[워드프레스 보안] 개발자가 알려주는, 해킹 피하는 필수 설정 가이드

안녕하세요. 워드프레스 CMS 개발자입니다.
워드프레스로 홈페이지를 제작하다 보면 클라이언트분들이 가장 걱정하시는 부분이 바로 ‘보안’입니다.
“워드프레스는 보안에 취약하다던데 괜찮나요?”라는 질문, 정말 많이 받는데요.

결론부터 말씀드리면, 워드프레스 자체가 취약한 게 아니라 ‘관리되지 않은’ 워드프레스가 취약한 것입니다.
전 세계 웹사이트의 43% 이상이 워드프레스로 만들어지다 보니, 해커들의 표적이 되기 쉬운 건 사실이니까요.

오늘은 제가 실제 개발 및 유지보수 현장에서 적용하는 ‘절대 뚫리지 않는 워드프레스 보안 필수 설정’들을 정리해 드립니다.
어려운 개발 용어보다는 당장 적용할 수 있는 실전 팁 위주로 준비했으니 꼭 체크해보세요.

1. 기본 중의 기본: 업데이트와 백업

너무 뻔한 이야기 같나요? 하지만 해킹당한 사이트의 80% 이상은 코어, 테마, 플러그인 업데이트를 안 해서 발생합니다.

  • 코어/플러그인 최신화: 보안 구멍이 발견되면 개발사들은 패치를 내놓습니다. 업데이트를 미루는 건 대문을 열어두고 자는 것과 같습니다.
  • 정기 백업: 보안의 끝은 결국 백업입니다. 뚫렸을 때 가장 빠르게 복구하는 방법이니까요.
    호스팅 서버 차원의 백업도 좋지만, UpdraftPlus 같은 플러그인을 써서 구글 드라이브나 드롭박스 같은 외부 저장소에 백업본을 따로 챙겨두세요.

2. ‘admin’ 아이디는 제발 그만! (로그인 보안)

아직도 관리자 아이디를 admin으로 쓰시나요? 해커가 무차별 대입 공격(Brute Force Attack)을 할 때 가장 먼저 넣어보는 아이디가 admin입니다.

  • 아이디 변경: 복잡한 영문+숫자 조합으로 바꾸세요.
  • 비밀번호: 특수문자 포함 12자리 이상은 필수입니다.
  • 로그인 시도 제한: Limit Login Attempts Reloaded 같은 가벼운 플러그인을 설치해서 비밀번호를 5회 이상 틀리면 일정 시간 접속을 차단하세요.
    이것만 해도 봇(Bot) 공격의 90%는 막습니다.

3. 유료 테마/플러그인의 ‘어둠의 경로’ (Nulled) 사용 금지

개발자로서 가장 안타까운 순간이 바로 이겁니다.
몇만 원 아끼려고 구글링해서 찾은 ‘Nulled(크랙)’ 버전 테마를 설치하는 경우입니다.

이런 파일에는 99.9% 확률로 백도어(Backdoor) 악성코드가 심어져 있습니다.
설치하는 순간 내 사이트는 좀비 PC가 되어 스팸 메일을 발송하거나, 이상한 광고 사이트로 리다이렉트 됩니다.

유료 테마는 반드시 정품을 구매해서 라이선스를 등록해 사용하세요.
그 비용이 사이트 복구 비용보다 훨씬 저렴합니다.

4. 보안 플러그인, 딱 하나만 추천한다면?

시중에 좋은 보안 플러그인이 많지만(Wordfence, iThemes Security 등), 세팅이 너무 복잡하면 사이트 속도만 느려집니다.

초보자부터 전문가까지 무난하게 추천하는 조합은 Wordfence Security입니다.

  • 무료 버전만으로도 방화벽(WAF), 실시간 트래픽 감시, 악성코드 스캔 가능
  • 특히 2단계 인증(2FA) 은 꼭 활성화하세요.
    핸드폰으로 인증해야만 로그인되게 만드는 것만큼 강력한 보안은 없습니다.

5. (심화) 개발자가 챙기는 디테일: 주소 숨기기 & DB 접두사

여기서부터는 조금 더 기술적인 팁입니다.
제가 개발할 때 꼭 챙기는 부분들인데요.

  • 로그인 주소 변경: 기본 로그인 주소는 도메인/wp-admin입니다.
    WPS Hide Login 플러그인을 쓰면 도메인/my-secret-login처럼 나만 아는 주소로 바꿀 수 있습니다.
  • DB 접두사 변경: 기본 wp_ 대신 wp_a1b2_처럼 랜덤하게 변경하면 SQL 인젝션 방어에 도움이 됩니다.
    (이미 설치한 사이트는 플러그인 사용 추천)
  • XML-RPC 비활성화: 원격 포스팅 기능으로 요즘 거의 쓰지 않습니다.
    해킹 통로로 자주 이용되니 코드 스니펫이나 보안 플러그인에서 꺼두는 게 좋습니다.

6. SSL 인증서 (HTTPS)는 선택이 아닌 필수

아직도 주소창에 ‘주의 요함’이 뜨나요?
SSL 인증서가 없으면 데이터가 암호화되지 않고 전송되어, 중간에서 정보를 가로채기 쉽습니다.

보안뿐 아니라 구글 SEO 점수에도 중요한 요소입니다.
요즘 대부분의 호스팅 사에서 무료 SSL(Let’s Encrypt)을 지원하니 반드시 적용하세요.

마치며

“완벽한 보안은 없다”는 말이 있습니다.
창이 날카로워지면 방패도 두꺼워져야 하니까요.

하지만 오늘 말씀드린 업데이트, 강력한 비밀번호, 정품 사용, 백업
이 4가지만 지키셔도 상위 1%의 안전한 사이트가 됩니다.

혹시 사이트 관리가 너무 어렵거나, 이미 해킹 의심 증상(이상한 영어 글 생성, 속도 저하 등)이 보인다면
전문가의 진단을 받아보시는 것을 추천합니다.

소셜로 공유하세요