WordPress 는 웹의 막대한 비중을 담당하고 있어 끊임없는 공격 대상이 됩니다. 좋은 소식은 WordPress 침해의 압도적 다수가 작고 예측 가능한 일련의 약점을 악용하며, 그 거의 전부가 예방 가능하다는 점입니다. 이 WordPress 보안 강화 체크리스트는 2026년에 실제로 효과를 내는 단계를 대략 우선순위 순으로 안내합니다.

요약

  • 취약하고 오래된 플러그인과 테마는 WordPress 최대의 공격 경로입니다. 체계적인 업데이트와 미사용 코드 제거가 무엇보다 중요합니다
  • 강력한 인증(고유 관리자 사용자명, 강력한 비밀번호, 이중 인증, 로그인 속도 제한)은 두 번째로 흔한 침입 경로를 막습니다
  • wp-config.php, 파일 권한, REST API / XML-RPC 표면을 강화하고 사이트 앞단에 WAF를 배치합니다
  • 정기적으로 백업하고 복원을 테스트합니다. 좋은 백업은 침해를 재앙이 아닌 단순한 불편으로 바꿔 줍니다

1. 코어, 플러그인, 테마를 최신으로 유지

오래된 플러그인과 테마는 WordPress 사이트가 해킹당하는 첫 번째 원인입니다. 모든 플러그인은 사이트에 대한 접근 권한을 가지고 실행되는 서드파티 코드입니다.

  • WordPress 코어의 자동 업데이트를 활성화합니다(최소한 마이너 릴리스).
  • 플러그인과 테마를 신속히 업데이트하며, 이상적으로는 스테이징 테스트를 포함한 일정에 따라 진행합니다.
  • 사용하지 않는 플러그인과 테마는 제거합니다. 비활성화만으로는 충분하지 않으며, 삭제해야 안전합니다.
  • 활발한 유지관리 이력이 있는 신뢰할 수 있는 출처에서만 플러그인을 설치합니다.
  • 방치된 플러그인에 주의합니다. 유지관리되지 않는 코드는 아직 동작하더라도 위험 요소입니다.

2. 인증을 잠금 처리

wp-login.php를 겨냥한 무차별 대입 공격과 자격 증명 공격은 끊임없이 이어집니다.

  • 사용자명으로 admin을 절대 사용하지 않습니다. 고유한 관리자 이름을 사용합니다.
  • 모든 계정에 강력하고 고유한 비밀번호를 강제합니다.
  • 모든 관리자 및 편집자 계정에 이중 인증(2FA)을 활성화합니다.
  • 로그인 시도를 제한하고 속도 제한을 추가해 무차별 대입 시도를 차단합니다.
  • 로그인 URL을 변경하거나 보호하고 CAPTCHA 챌린지를 추가하는 것을 고려합니다.

3. 최소 권한 사용자 역할 적용

  • 각 사용자에게 업무를 수행할 수 있는 최소한의 역할을 부여합니다. 모두가 관리자일 필요는 없습니다.
  • 사용자 계정을 정기적으로 감사하고 퇴사자와 미사용 로그인을 제거합니다.
  • 사용자 지정 권한을 추가하는 플러그인을 설치한 후에는 역할을 재검토합니다.

4. wp-config.php 강화

wp-config.php에는 데이터베이스 자격 증명과 비밀 키가 담겨 있으므로 특별한 주의가 필요합니다.

  • 고유한 인증 키와 솔트(salt)를 설정합니다.
  • 내장 파일 편집기를 비활성화합니다: define('DISALLOW_FILE_EDIT', true); 로 관리자 접근 권한을 얻은 공격자가 대시보드에서 테마와 플러그인 코드를 편집하지 못하게 합니다.
  • 호스팅 구성이 허용하는 경우 wp-config.php를 웹 루트 한 단계 위로 이동하고 파일 권한을 제한합니다.
  • 운영 환경에서는 WP_DEBUG를 비활성화 상태로 유지해 오류가 정보를 노출하지 않도록 합니다.

5. 올바른 파일 및 디렉터리 권한 설정

  • 디렉터리는 755, 파일은 644를 표준 기준으로 하며, 777은 절대 사용하지 않습니다.
  • 웹 서버 사용자가 파일을 소유하되 불필요한 곳에는 쓸 수 없도록 합니다.
  • 민감한 파일을 보호하고 디렉터리 탐색을 비활성화합니다.

6. 공격 표면 축소: XML-RPC 및 REST API

  • 사용하지 않는다면 XML-RPC를 비활성화합니다. 이는 무차별 대입과 DDoS 증폭의 흔한 경로입니다.
  • 공개하고 싶지 않은 데이터를 노출하는 곳에서는 REST API를 제한하거나 인증을 요구합니다.
  • WordPress 버전 번호와 기타 불필요한 정보 노출을 페이지 출력에서 제거합니다.

7. 앞단에 WAF와 HTTPS 배치

  • 사이트 전체를 HTTPS로 제공하고 모든 HTTP 트래픽을 리디렉션합니다.
  • 보안 헤더(HSTS, X-Content-Type-Options, X-Frame-Options 또는 frame-ancestors Content-Security-Policy, 그리고 실용적인 경우 CSP)를 추가합니다.
  • 웹 애플리케이션 방화벽을 사용합니다. Cloudflare와 같은 CDN 수준의 WAF는 악성 트래픽이 WordPress에 도달하기 전에 필터링하고 봇과 DDoS 압박을 흡수합니다.

8. 데이터베이스 및 호스팅 강화

  • 신규 설치 시 기본값이 아닌 데이터베이스 테이블 접두사를 사용합니다.
  • WordPress에 필요한 권한만 가진 전용 데이터베이스 사용자를 사용합니다.
  • PHP를 지원되는 최신 버전으로 유지합니다. 지원이 종료된 PHP는 조용한 위험입니다.
  • 사이트를 격리하고 서버 스택에 패치를 적용하는 호스팅을 선택합니다.

9. 모니터링, 백업 및 복구

  • 멀웨어 및 파일 무결성 검사를 실행해 예기치 않은 변경을 신속히 탐지합니다.
  • 보안 로깅을 활성화해 로그인 시도와 변경 사항을 확인할 수 있도록 합니다.
  • 서버 외부에 저장되는 정기적이고 자동화된 백업을 수행하고 그 복원을 테스트합니다. 테스트하지 않은 백업은 계획이 아니라 희망일 뿐입니다.

핵심 요점

  • 가장 큰 성과는 화려하지 않습니다. 모든 것을 업데이트하고, 미사용 플러그인과 테마를 제거하며, 2FA로 강력한 인증을 강제하는 것입니다.
  • wp-config.php, 파일 권한, XML-RPC / REST API 표면을 강화해 공격 표면을 줄입니다.
  • HTTPS, 보안 헤더, WAF를 사이트 앞단에 배치합니다.
  • 정기적으로 백업하고 복원을 테스트해 침해를 복구할 수 있도록 합니다.

전문적인 WordPress 보안 강화

체크리스트로 대부분의 길을 갈 수 있지만, WordPress 보안 강화는 여전히 전문가의 시선에서 도움을 받습니다. WordPress 보안 감사 는 모든 플러그인과 테마를 검토하고, 인증과 접근을 테스트하며, wp-config.php, 데이터베이스, REST API 및 XML-RPC 표면을 점검하여 우선순위가 매겨진 강화 계획을 만들어 냅니다. 사이트와 스택 전반에 걸친 더 넓은 그림은 영국 기업을 위한 웹사이트 보안 감사 가이드 를 참고하세요. 사이트가 강화와 더불어 지속적인 개발과 유지관리를 필요로 한다면, 채용 가능한 WordPress 개발자 가 장기적으로 안전을 유지할 수 있습니다.

자주 묻는 질문 (FAQ)

WordPress 사이트가 해킹당하는 가장 흔한 경로는 무엇인가요? 취약하고 오래된 플러그인과 테마입니다. 서드파티 플러그인 코드가 최대의 공격 경로이며, 그렇기 때문에 신속한 업데이트와 미사용 플러그인 제거가 거의 무엇보다 중요합니다.

보안 플러그인이 정말 필요한가요? 평판이 좋은 보안 플러그인은 멀웨어 검사, 로그인 제한, 모니터링에 도움이 되지만 기본기를 대체하지는 못합니다. 업데이트, 강력한 인증, 최소 권한 역할, WAF가 기본입니다. 좋은 위생 관리 대신이 아니라 그 위에 얹어 사용하세요.

XML-RPC를 비활성화해야 하나요? 사용하지 않는다면(예: 모바일 앱이나 특정 연동 등) 예입니다. XML-RPC는 무차별 대입과 DDoS 증폭에 자주 악용되므로, 비활성화하면 흔한 공격 표면을 제거할 수 있습니다.

WordPress 사이트를 얼마나 자주 백업해야 하나요? 의미 있는 데이터를 잃지 않을 만큼 자주, 활성 사이트의 경우 보통 매일, 서버 외부에 저장합니다. 결정적으로 중요한 것은 복원을 테스트하는 것입니다. 한 번도 복원해 본 적 없는 백업은 검증되지 않은 것입니다.

WordPress를 보호하는 데 Cloudflare만으로 충분한가요? Cloudflare와 같은 CDN 수준의 WAF는 많은 악성 트래픽을 필터링하고 봇과 DDoS 압박을 흡수하지만, 취약한 플러그인, 약한 비밀번호, 잘못된 구성은 해결하지 못합니다. 온사이트 강화와 나란히 하나의 계층으로 사용하세요.