[보안1]기본적인 워드프레스 보안 3가지

아시다시피 워드프레스는 오픈소스입니다. 말 그대로 오픈소스는 소스가 공개되어 있어서 특히나 “보안”에 취약하지만, 그 대응 또한 빠르다는 점이 장단점입니다. 다만, 이를 동시에 누리려면 전제 조건이 하나 붙습니다. “update !!!”

 

1. update !!! update !!!

 

개발자라면 워드프레스 보안백서 wordpress security white paper 를 한번은 정독할 필요가 있으며, 일반 사용자도 wordpress security archive 정도는 눈여겨 볼 필요가 있습니다.

워드프레스의 버전업은 보안패치나 다름이 없습니다. 워드프레스가 발표된지 5년 정도 지나면서 사용자가 급증하자 다양한 플러그인과 테마가 등장하였는데,  동시에 해커의 타겟이 되곤 하였습니다. 이후 일부 인기있는 플러그인은 아예 워드프레스에서 채용하여 버전업한 경우도 있습니다.

wp_security_archive

2015년 3월 팔로잉 중인 @wordpress news 에 XSS 취약점에 노출된 다수의 플러그인이 계속 트윗되었습니다. 매우 유명한 플러그인이 다수 포함되어 있으므로 꼭! 확인해 보시기 바랍니다. 그중 몇가지만 나열하면…

  • Jetpack
  • wp super cache
  • WordPress SEO
  • Google Analytics by Yoast
  • All In one SEO
  • Gravity Forms
  • WP-E-Commerce
  • WPTouch
  • Broken-Link-Checker
  • Ninja Forms

이외에도 내가 사용중인 플러그인이나 테마를 확인하고자 한다면, WPScan Vulnerability Database에서 플러그인과 테마를 선택해서 검색해 보십시오. 그리고 더 간단한 방법은 바로 …

“u.p.d.a.t.e.~~~ update !!!”

 

2. admin 을 사용하지 마세요.

워드프레스 설치시 습관적으로 사용자 이름을 admin 으로 하는 경우가 있는데, 보안에 매우 좋지 않습니다. 이미 폴더도 공개되어 있어서 wp-admin 폴더라는 것도 알고 있고, 아이디 마저 admin 이라면 대단한 강심장일 것입니다.

no-admin

만약, 이미 사용 중인 admin 을 아이디를 바꾸고자 한다면, 여러가지 방법이 있지만 간단하게…

  1. 새 계정을 만들고, administrator 권한을 부여
  2. 기존의 admin 계정 삭제

하시면 됩니다.

 

3. 백업! 백업! BackUp!

백업은 귀차니즘과의 싸움입니다. 몰라서 안하는 것이 아니라 알아도 귀찮아서 무시하기 때문입니다.

서버 관리자라면 cron으로 자동백업을 할 수 있겠지만, 일반 사용자라면 아래의 세가지 중 한가지 라도 사용하시기 바랍니다.

1. 호스팅 회사의 백업 서비스 이용

개인적으로 추천하는 방법으로, 가장 완벽한 백업은 호스팅 회사의 백업 서비스입니다. 직접 DB백업과 폴더백업을 챙기십시오. 최후의 수단입니다만, 어떤 문제가 발생했는데 백업이 없다면 호스팅 회사에 전화해서 “어제 백업한 데이터로 되살려 주세요” 라고 요청하면 됩니다. 호스팅 회사는 따로 백업하고 있습니다.

2. 백업관련 플러그인 사용

wordpress backup plugin 으로 구글링하면 추천하는 플러그인이 몇개 나옵니다. 플러그인이 백업하는 방식은 대강 이렇습니다. (1) 내 테이터를 플러그인 회사에 백업 (2) 내 호스팅 서버에서 백업 후 알림 통보. 기타 마지막 백업한 데이터로 되돌려 주는 플러그인도 있습니다만, 너무 많은 권한을 허용해야 하기 때문에 개인적으로는 비추천합니다만 상황에 맞게 선택하시면 될듯 합니다.

3. 워드프레스 자체 툴 사용

[설정]-[내보내기]를 이용하여 최소한 db라도 백업. ftp로 폴더까지 백업한다면 금상첨화입니다. 하지만 호스팅회사에 로그인하느냐, 내 사이트에 로그인하느냐의 차이일 뿐 1번의 방법과 크게 다르지 않습니다.

 

Posted in Uncategorized

Leave a Reply