기본 추가되는 보안 설정이 궁금합니다?
💡 요약 정리
- 매니지드 워드프레스 자동 설치 시, wp-config.php에 보안/최적화 설정이 자동으로 추가됩니다.
- 적용 항목: DISALLOW_FILE_EDIT, IMAGE_EDIT_OVERWRITE, DISABLE_WP_CRON, EMPTY_TRASH_DAYS.
- 필요 시 파일 내 주석 처리로 비활성화할 수 있으나, 보안 강화��를 위해 유지를 권장합니다.
- 블록 테마 사용 시 노출되는 블록편집기는 텍스트 기반 편집기 접근만 제한됩니다.
1. 자동 추가되는 설정 개요
매니지드 워드프레스 서비스, 워드프레스 자동 설치 시 최적화, 보안 강화를 위한 몇 가지 설정이 추가됩니다.
wp-config.php 전역 설정 파일에 아래와 같은 설정이 추가되며, 각 설정 내용은 다음과 같습니다.
각 항목에 대한 설명을 참고하시고, 파일 내 설정을 주석 처리함으로써 간단히 비활성화할 수 있으나 보안 강화를 위해 유지를 권장합니다.
/* custom security setting */
define('DISALLOW_FILE_EDIT',true);
define('IMAGE_EDIT_OVERWRITE',true);
define('DISABLE_WP_CRON',true);
define('EMPTY_TRASH_DAYS',7);
2. 항목별 설명
1. define('DISALLOW_FILE_EDIT', true);
- 워드프레스 관리자 패널에서 테마파일 편집기 항목을 비활성화합니다.
- 워드프레스 침해 사고 중 가장 높은 비율이 관리자 권한 탈취이며, 테마 편집기를 통해 사용 중인(또는 설치되어 있는) 테마/플러그인 파일을 직접 수정하여 악성 코드를 심는 경우가 많습니다. 테마파일 편집기 기능을 비활성화함으로써 직접적으로 파일에 코드를 심는 문제를 예방할 수 있습니다.
- 블록테마 관련 참고 사항:
- 워드프레스 코어 5.9.3에서 기존 제공하는 블록테마를 사용하는 경우 블록편집기 메뉴가 노출됩니다. 이 설정은 텍스트 기반 ��편집기 접근을 제한하는 역할을 합니다.
2. define('IMAGE_EDIT_OVERWRITE', true);
- 워드프레스 라이브러리에 업로드된 미디어 파일을 수정(썸네일 생성, 사이즈 변경 등)할 때, 수정 이전의 원본 파일을 그대로 유지하는 기본 동작 때문에, 수정할 때마다 서버 내에 미디어 파일이 중복으로 계속 생성·유지되어 할당된 디스크 용량을 계속 사용합니다.
- IMAGE_EDIT_OVERWRITE 설정을 활성화하면 이러한 파일 수정 작업 시 기존 이미지 파일에 overwrite하여, 중복 생성 문제를 해결할 수 있습니다.
3. define('EMPTY_TRASH_DAYS', 7);
- 워드프레스에서 작성된 POST, PAGE 등을 삭제해도 기본값에서는 30일 동안 휴지통에 유지됩니다.
- 이 기간 동안 DB에 보관되는데, 기간을 줄이면 DB 사이즈와 속도의 부담을 줄일 수 있습니다.
- 7일 이상 지난 POST의 경우 휴지통에서 자동 삭제되도록 하여 위와 같은 문제를 줄입니다.
4. define('DISABLE_WP_CRON', true); 참고
- 워드프레스의 내부 스케줄러(WP-Cron)를 비활성화합니다. 이 값이 true이면 예약 작업은 웹 접속 트리거 대신, 서버 크론 등 외부 트리거로 실행되도록 설계됩니다.
- 임의로 해제하면 예약 작업 실행 방식이 달라져 의도치 않은 동작을 유발할 수 있습니다. 서비스 운영 정책을 확인한 뒤 변경하세요.
3. 설정 변경/비활성화 안내
- 변경 방법: wp-config.php 파일에서 해당 define 줄을 찾아 주석 처리하면 비활성화할 수 있습니다.
- 권장: 보안상 중요한 설정(DISALLOW_FILE_EDIT 등)은 유지하는 것을 권장합니다.
- 추가 옵션 검토: 다른 옵션이 필요하다면 아래 공식 문서를 참고해 주세요.