본문으로 건너뛰기

기본 설치되는 보안 플러그인은 무엇인가요?

💡 요약 정리

  • 10G 광호스팅, 매니지드 워드프레스 등에서 워드프레스 설치 시 보안 플러그인이 기본 제공됩니다.
  • 주기적으로 최신 버전으로 업데이트됩니다.
  • WP Super Cache를 제외한 보안 플러그인은 설치 즉시 자동 활성화됩니다.
  • 플러그인 상태 변경: 관리자 패널 > 플러그인 > 설치한 플러그인 > 활성화/비활성화.
  • 보안 목적의 플러그인이므로, 활성화 유지를 권장합니다.

1. 기본 안내

  • 10G 광호스팅, 매니지드 워드프레스 등에서 설치되는 워드프레스는 보안 강화를 위해 아래 플러그인이 기본 설치됩니다.
  • 플러그인은 주기적으로 최신 버전으로 업데이트되며, WP Super Cache를 제외한 다른 보안 플러그인은 설치와 동시에 자동 활성화됩니다.
  • 관리자 패널에서 직접 비활성화할 수 있으나, 보안 강화를 위해 활성화 상태 유지가 권장됩니다.
  • 플러그인 활성/비활성 경로:
    • 관리자 패널 > 플러그인 > 설치한 플러그인 > 활성화 / 비활성화 클릭

2. 설치되는 보안 플러그인 목록

A. Login Lockdown

https://ko.wordpress.org/plugins/login-lockdown/ Login Lockdown 플러그인 소개 화면
  • 기본 활성화 상태이며, 무차별적인 워드프레스 관리자 인증 공격을 방어합니다.
  • 로그인 실패한 IP 주소와 timestamp 값을 내부 DB에 기록하고, 일정 횟수 이상의 시도가 감지되면 해당 클라이언트 IP를 일정 시간 차단합니다.
  • xmlrpc API 요청을 통한 계정 정보 탐색 및 관리자 비밀번호 대상 무차별 인증 시도가 빈번하며, Login Lockdown으로 효과적으로 방어할 수 있습니다.
  • 기본적으로 라이트(무료) 버전이 설치됩니다. 아래는 PRO 기능을 제외한 설정 방법입니다.
  • 관리자 패널 > 설정 > Login LockDown에서 세부 설정이 가능합니다.
    • 기본값: 5분 이내 로그인 시도 3회 실패 시 해당 IP를 1시간 차단

세부 설정

  • Basic
    • Max Login Retries
      • 정해진 시간 내 잘못된 인증 요청이 있었을 때, IP 차단을 발생시키는 시도 횟수
    • Retry Time Period Restriction (minutes)
      • 잘못된 인증 요청 최대 횟수를 카운트하는 시간(분)
    • Lockout Length (minutes)
      • 차단 발생 시 해당 IP를 차단하는 시간(분)
    • Log Failed Attempts With Non-existant Usernames
      • 존재하지 않는 계정으로의 로그인 시도도 차단 횟수로 카운트할지 여부
    • Mask Login Errors?
      • 잘못된 로그인 시도로 차단되었을 때 차단 메시지를 출력할지 여부
    • Block Type
      • 웹사이트 전체 차단 또는 로그인 페이지만 차단(기본값: 로그인 페이지만 차단)
    • Block Message
      • 차단 대상에게 보여줄 메시지
    • Whitelisted IPs
      • 화이트리스트 IP 추가(인증 실패 반복에도 차단하지 않음)
    • Show Credit Link?
      • 차단 시 Login LockDown 링크 표시 여부(표시하지 않는 것을 권장)
  • Advanced
    • Wipe Data on Plugin Delete
      • 플러그인 삭제 시 옵션, 규칙, 로그 정보를 모두 삭제
  • Tools
    • Email Test
      • 사이트에서 기본 관리자 이메일로 메일 발송이 정상인지 테스트
    • Recovery URL
      • 화이트리스트 없이 관리자 IP가 잠겼을 때 해제할 수 있는 URL 생성(접속 후 해제, 관리자 패널 접근 가능)
    • Import Settings
      • 기존 설정값 가져오기
    • Export Settings
      • 현재 설정값 내보내기(백업)

B. Two Factor Authentication

https://ko.wordpress.org/plugins/two-factor-authentication/ Two Factor Authentication 플러그인 소개 화면
  • 2단계 인증으로 워드프레스 로그인 보안을 강화합니다.
  • 이메일 인증 코드, QR 코드 기반 앱(TOTP), FIDO U2F 보안키, 백업 코드 등 다양한 방법을 제공합니다.
  • 설정 위치:
    • 관리자 패널 > 사용자 > 모든 사용자 > 사용자 선택 > 하단의 Two-Factor Options에서 2중 인증 방법 선택 및 설정

이용 가능한 인증 방법

  • Email
    • 워드프레스 관리자 메일로 인증코드를 발송하여 로그인 인증
  • Time Based One-Time Password (TOTP)
    • 제시된 QR 코드를 스캔해야 하며, Google Authenticator 앱을 사용합니다.
    • 앱 설치 후 + 아이콘 클릭 > QR 코드 스캔 > 앱에 표시되는 6자리 숫자를 관리자 페이지 Authentication Code에 입력 후 Submit
    • 일회성 QR코드가 사라지고, 좌측 Enabled 클릭 및 프로필 업데이트로 설정 완료
    • 재로그인 시 앱에 표시되는 6자리 숫자 입력으로 로그인 진행
    TOTP 설정 완료 화면 예시 TOTP 코드 입력 로그인 화면 예시
  • FIDO U2F Security Keys 설정방법
    • FIDO U2F 보안키를 구입하여 해당 보안키로 로그인하는 방법입니다.
    • HTTPS 접속 시에만 사용 가능하며, 보안키를 구입한 경우에만 사용 가능합니다.
    • HTTPS로 관리자 페이지 접속 > FIDO U2F Security Keys Enabled 처리 > Register New key 클릭 후 보안키 연결 및 인증 진행
    FIDO U2F 보안키 등록 화면 1 FIDO U2F 보안키 등록 화면 2
    • 프로필 업데이트 후 재로그인 시 보안키로 로그인
  • (4) Backup Verification Codes (Single Use) 설정방법
    • 백업 코드를 이용한 로그인 방법입니다.
    • Enabled 후 Generate Verification Codes 클릭 시 10개의 코드가 생성되며, 로그인 시 차례대로 사용 가능합니다.
    • Download Codes 클릭으로 코드 파일 저장 가능
    백업 검증 코드 생성 화면
    • 프로필 업데이트 후 재로그인 시 코드 입력란이 표시되며, 저장된 1번 코드로 로그인(두 번째 로그인은 2번 코드 사용)
    백업 코드 로그인 입력 화면

C. WPForce Logout

https://wordpress.org/plugins/wp-force-logout/ WPForce Logout 플러그인 소개 화면
  • 자동 설치되며, 기본적으로 비활성화 상태입니다. 사용을 원하시면 플러그인 설정 페이지에서 직접 활성화하세요.
  • 직접 생성하지 않은 사용자 ID가 로그인 상태로 보이면, 세션을 종료한 뒤 계정을 반드시 확인해 주세요.
  • 활성화 방법:
    • 관리자 패널 > 플러그인 > 설치된 플러그인 > WPForce Logout 활성화
    • 활성화 후 사용자 메뉴에서 로그인 계정에 대한 logout 버튼이 활성화됩니다.
WPForce Logout 활성화 후 사용자 목록에서 로그아웃 버튼 표시

D. Disable XML-RPC-API

https://wordpress.org/plugins/disable-xml-rpc-api/ Disable XML-RPC-API 플러그인 소개 화면
  • 설치와 동시에 활성화되며, 외부의 xmlrpc.php 접근을 차단합니다.
  • 악의적으로 xmlrpc.php에 POST 요청을 보내 무작위 인증을 시도하고, 관리자 권한 탈취 후 웹쉘 파일 업로드 및 사이트 변조가 발생하는 사례를 효과적으로 방어합니다.
  • 일반적인 워드프레스 사용에서 xmlrpc.php 외부 요청 활용은 점차 줄어드는 추세이며, 보안 강화를 위해 비활성화해도 문제가 없는 경우가 많습니다.
  • Jetpack 플러그인을 사용하는 경우에도 예외 처리가 가능합니다. 관리자 패널에서 비활성화할 수 있으나, 보안을 위해 활성 유지를 권장합니다.
2.1.2 이전 버전에서는 .htaccess 파일 퍼미션이 444로 고정됩니다. 보안에는 유리하지만 permalinks(짧은주소) 설정에 제한이 있을 수 있으므로 2.1.2로 업데이트를 권장합니다.

세부 설정

  • XML-RPC settings
    • a. XML-RPC Api Master switch (OFF)
      • xmlrpc.php 기본 차단, Jetpack 핑백 요청 등 예외 설정만 허용
    • b. Enable xml-rpc for Jetpack (ON)
      • Jetpack 플러그인 사용을 위한 예외 처리
    • c. White list IPs (ON)
      • xmlrpc.php 요청 허용 예외 IP 추가
  • Security settings
    • a. Disable JSON REST API (OFF)
      • JSON REST API 비활성화
    • b. Disable writing in htaccess file (OFF)
      • .htaccess 파일 쓰기 권한 제거(기본 퍼미션은 644)
    • c. Hide WordPress Version (ON)
      • 설치된 워드프레스 버전 정보 숨기기
    • d. Disable built-in WordPress file editor (ON)
      • 워드프레스 관리자 파일 수정 기능 비활성화
    • e. Disable wlw manifest (ON)
      • WLW manifest XML 외부 연동 차단
  • Speed Up Wordpress
    • a. Heartbeat Slowdown (OFF)
      • Heartbeat API 사용 속도 감속 처리
    • b. Hotlink Fix (OFF)
      • 이미지 등의 외부 무단 링크 차단
      • 기본 도메인, google.com 등 특정 리퍼러에서만 미디어 파일 접근 허용
      • 워드프레스 기본 URL 도메인을 변경하면, 변경 후 관리자 페이지 재접속 시 리퍼러 허용 도메인이 갱신됨
    • c. Remove built in emojis (OFF)
      • 코어 이모지 제거
    • d. Remove RSS and RSD (OFF)
      • RSS, RSD 제거
    • e. Disable oEbmed (OFF)
      • oEmbed API 차단
  • Backup/Restore Settings
    • XML 데이터 형식으로 설정값 백업 및 복원
Disable XML-RPC-API 상세 설정 화면