/ WordPress 운영

WordPress 보안 기초 7가지 — 첫 주에 끝낼 일

WordPress는 전 세계 사이트 점유율 1위 = 해킹 시도 1위. 다행히 기본 7가지만 잡으면 95%의 자동화 공격 방어 가능합니다. 1시간 안에 끝낼 수 있는 첫 주 보안 체크리스트.

왜 보안이 중요한가

해킹 시 손실

  • 사이트 변조·악성 코드 삽입 → 검색엔진 블랙리스트
  • 데이터베이스 탈취 → 회원·고객 정보 유출
  • 사이트 다운 → 매출·신뢰 손실
  • 복구·법적 대응 비용 ↑

자동화 공격이 대부분

해커가 직접 우리 사이트만 노리는 게 아님. 봇이 자동으로 수천 사이트 공격. 우리도 그 대상 중 하나.

→ 봇이 쉽게 못 뚫게 기본 방어만 잘 해도 80~95% 방어.

7가지 — 한 시간에 끝

1. 강력한 비밀번호

  • 12자+ (특수문자·숫자 포함)
  • 비밀번호 매니저 사용 (1Password·Bitwarden)
  • 모든 관리자·운영진 동시 적용
  • 재사용 금지 (다른 사이트와 같은 비밀번호 ❌)

2. 사용자명 admin 변경

WordPress 기본 admin은 해킹 자동화의 첫 시도 ID. 다른 이름으로 변경.

방법 A: 새 관리자 + 옛 admin 삭제 (권장)

  1. 사용자 > 새로 추가 → 새 관리자 생성 (다른 사용자명)
  2. 로그아웃 → 새 계정 로그인
  3. admin 사용자 삭제 → 글 이관 옵션

방법 B: 데이터베이스 직접 변경 (위험·고급) phpMyAdmin에서 wp_users 테이블의 user_login 직접 수정.

3. 2단계 인증 (2FA)

비밀번호만 뚫려도 막을 수 있는 가장 강한 방어.

플러그인 추천:

  • Wordfence Login Security (무료)
  • Google Authenticator (무료)
  • Two Factor (무료, 가벼움)

설정:

  1. 플러그인 설치·활성화
  2. 사용자 프로필 > Two Factor 섹션
  3. 휴대폰의 Google Authenticator/Authy 앱과 QR 코드 매칭
  4. 백업 코드 안전한 곳에 저장
  5. 다음 로그인부터 6자리 코드 입력

4. 로그인 시도 제한

봇이 비밀번호 무차별 대입 → 1000회 시도 → 뚫림.

플러그인 Limit Login Attempts Reloaded (무료):

  • 5회 실패 시 IP 자동 차단
  • 차단 시간 조절
  • 화이트리스트 (본인 IP)

이거 하나만 활성화해도 brute-force 공격 90% 방어.

5. WordPress·플러그인·테마 정기 업데이트

대부분 해킹 = 옛 버전의 알려진 취약점 악용.

업데이트 빈도:

  • WordPress 코어: 자동 (마이너) + 수동 점검 (메이저)
  • 플러그인: 주 1회
  • 테마: 주 1회

안전 절차:

  1. 백업 먼저 (이전 가이드 참고)
  2. 1개씩 업데이트 (한꺼번에 X)
  3. 업데이트 후 사이트 점검

자동 업데이트 옵션:

  • 코어 마이너 업데이트 자동 (보안 패치)
  • 플러그인 자동 업데이트 (선택, 신뢰 플러그인만)

6. 보안 플러그인 1개

종합 보안. 한 개만 활성화 (여러 개 활성화하면 충돌).

옵션:

  • Wordfence Security (무료, 가장 인기)
    • 방화벽
    • 악성코드 스캔
    • 로그인 보안
    • 2FA
  • Sucuri Security (무료)
  • iThemes Security (무료)

설치 후:

  1. 스캔 실행 (최초 + 주 1회)
  2. 방화벽 활성화
  3. 알림 설정 (해킹 시도 시 메일)

7. SSL (https) 적용

암호화 통신. 로그인·결제 페이지 필수.

대부분 호스팅사가 무료 SSL (Let’s Encrypt) 자동 제공.

SSL 적용 가이드 참고.

추가 — 더 안전하게 (선택)

8. wp-admin URL 변경

/wp-admin 대신 /secret-login 같은 커스텀 URL.

플러그인 WPS Hide Login (무료).

효과: 자동화 봇이 /wp-admin을 찾으니 다른 URL이면 시도 자체 X.

9. 파일 권한 점검

WordPress 폴더·파일 권한:

  • 폴더: 755
  • 파일: 644
  • wp-config.php: 600 (가장 민감)

호스팅 FTP·파일 매니저에서 권한 확인·수정.

10. wp-config.php 보호

루트의 wp-config.php는 DB 비밀번호 포함. 절대 노출 X.

.htaccess (서버 루트)에 추가:

<files wp-config.php>
order allow,deny
deny from all
</files>

11. 안 쓰는 플러그인·테마 삭제

비활성화만 해도 위험. 사용 안 하는 건 완전 삭제.

플러그인 > 비활성화 > 삭제.

12. 데이터베이스 prefix 변경

기본 wp_wp_x7n_ 같은 임의 문자열로. SQL 인젝션 어렵게.

설치 시 변경 또는 보안 플러그인의 도구 사용.

보안 사고 발생 시

1. 즉시 차단

  • 호스팅사에 사고 신고 → 사이트 일시 닫기
  • 비밀번호 전부 변경
  • 신뢰 IP만 wp-admin 접근

2. 백업으로 복구

  • 사고 이전 백업으로 복구
  • 백업이 없거나 사고 시점 이후만 있으면 → 전문가 의뢰

3. 악성 코드 제거

  • Wordfence·Sucuri로 풀 스캔
  • 발견된 악성 파일 삭제
  • 변조된 DB 정리

4. 검색엔진 신고

해킹 후 검색엔진 블랙리스트 등록되면:

  • Search Console > 보안 > 검토 요청
  • 복구 완료 후 며칠 ~ 몇 주 후 해제

5. 원인 분석

  • 어떤 취약점이 뚫렸는지
  • 비슷한 재발 막기

1주차 보안 체크리스트

  • 모든 관리자 비밀번호 12자+ 변경
  • 사용자명 admin 삭제 또는 변경
  • 2FA 모든 관리자 활성화
  • Limit Login Attempts 플러그인 설치
  • WordPress·플러그인·테마 최신화
  • Wordfence 또는 동급 보안 플러그인 설치 + 스캔
  • SSL 적용 (https)

체크 완료 = 봇 자동화 공격 95% 방어.

정기 점검 (월 1회)

  • WordPress 버전 최신 확인
  • 플러그인 업데이트 일괄 (백업 후)
  • 보안 플러그인 스캔 실행
  • 사용자 목록 점검 (모르는 계정 X)
  • 최근 로그인 활동 점검 (의심 IP)
  • 백업 정상 작동 확인

⚠️ 자주 하는 실수

  • 백업 없이 업데이트: 사이트 망가지면 복구 불가
  • 여러 보안 플러그인 동시: 충돌·중복. 1개만
  • 테마·플러그인 nulled 다운로드: 불법 무료 = 악성코드 90% 확률
  • wp-admin URL 그대로 노출: 봇 공격 1순위
  • 운영진에게 약한 비밀번호 허용: 본인 강해도 다른 사람이 약하면 무의미

❓ FAQ

Q. 보안 플러그인 무료 vs 유료? A. 무료 충분. Wordfence 무료가 대형 사이트도 잘 보호. 유료는 추가 알림·고급 방화벽 기능.

Q. 2FA 설정 후 휴대폰 분실했어요. A. 백업 코드로 로그인 → 새 휴대폰에 재설정. 백업 코드도 잊어버렸으면 호스팅 → 데이터베이스에서 2FA 비활성화.

Q. 해킹당했는지 어떻게 알 수 있나요? A. 증상:

  • 갑작스러운 트래픽 폭증·하락
  • 모르는 글·페이지·리다이렉트
  • 알 수 없는 사용자 계정
  • 검색 결과에 “안전하지 않음” 표시
  • 호스팅사에서 악성 코드 알림

증상 있으면 즉시 보안 플러그인 스캔.

Q. WordPress vs Wix·아임웹 보안 비교? A. WordPress: 자체 관리 필요, 자유도 ↑. SaaS형(Wix·아임웹): 제공사가 관리, 자유도 ↓. SaaS가 보안 부담은 적지만 데이터 소유권은 WordPress.

Q. 호스팅사가 백업·보안을 다 해주는 곳도 있나요? A. 관리형 WP 호스팅 (Kinsta·WP Engine·Pressable) — 월 $25~. 보안·백업·업데이트 거의 자동. 비용 대비 가치 ↑.

관련 가이드

작성·운영 — 언웹스 가이드센터. 실무에서 검증한 내용을 정리하고 정기적으로 업데이트합니다. 가이드센터 소개 →