워드프레스는 워낙 유명한 CMS(Contents Management System)이어서 전세계 CMS의 60%가 워드프레스로 만들어졌다고 하니 워드프레스의 보안 헛점등을 노리는 해커들도 많다고 합니다.
이중 삼중으로 조심해서 나쁠 것 없는 것이 보안이니 로그인 이중인중으로 보안의 기본부터 챙겨봅니다.
오늘은 기본적인 사이트 보안은 물론 이중인증까지 할 수 있는 플러그인을 소개해드립니다.
로그인 이중인증으로 보안 강화
플러그인 설치
플러그인 추가시에 2fa로 검색합니다.
무려 400만 이상 설치가 된 Really Simple Security-Simple and Performant Security를 찾아서 설치하고 활성화시킵니다.
사실 보안에 관한 플러그인은 수도 없이 많기에 유명하고 기능이 검증된 플러그인을 찾아서 사용하는게 시행착오를 줄이는 방법입니다.
이제는 워낙 많은 서비스에 적용되어있어 익숙한 2FA (2 Factor Authentication – 이중인증)은 로그인을 할 때 한곳에서 한번의 인증으로 통과되는게 아니라 다른 디바이스 혹은 다른 서비스에서 추가 인증을 하는 방식을 의미합니다.
이번에 설치한 플러그인에서 적용한 2FA는 워드프레스 자체의 암호 인증 외에 해당 계정의 email 주소 인증을 하는 식으로 이중인증을 하고 있습니다.
플러그인 설정
설치 후 플러그인 설정에서 SSL networkwide를 활성화시키는 팝업이 뜹니다.
이때 활성화를 하지 않더라도 아래 화면처럼 별도로 활성화시킬 수 있습니다.
Really Simple Security Dashboard 에서는 현재 워드프레스 사이트의 보안 사항을 요약해서 보여줍니다.
Settings 탭에서 보안 강화를 위해 개별 설정을 합니다.
워드프레스는 워낙 널리 알려져있어서 가급적 현재 운영중인 워드프레스의 상세정보를 감추는 것이 보안에 유리합니다.
이를 워드프레스 강화(Hardening) 작업이라고 하는데 가령 현재 사이트가 워드프레스로 만들어졌는지도 숨기면 좋고, 워드프레스 버전 정보도 감추고, 로그인 실패시에 ID는 맞는데 비밀번호가 잘못된 것인지 등 그런 힌트가 되는 정보를 가급적 노출하지 않는게 보안에 좋으니 그런 정보를 다 감추어줍니다.
이중인증 설정
워드프레스에는 어드민, 에디터, 저자 등 역할(role)이 있는데 어떤 역할에 이중인증을 강제할지 설정할 수 있습니다.
현재 무료버전에서는 email 이중인증만 지원하고 있는데, 다른 이중인증만큼 보안성이 강하지는 않지만 그래도 없는 것보다는 나으니 진행 설정합니다.
이중인증 적용
ID / Password를 입력하여 로그인 시도를 합니다.
1차로 ID / Password 통과가 되면 이중인증으로 등록한 email 주소로 email을 발송합니다.
메일함을 보면 인증 코드가 적힌 메일이 와 있습니다.
이 코드는 15분 동안 유효하니 시간 내에 다시 아까 로그인 창으로 가서 이 코드를 입력해 줍니다.
올바른 코드를 입력하면 로그인에 성공합니다.
정리
아주 강한 이중인증은 아니지만 기본적인 email 인증으로 워드프레스 로그인 보안을 강화할 수 있습니다.
그 외에 워드프레스의 기본 정보를 감추어 추가적인 보안을 강화할 수 있습니다.
다음에는 워드프레스에서도 패스키를 쓰는 방법을 알아보겠습니다.
이 글이 워드프레스를 좋아하시는 분들에게 조금이나마 도움이 되기를 바랍니다.