워드프레스가 해킹에 약하다는 이야기를 들어보셨을 겁니다. 정확히는 워드프레스가 약한 게 아니라, 많이 쓰이다 보니 공격 시도도 많고, 기초 설정을 안 한 사이트가 주로 뚫리는 것입니다. 실제 침해 사례 대부분은 아래 7가지만 지켰어도 막을 수 있었습니다.
계정부터 잠그세요 (1~3)
- 1. 관리자 아이디로 admin 금지 — 해킹 프로그램이 가장 먼저 넣어보는 아이디가 admin입니다. 사용자 → 새로 추가에서 다른 아이디로 관리자 계정을 만들고, 새 계정으로 로그인한 뒤 기존 admin 계정을 삭제하세요.
- 2. 강력한 비밀번호 — 사용자 → 프로필에서 새 비밀번호 설정 버튼을 누르면 워드프레스가 강력한 비밀번호를 자동 생성해 줍니다. 그대로 쓰시는 걸 권합니다.
- 3. 2단계 인증 — WP 2FA 같은 플러그인을 설치하면 로그인 시 휴대폰 인증을 한 번 더 거칩니다. 비밀번호가 새어도 계정은 지켜집니다.
시스템을 최신으로 (4~5)
- 4. 업데이트 미루지 않기 — 알림판 → 업데이트에 숫자 배지가 떠 있다면 이미 알려진 보안 구멍이 열려 있다는 뜻입니다. 코어, 테마, 플러그인 모두 최신으로 유지하세요.
- 5. 안 쓰는 플러그인 삭제 — 비활성화만 하면 파일이 남아 공격 통로가 됩니다. 플러그인 메뉴에서 완전히 삭제하세요. 플러그인을 안전하게 설치하고 정리하는 요령은 플러그인 설치 가이드를 참고하세요.
공격을 차단하고 대비하세요 (6~7)
- 6. 로그인 시도 제한 — Limit Login Attempts Reloaded 플러그인을 설치하면 비밀번호를 여러 번 틀린 IP를 자동 차단해 무차별 대입 공격을 막습니다.
- 7. 정기 백업 — 어떤 보안도 100%는 없습니다. 사고가 나도 백업이 있으면 하루 만에 복구됩니다.
가장 위험한 건 방치입니다
※ 쓰지 않는 플러그인은 비활성화가 아니라 삭제가 원칙입니다. 비활성 상태라도 서버에 파일이 남아 있는 한, 취약점이 발견되면 그대로 공격 통로로 쓰일 수 있습니다.
7가지 모두 오늘 저녁 한두 시간이면 끝나는 작업입니다. 문제는 설정보다 꾸준한 점검인데, 매달 챙기기 어려우시면 유지보수 서비스로 넘겨주세요. 업데이트, 백업, 보안 점검을 정기적으로 대신해 드립니다.
보안 점검은 관리자 아이디부터 시작하세요. ‘admin’ 계정이 남아 있다면 새 아이디로 관리자 계정을 만들어 로그인한 뒤 기존 admin 계정을 삭제하는 순서로 정리하면 됩니다.
