늘 바로 할 것: ① Wordfence 설치 ② 로그인 URL 변경 ③ admin 계정명 변경. 이 세 가지가 가장 효과 대비 노력이 적은 보안 강화 방법입니다.

Leave a Comment