워드프레스는 전세계에서 가장 많이 사용되는 CMS 솔루션입니다.
전세계 과반수의 웹사이트가 워드프레스로 제작되었다고해도 과언이 아닐것입니다. 아마도 사용하기 편리하고 비용이 저렴한 것이 그 이유일 것입니다.
그러나 CMS 플랫폼은 비개발자도 다루기 쉽도록 설계된만큼 기본적으로 보안에 취약하다는 단점이 있습니다. 실제로 최근 인터애드 고객사중에서도 워드프레스 CMS를 사용한 페이지가 해킹으로 인해 하루이상 페이지가 다운되기도 하였습니다.
그렇다면 워드프레스로 제작 관리되는 웹사이트의 보안문제는 어떻게 해결해야 할까요? 몇가지 팁을 알려드리도록 하겠습니다.
해커봇 접근차단 : 크롤러와 같은 검색봇을 제외하고 스크레이퍼봇(해커봇)을 차단하기 위한 플러그인을 설치합니다. Wordfence는 워드프레스의 가장 강력한 보안 플러그인이며 기본 서비스는 무료입니다. 또다른 플러그인으로 Sucuri가 있으며 무료버전만으로 보안활동확인감사, 파일 무결성 모니터링, 원격malware검사, 블랙리스트관리, 해킹후보안조치, 알림등이 기본적으로 제공됩니다.
웹사이트 로그인 제한 : Limit Login Attempts Reloaded라는 플러그인을 사용하여 해커봇의 암호조합을 통한 반복적 시도를 차단할 수 있습니다. 해당 플러그인은 로그인 재시도 횟수를 제한하고 남은 재시도 또는 잠금시간에 대한 알림기능이 있습니다.
사이트 백업 : UpdraftPlus WordPress Backup Plugin을 통해 백업 관리할 수 있습니다. 백업자료는 이메일로 보내지거나 드롭박스와 같은 클라우드에 저장할 수 있습니다. 이외에 서버업체에서 제공하는 백업 서비스도 다양하게 있으니 네임서버를 워드프레스가 아닌 별개의 서버를 사용하시는 분들은 서버업체에 문의해 보세요.
모든 플러그인 업데이트 : 워드프레스에서 제공하는 모든 플러그인은 자동으로 업데이트하는 방법을 제공합니다. 단, 업데이트 버전은 모든 플러그인이 호환되지 않을 수 있습니다. 플러그인 업데이트는 중요하지만 플러그인과 호환을 체크하며 진행해야 합니다.
버려진 플러그인 주의 : 워드프레스에서 사용하는 플러그인은 워드프레스가 제공하는 것이 아닙니다. 제3자 혹은 업체가 플러그인을 개발하여 올리는 것이므로, 일부 플러그인은 업데이트가 안된 상태로 버려지게 될 수도 있습니다. 사용하고 있는 플러그인에 대한 업데이트가 얼마나 자주되고 있는지 확인이 필요합니다.
워드프레스 플러그인은 스마트폰에 어플리케이션을 설치하는 것만큰 간단해 보이지만, 실재로 호환되도록 적용하는 것은 생각보다 전문영역인 경우가 많습니다. 또한 시장에는 유료플러그인을 크랙하여 유통되는 버전도 많기 때문에 더욱 복잡하기도 합니다. 내부 CMS 담당 관리자가 있다고 하여도 정기적으로 에이전시를 통해 플러그인 구동 시 연동이 최적화 되어 있는지 확인하는 작업을 잊어서는 안됩니다.
