워드프레스를 서버에 올린 후에 가장 먼저 설치하는 플러그인을 꼽으라고 하면 저는 ‘보안 플러그인’을 꼽습니다. 사이트 안전이 중요하니까요. 국가 유지에 국방이 필수인 것처럼 워드프레스 사이트에서도 보안은 선택이 아닌 필수입니다.
워드프레스가 세계에서 가장 인기 있는 CMS(콘텐츠 관리 시스템)인 것은 잘 알고 계실겁니다. 전세계 웹사이트의 약 40%를 차지한다고 하죠. 해커들의 주요 타깃이 되기 쉽습니다. 코어, 테마, 플러그인 등 대부분의 코드가 공개되어 있다 보니 취약점을 찾는 것도 비교적 쉬울 것입니다.
가끔 몰라서 혹은 속도나 편의를 위해서 보안을 등한시하는 사이트 제작자도 종종 보는데요. 이는 굉장히 위험한 생각입니다.
잘못하면 사이트 통째로 털리는 수가 있습니다.
제가 운영하는 사이트 중에서 뉴스를 전문으로 하는 테마를 사용한 적이 있었는데요. 테마 자체 취약점 때문에 멀웨어가 심어져서 제가 올린 구글 광고가 아닌 남이 올린 광고가 올라가는 현상을 경험한 적도 있습니다. 이때는 보안 플러그인을 사용했음에도 멀웨어가 걸리는 황당한 상황이었습니다.
그러면 워드프레스 보안 플러그인을 사용해야 하는 이유가 무엇일까요?
첫 번째, 취약점 보완입니다. 앞서 얘기한 바와 같이 워드프레스는 그 특성상 취약점이 자주 발견됩니다. 보안 플러그인의 경우 이러한 취약점을 먼저 발견하고 문제점을 공유하여 해결 방법을 제시하기도 합니다. Wordfence Security(워드펜스 시큐리티)는 플러그인의 새로운 업데이트가 올라오면 해당 업데이트가 보안과 관련된 경우 사이트 관리자에게 업데이트 요청 알림을 보냅니다.
또한 정기적인 멀웨어 스캔을 통해서 감염 파일을 발견하는 역할을 하기도 합니다. 그리고 보안 플러그인은 파일이나 디렉토리 접근과 관련한 취약점에 대해서 경고해주기도 합니다.
유명 보안 플러그인들이 가진 방화벽 기능도 사이트를 보호하는데 유용합니다.
두 번째, 무차별 대입 공격 방지. 무차별 대입 공격(Brute Force Attack)은 해커가 자동화된 도구를 사용하여 다양한 사용자 이름과 비밀번호 조합을 시도하여 시스템에 불법적으로 접근하려는 공격 방식입니다.
보안 플러그인에서는 특정 IP주소에서 일정 시간 내 허용되는 로그인 시도 횟수를 제한하여 이를 초과하면 일시적으로 차단하기도 합니다. 또한 로그인 활동을 모니터링하거나 로그인할 때 캡차(CAPTCHA) 기능을 넣을 수도 있습니다.
2단계 인증(2FA)으로 아주 강력한 보안 기능을 지원하기도 하고요.
추천 보안 플러그인
- Wordfence Security
- All In One WP security
- iThemes Security
- Sucuri Security
위의 4가지 플러그인은 가장 인기가 좋은 보안 플러그인들입니다. 경험상 플러그인 제작 초창기에 무료로 제공되던 기능이 플러그인이 인기를 얻게 되면서 유료화되는 기능도 있습니다. 아쉽지만 이것은 분야를 막론하고 인기 플러그인들의 특징이기도 합니다.
웹개발에 잔뼈가 굵은 모 개발자의 말을 빌려보면 보안이 중요한 경우 Wordfence Security의 유료 버전을 활용하라는 팁이 있었습니다.
저는 주로 1번, 2번을 활요합니다. 전 아직 보안 플러그인을 유료로 사용해본 적은 없습니다.
그래서 워드프레스 보안을 위해서 실천할 것은?
보안을 위해서는 보안 관련 플러그인은 무조건 설치를 해주세요. 보안 플러그인들이 특성상 사이트 성능에 영향을 미치긴 하지만, 다시 말해, 약간 무거워지게 하는 경향이 있긴 하지만 보안이 매우 중요함을 감안할 때 감수해야 합니다. 서버 사양을 높이는 식으로 극복해야죠.
보안 플러그인을 설치했다면 보안 플러그인에서 제공하는 솔루션을 최대한 다 활용해보세요. 처음에는 모르는 부분이 많습니다. 구글링하면서 하나 하나 기능에 대해서 공부하다보면 해당 기능이 웹 보안에 왜 중요한지를 차근차근 이해할 수 있습니다.
사이트 운영자에게 피와 살이 되는 지식이라고나 할까요.
또한 인기가 너무 없어 검증되지 않은 신규 플러그인 설치는 항상 고민을 먼저하세요. 취약점이 유명 플러그인에 비해서 많을 수도 있습니다.
끝.
0개의 댓글