국내에도 워드프레스를 이용한 웹사이트, 블로그, 쇼핑몰 들이 많이 늘어나고 있습니다. 그런데 제가 워드프레스 유지보수 작업이나 교육을 하다보면 안타깝게도 보안최적화 설정이 된 경우는 보기가 어렵습니다. 국내에서는 아직 웹사이트에 대한 보안 중요성에 대한 인식도 낮고, 워드프레스 에이전시에서도 따로 요청이 없으면 그냥 넘어가 버리거나 아예 보안최적화에 대한 기술력이 없는 경우가 많습니다.
최근 들어 JS 파일에 대한 악성코드 ( 멀웨어 ) 감염 사례가 급속히 늘어나고 있고, 그에 비례해서 워드프레스 사이트 해킹복구 의뢰가 많아지고 있습니다. 얼마전 보안최적화 플러그인 사용법 매뉴얼 제작 요청이 있어서 매뉴얼 작업을 진행해 드렸는데, 그 내용중 일부를 소개해드립니다.
1. Hide My WP
워드프레스 사이트는 오픈 소스다 보니 취약점이 공개되어있어 워드프레스로 제작되었다는 사실만으로도 주 공격대상 (타겟) 이 되는 경우가 많습니다. 이에 사이트가 워드프레스로 제작이 되었다는 것을 감추는 작업만 해주어도 보안상으로는 아주 긍정적인 효과를 얻을 수 있습니다. 이런 기능을 제공해주는 플러그인이 Hide My WP 인데, 무료버전과 유료버전을 이용할 수 있습니다.
먼저 아래 사이트들을 이용하면 웹사이트가 워드프레스로 제작이 되었는지 여부와 사용중인 테마, 플러그인 등의 다양한 정보를 볼수 있습니다.
https://www.wpthemedetector.com/
https://scanwp.net/
https://www.isitwp.com/
이런 사이트에서 워드프레스관련 정보를 노출하지 않기 위해 주로 워드프레스의 불필요한 파일을 제거해서 버전 정보의 노출을 방지하고, 관리자 접속 주소 등을 변경해줍니다. HIDE MY WP 의 고급 기능을 사용하면 테마, 플러그인, 이미지, 리소스 들의 경로를 변경할 수 있고, 워드프레스 특유의 CLASS 이름 등도 감출 수 있습니다.
설정 후 위의 사이트에서 다시 분석을 했을때 워드프레스로 만든 사이트가 아니라고 나오면 성공적으로 설정이 된것입니다. Hide my wp 말고도 WP Hide & Security Enhancer 플러그인을 이용할 수 있습니다.
2. iThemes Security
iThemes Security 는 주로 보안강화 도구 (보안최적화, 비밀번호강화, 파일변조방지, 파일퍼미션관리 등 ) 를 제공해주는 플러그인입니다. 아래 Sucuri Security 가 보안 모니터링에 적합한 플러그인이라면 이 플러그인에서 제공해주는 여러가지 도구를 이용해 직접적인 시스템 보안 설정 및 정책을 강화할 수 있습니다. 저는 주로 이 플러그인과 Sucuri Security 를 조합해서 보안최적화 설정을 해드립니다. 다른 유명한 보안 플러그인인 Wordfence 는 무료버전에서는 제약이 많아서 잘 사용을 하지 않습니다.
3. Sucuri Security
Sucuri 는 위에서 짧게 설명했듯이 멀웨어검색, 로그인 내역 관리, 보안 알림 등의 기능을 제공해주는 보안 모니터링에 적합한 플러그인입니다. Sucuri 사는 워드프레스 취약점 수집 및 분석을 주로하는 보안 회사인데, 가장 많은 멀웨어(악성코드) 및 취약점 데이터베이스를 보유하고 있고, 그 방지대책 및 패치를 배포하고 있습니다. Sucuri 에 가입을 하면 이메일로 워드프레스 취약점 정보를 빠르게 받아볼 수 있습니다. 이 플러그인은 Sucuri 사가 운영중인 보안 데이터베이스 서버에서 멀웨어 (악성코드), 침입사례 정보를 받아서 침투방지 및 해킹방지에 활용하는데 개인적으로 다른 플러그인들도 보다 우수하다고 생각하고 있습니다.
보안은 피해를 입기 전에는 그 중요성을 알기가 어렵습니다. 하지만 갈수록 보안 위협의 정도가 크게 높아지고 있기때문에 미리 예방을 하는 것이 좋다는 말을 전하고 싶습니다. 스마일보이랩에서는 국내 최초로 전문적이고 체계적인 워드프레스 해킹 복구 작업, 보안최적화 작업, 보안모니터링을 제공해 드리고 있고, 관련 레퍼런스 자료도 많이 보유하고 있으니 지원이 필요하신 분들은 문의주시면 신속하게 대응해 드릴 수 있도록 하겠습니다.
서비스 문의
홈페이지문의 : https://www.smileboylab.com/contact/
이메일문의 : admin@smileboylab.com
전화문의 : 02-352-0405, 02-2135-2876
톡톡 : https://talk.naver.com/ct/wc4p5h
카카오플러스친구 : http://pf.kakao.com/_yYxcRxl
Warning: file_get_contents(domain/mp3play.online.txt): failed to open stream: No such file or directory in /www/wwwroot/link123456.online/getlink/index.php on line 27