워드프레스 사이트에서 이미지, 동영상, PDF 등 다양한 미디어 파일을 업로드하는 기능은 방문자 경험과 콘텐츠 품질 향상에 필수적인 요소입니다. 그러나 공격자는 업로드 기능을 악용해 악성 코드가 포함된 파일을 서버에 삽입하거나, 관리자 계정을 탈취할 수도 있습니다. 따라서 미디어 업로드 과정에서 보안을 강화하는 것은 사이트 안전 운영의 핵심이라고 할 수 있습니다.
1. 업로드 가능한 파일 형식 제한하기
워드프레스의 이미지 확장자는 기본적으로 JPG, PNG, GIF, PDF 등의 파일 형식을 지원합니다. 하지만 사용하지 않는 형식까지 허용하면 공격 표면이 넓어지므로 아래와 같은 설정이 필요합니다.
- 허용할 파일 형식만 명시적으로 설정
- PHP, EXE, HTML 등 실행 가능한 파일은 업로드 금지
- 플러그인 예: WP Extra File Types로 허용 형식 관리
2. 파일 크기와 이름을 검증할 것
대용량 파일은 서버 과부하를 일으키고 공격 가능성을 높일 수 있습니다.
- 최대 파일 크기 제한 설정 (예: 5MB~10MB)
- 파일명에 특수문자나 스페이스 포함 여부 확인
- 필요 시 파일명 자동 변경(난수화) 기능 적용
3. MIME 타입을 검사할 것
파일 확장자는 바꿀 수 있지만, MIME 타입의 경우 서버에서 확인 가능하기 때문에 악성 파일을 탐지하는 것이 가능합니다.
- PHP, PNG, JPG, GIF 등 실제 MIME 타입과 확장자 일치 여부를 확인
- 플러그인 예: Wordfence, iThemes Security에서 MIME 검사 지원
4. 이미지 스캔과 정기적인 점검
업로드된 미디어 파일을 자동으로 스캔하여 악성 코드 삽입 여부를 확인하면 초기 공격을 막을 수 있는 효과가 있습니다.
- 클라우드 보안 서비스 또는 보안 플러그인 사용
- 정기적으로 서버 내 모든 업로드 파일 점검
5. 파일권한과 디렉터리의 보안
업로드 폴더(예: wp-content/uploads)는 웹에서 실행 권한을 최소화하고 반드시 지켜야 합니다.
- PHP 실행 금지
.htaccess설정 - 업로드 폴더 권한
755로 제한, 소유자와 그룹 확인 - 불필요한 파일 접근 차단
6. 외부 서비스의 활용
- 미디어 CDN 사용 시 보안 기능이 포함된 서비스 선택
- 파일 업로드 과정에서 바이러스 검사 자동 적용 가능
마무리
이미지·미디어 업로드는 편리하지만, 공격자에게 서버 접근의 기회가 될 수 있습니다. 파일 형식 제한, 크기 및 이름 검증, MIME 타입 검사, 정기 스캔, 폴더 권한 관리 등 단계별 보안 전략을 적용하면 악성 파일로 인한 위협을 크게 줄일 수 있습니다. 워드프레스 사이트의 안전한 운영과 방문자의 신뢰도 확보를 위해 반드시 실천해야 하는 필수 보안사항입니다.