Helimaster

워드프레스 보안설정 7가지|초보자가 반드시 해야 할 기본 세팅

작성자

Helimaster

카테고리:

,

워드프레스 보안설정은 블로그를 처음 만든 초보자가 가장 먼저 확인해야 할 필수 작업이다.

워드프레스를 처음 시작하면 대부분 디자인, 글쓰기, 플러그인 설치부터 신경 쓴다.
하지만 실제로 가장 먼저 해야 할 것은 보안 설정이다.

이유는 단순하다.
워드프레스 사이트는 개설 직후부터 스팸 봇, 로그인 시도, 댓글 공격 같은 자동화 접근을 받는 경우가 많다. 아직 방문자가 많지 않아도 예외가 아니다. 오히려 초기 세팅이 허술한 사이트일수록 더 쉽게 노출된다.

워드프레스 보안설정 실제 관리자 화면
실제로 봇에의해 실제로 봇이 남긴 스팸 댓글 화면을 보면 이런 식이다.
스팸 댓글

나도 최근 워드프레스 관리자 화면에서 의미 없는 댓글과 이상한 계정명, 반복되는 IP 형태의 스팸 흔적을 보고 “아, 이건 미리 막아야 하는구나”를 바로 느꼈다.


그때 알게 된 건 하나였다.

워드프레스는 글보다 보안부터 챙겨야 오래 간다.

오늘은 초보자도 바로 적용할 수 있는 워드프레스 보안 설정 7가지를 정리해본다.

워드프레스 보안설정 7가지 체크리스트

1. 관리자 아이디를 기본값으로 두지 말기

가장 먼저 확인해야 할 건 관리자 계정이다.

아직도 많은 초보 사이트가 관리자 아이디를 admin처럼 너무 뻔하게 설정해둔다.
이건 사실상 공격자에게 절반은 알려주고 시작하는 것과 비슷하다. 로그인 공격은 보통 아이디와 비밀번호를 무작위로 조합해 시도하는데, 아이디가 너무 흔하면 그만큼 뚫릴 가능성이 높아진다.

그래서 관리자 계정은 이렇게 잡는 게 좋다.

  • admin 같은 기본 아이디는 피하기
  • 추측하기 어려운 계정명 사용하기
  • 닉네임과 로그인 아이디를 다르게 두기
  • 비밀번호는 길고 복잡하게 만들기

비밀번호는 최소한 영어 대문자, 소문자, 숫자, 특수문자를 섞는 게 좋다.
귀찮아도 여기서 대충 하면 나중에 더 귀찮아진다.

로그인 시도 횟수 제한

2. 로그인 시도 횟수 제한하기

워드프레스 사이트는 로그인 페이지를 향한 무차별 대입 공격을 자주 받는다.
쉽게 말해, 봇이 아이디와 비밀번호를 계속 바꿔가며 뚫어보는 방식이다.

이걸 막기 위해 꼭 필요한 게 로그인 시도 제한이다.

예를 들어 아래처럼 설정하면 된다.

  • 로그인 실패 3~5회 시도 시 차단
  • 일정 시간 동안 재시도 금지
  • 반복되는 IP 자동 차단
  • 관리자에게 알림 전송

이 기능은 보통 보안 플러그인으로 쉽게 설정할 수 있다.
대표적으로 많이 쓰는 건 다음 계열이다.

  • Limit Login Attempts Reloaded
  • Wordfence
  • Solid Security

초보라면 기능이 너무 많은 것보다, 로그인 제한 기능이 직관적인 플러그인부터 써도 충분하다.

3. 스팸 댓글 차단 설정하기

워드프레스 운영 초반에 가장 먼저 체감하는 보안 문제가 바로 스팸 댓글이다.
이건 단순히 보기 싫은 정도가 아니라, 사이트 신뢰도와 관리 효율을 같이 무너뜨린다.

이상한 영어 이름, 의미 없는 숫자, 랜덤 문자열, 링크 유도 댓글이 계속 붙기 시작하면 방문자 입장에서도 사이트 품질이 낮아 보인다.

그래서 댓글 설정은 반드시 손봐야 한다.

기본적으로 추천하는 댓글 설정

  • 댓글은 수동 승인 후 공개
  • 한 번 승인된 사용자만 바로 게시 허용
  • 이름과 이메일 입력 필수
  • 링크가 많이 포함된 댓글은 보류
  • 오래된 게시글 댓글은 자동 종료 고려

관리자 화면의 설정 → 토론에서 꽤 많은 부분을 조정할 수 있다.

그리고 댓글 스팸 차단용 플러그인도 같이 쓰는 게 좋다.
가장 대표적인 건 Akismet이다. 워드프레스에서 거의 기본처럼 쓰이는 수준이다.

댓글이 중요한 사이트가 아니라면, 초반에는 아예 댓글 기능을 잠시 닫는 것도 현실적인 방법이다.
방문자 소통보다 검색 유입과 글 축적이 우선인 단계라면 더 그렇다.

4. CAPTCHA 또는 Turnstile 적용하기

봇은 사람이 아니다.
그래서 사람이 맞는지 확인하는 장치를 넣으면 자동화 공격 상당수를 걸러낼 수 있다.

예전에는 reCAPTCHA가 가장 유명했는데, 요즘은 Cloudflare Turnstile도 많이 쓴다.
가볍고 사용감이 괜찮아서 초보자 사이트에도 잘 맞는다.

적용 위치는 보통 아래 3곳이다.

  • 로그인 페이지
  • 회원가입 페이지
  • 댓글 작성 폼 또는 문의 폼

이걸 넣어두면 봇이 폼을 자동으로 제출하는 걸 크게 줄일 수 있다.
특히 댓글 스팸이나 회원가입 스팸이 생기기 시작했다면 거의 필수라고 봐도 된다.

사이트 속도와 편의성을 너무 해치지 않으면서 방어 효과를 얻고 싶다면, 이 설정은 꽤 효율적이다.

5. 보안 플러그인은 하나는 꼭 제대로 쓰기

초보자들이 자주 하는 실수 중 하나가 보안 플러그인을 아예 안 쓰거나, 반대로 여러 개를 중복 설치하는 거다.

둘 다 별로다.

보안 플러그인은 하나는 제대로, 많아도 역할이 겹치지 않게 쓰는 게 좋다.

대표적인 워드프레스 보안 플러그인으로는 다음이 많이 언급된다.

  • Wordfence
  • Solid Security
  • Sucuri Security

이런 플러그인은 보통 아래 기능을 제공한다.

  • 로그인 공격 차단
  • 악성 접근 감지
  • 파일 변경 모니터링
  • 방화벽 기능
  • 차단 로그 확인

초보자라면 너무 복잡하게 다 건드리지 말고, 먼저 아래 기능만 활성화해도 충분하다.

  • 로그인 보호
  • 기본 방화벽
  • 관리자 알림
  • 의심스러운 접근 차단

중요한 건 “설치만 하고 방치”하지 않는 거다.
가끔 한 번씩 경고 로그나 차단 기록을 확인해봐야 진짜 의미가 있다.

6. 워드프레스, 테마, 플러그인 업데이트 미루지 않기

워드프레스에서 진짜 위험한 건 생각보다 거창한 해킹이 아니다.
오래된 플러그인, 업데이트 안 한 테마, 방치된 버전이 더 흔한 문제다.

대부분의 보안 취약점은 업데이트로 막히는 경우가 많다.
그런데 초보자들은 “괜히 업데이트했다가 사이트 깨질까 봐” 미루다가 더 큰 위험을 안게 된다.

물론 무조건 즉시 업데이트가 항상 정답은 아니지만, 최소한 아래 원칙은 가져가는 게 좋다.

  • 사용 중인 워드프레스 코어는 최신 상태 유지
  • 사용하지 않는 플러그인과 테마는 삭제
  • 오래 방치된 플러그인은 대체 플러그인 검토
  • 업데이트 전 백업 후 진행

핵심은 이거다.

안 쓰는 플러그인을 비활성화만 하지 말고 삭제하자.

비활성화해도 파일은 남아 있고, 그 자체가 보안 구멍이 될 수 있다.

7. 백업은 보안의 마지막 방어선이다

많은 사람들이 백업을 그냥 복구용이라고 생각하는데, 사실 백업도 보안의 일부다.

왜냐하면 문제가 생겼을 때 가장 중요한 건 “완벽하게 막는 것”만이 아니라, 빨리 되돌릴 수 있는가이기 때문이다.

아무리 보안 설정을 잘해도 아래 같은 일은 생길 수 있다.

  • 플러그인 충돌
  • 관리자 실수
  • 사이트 파일 손상
  • 악성코드 감염
  • 호스팅 문제

이럴 때 백업이 없으면 정말 답이 없다.
반대로 백업이 잘 되어 있으면 훨씬 침착하게 복구할 수 있다.

백업은 최소한 아래 수준으로 생각하면 된다.

  • 데이터베이스 백업
  • 업로드 이미지 백업
  • 테마 및 플러그인 설정 백업
  • 주 1회 이상 자동 백업
  • 외부 저장소 보관

대표적으로 많이 쓰는 백업 플러그인은 다음과 같다.

  • UpdraftPlus
  • All-in-One WP Migration
  • Duplicator

개인적으로는 “백업해둬야지” 하고 생각만 하지 말고,
실제로 자동 백업이 돌아가고 있는지 확인하는 것까지 해야 진짜 백업이라고 본다.

초보자가 가장 먼저 하면 좋은 현실적인 보안 세팅 순서

처음부터 모든 보안 설정을 완벽하게 하려고 하면 오히려 손이 멈춘다.
그래서 아래 순서대로 적용하면 된다.

1단계

  • 관리자 아이디 변경
  • 강한 비밀번호 설정
  • 로그인 시도 제한 적용

2단계

  • 댓글 수동 승인 설정
  • Akismet 설치
  • Turnstile 또는 CAPTCHA 적용

3단계

  • 보안 플러그인 1개 설정
  • 사용하지 않는 플러그인 삭제
  • 정기 백업 자동화

이 정도만 해도 초보 사이트 기준으로는 방어력이 꽤 올라간다.

워드프레스 보안은 나중 일이 아니라 시작할 때 하는 일

워드프레스를 처음 만들면 보통 이런 생각을 한다.

“방문자도 아직 없는데 보안은 나중에 해도 되지 않을까?”

그런데 실제로는 반대다.
방문자가 많아서 공격받는 게 아니라, 취약해 보여서 먼저 노출되는 경우도 많다.

특히 댓글 스팸, 로그인 시도, 자동화된 접근은 사이트 규모와 상관없이 들어올 수 있다.
그래서 워드프레스 보안은 사이트가 커진 뒤에 하는 일이 아니라, 처음부터 깔아두는 기본 장치라고 보는 게 맞다.

좋은 글을 오래 쌓고 싶다면 디자인보다 먼저, 글쓰기보다 먼저, 최소한의 보안부터 챙기자.
그게 결국 사이트를 가장 오래 살리는 길이다.

마무리

정리하면 워드프레스 초보자가 가장 먼저 해야 할 보안 설정 7가지는 아래와 같다.

  1. 관리자 아이디와 비밀번호 강화
  2. 로그인 시도 횟수 제한
  3. 스팸 댓글 차단 설정
  4. CAPTCHA 또는 Turnstile 적용
  5. 보안 플러그인 설치
  6. 워드프레스·테마·플러그인 업데이트
  7. 자동 백업 설정

처음에는 조금 번거롭게 느껴질 수 있다.
하지만 이걸 미루면 나중에 더 크게 시간과 에너지를 쓰게 된다.

워드프레스는 잘 만드는 것도 중요하지만,
안전하게 오래 운영하는 것이 더 중요하다.

지금 워드프레스를 막 시작했다면, 오늘 소개한 7가지 중 최소 3가지만 먼저 적용해도 보안 수준은 확실히 올라간다.

워드프레스 시작 후 가장 먼저 해야 할 SEO 설정 7가지

워드프레스 사이트 보안에 대한 기본 내용은 WordPress.org 공식 보안 문서에서도 확인할 수 있습니다.

워드프레스 보안설정의 중요성

워드프레스 보안설정, 워드프레스 보안설정, 워드프레스 보안설정, 워드프레스 보안설정

더 많은 게시물