워드프레스 사이트의 가장 중요한 부분 중 하나는 바로 관리자 페이지입니다. wp-admin혹은 wp-login.php와 같은 경로는 누구에게나 알려져 있기 때문에 공격자가 무차별 대입(브루트포스 공격)이나 자동화된 봇을 통해 지속적으로 접근을 시도할 수 있습니다. 실제로 워드프레스 해킹 사례의 상당수가 관리자 페이지를 통한 불법 접근에서 시작됩니다. 따라서 사이트 보안을 강화하려면 관리자 페이지 접근 제한은 필수적인 단계라 할 수 있습니다.
1. 로그인 시도의 횟수 제한
가장 기본적인 보호 방법은 로그인 시도를 무한정으로 허용하지 않는 것입니다. 예를 들어 동일한 IP에서 비밀번호를 5회 이상 틀리면 일정 시간 동안 로그인 시도를 차단하는 방식입니다.
- 대표 플러그인: Limit Login Attempts Reloaded, iThemes Security
- 효과: 무차별 대입 공격 방어, 서버 부하 감소
2. 관리자 페이지 URL을 반드시 변경
기본 경로인 wp-login.php를 그대로 두면 공격자가 손쉽게 접근할 수 있습니다. 따라서 관리자 페이지 경로를 변경해 보안을 강화할 수 있으니 참고해 주세요.
- 예시:
mylogin,securepanel같은 맞춤 URL 설정 - 플러그인: WPS Hide Login
- 장점: 단순하지만 효과적인 은폐 기법
3. 특정 IP만 접근 허용
보안 수준을 더 높이고 싶다면 허용된 IP 주소만 관리자 페이지에 접근할 수 있도록 제한하는 방법이 있습니다.
- 서버
.htaccess파일 설정을 통해 특정 IP 이외 접근 차단 - 클라우드 방화벽(WAF)에서 화이트리스트 정책 적용
- 장점: 불특정 다수의 접근 원천 차단
4. 2단계 인증(2FA)을 추가하기
아이디와 비밀번호만으로는 충분하지 않을 수 있습니다. 관리자 페이지 로그인 시 추가로 2단계 인증(OTP, 이메일 코드, 인증 앱)을 설정하면 계정 탈취 위험을 크게 줄일 수 있습니다.
- 플러그인: Google Authenticator – Two Factor Authentication
- 효과: 설령 비밀번호가 유출되어도 추가 인증 없이는 로그인 불가
5. 관리자 계정 공유 절대금지 및 사용자 권한 분리
여러 명이 사이트를 운영한다면 관리자 계정을 공유하지 말고, 필요에 따라 권한을 세분화하는 것이 무엇보다 중요한 일입니다.
- 편집자는 콘텐츠만, 디자이너는 테마만 수정하도록 제한
- 관리자 권한은 꼭 필요한 최소 인원만 유지
마무리
워드프레스 관리자 페이지는 사이트의 핵심이자 동시에 취약점이 될 수 있습니다. 로그인 시도 제한, URL 변경, IP 접근 제어, 2단계 인증, 사용자 권한 관리와 같은 접근 제한 전략을 병행한다면 공격자가 침입할 확률을 크게 줄일 수 있습니다. 보안은 한 번의 설정으로 끝나는 것이 아니라 지속적인 점검과 관리가 필요하다는 점을 꼭 기억해 주세요!