워드프레스 보안 체크리스트 | OneWebDesk

보안 점수 0% (0/15)

보안이 부족합니다. 미체크 항목부터 점검하세요.

로그인 보안

관리자 계정에 2단계 인증(2FA)을 활성화했다비밀번호가 유출돼도 두 번째 인증 요소로 로그인을 막습니다. 인증 앱(TOTP) 기반 플러그인을 권장합니다.기본 로그인 URL(/wp-login.php, /wp-admin)을 변경했다기본 경로를 바꾸면 자동화된 봇 무차별 시도 대부분을 차단해 로그 노이즈를 크게 줄입니다.로그인 시도 횟수 제한을 적용했다연속 실패 시 일정 시간 차단해 무차별 대입을 무력화합니다. IP·계정 단위 잠금을 함께 쓰세요.모든 사용자에게 강력한 비밀번호 정책을 적용했다12자 이상, 추측 불가능한 비밀번호를 강제하고 'admin' 같은 기본 사용자명은 제거하세요.

코어·플러그인·테마 업데이트

워드프레스 코어를 최신 버전으로 유지하고 있다보안 패치는 코어 마이너 업데이트로 배포됩니다. 자동 보안 업데이트를 켜 두세요.플러그인을 정기적으로 업데이트한다취약한 플러그인은 가장 흔한 침투 경로입니다. 알림을 받고 적용 전 백업하세요.사용하지 않는 플러그인·테마를 삭제했다비활성화만으로는 부족합니다. 코드가 남아 있으면 취약점 표면이 됩니다. 완전히 삭제하세요.

파일·권한

wp-config.php를 외부 접근으로부터 보호했다서버 설정(.htaccess/nginx)으로 직접 접근을 차단하고 권한을 640 또는 600으로 제한하세요.DISALLOW_FILE_EDIT로 관리자 코드 편집을 비활성화했다wp-config.php에 define('DISALLOW_FILE_EDIT', true);를 추가하면 관리자 탈취 시 코드 변조를 막습니다.디렉터리·파일 권한을 올바르게 설정했다 (755 / 644)디렉터리 755, 파일 644가 표준입니다. 777은 절대 사용하지 마세요.

노출 최소화

워드프레스 버전 정보 노출을 제거했다메타 generator 태그와 readme.html은 버전 기반 공격 표적이 됩니다. 노출을 줄이세요.사용하지 않는 XML-RPC를 비활성화했다XML-RPC는 무차별 대입 증폭과 핑백 DDoS에 악용됩니다. 외부 연동이 없으면 끄세요.REST API 사용자 열거를 차단했다/wp-json/wp/v2/users와 ?author=1 리다이렉트로 사용자명이 노출됩니다. 비인증 접근을 막으세요.

백업·HTTPS

자동 백업이 외부 저장소에 보관되고 있다파일+데이터베이스를 정기 백업하고 복원을 실제로 테스트하세요. 같은 서버에만 두지 마세요.전 구간 HTTPS를 적용하고 HTTP를 리다이렉트한다유효한 인증서로 전체 사이트를 HTTPS로 강제하고 HSTS를 적용하면 세션 가로채기를 막습니다.

왜 워드프레스 하드닝이 필요한가

대부분의 워드프레스 침해는 제로데이가 아니라 방치된 기본 설정과 업데이트되지 않은 플러그인에서 시작됩니다. 공격자는 /wp-login.php에 무차별 대입을 시도하고, /wp-json/wp/v2/users로 사용자명을 수집하며, 알려진 취약점이 있는 플러그인을 스캔합니다. 하드닝은 이런 자동 공격의 표면을 줄이는 작업입니다.

우선순위로 보는 핵심 조치

로그인 보안: 2단계 인증(2FA), 로그인 시도 제한, 강력한 비밀번호가 가장 비용 대비 효과가 큽니다.
업데이트: 코어·플러그인·테마를 최신으로 유지하고 사용하지 않는 플러그인/테마는 삭제하세요.
파일 보호: wp-config.php 접근 차단과 DISALLOW_FILE_EDIT로 관리자 화면 코드 편집을 막습니다.
노출 최소화: 버전 정보 숨김, 불필요한 XML-RPC 차단, REST API 사용자 열거 차단.
복구 대비: 자동 백업과 전 구간 HTTPS는 사고 발생 시 피해를 결정적으로 줄입니다. 응답에 보안 헤더가 제대로 적용됐는지는 보안 헤더 점검으로, 콘텐츠 보안 정책은 CSP 생성기로 보강하세요.

권한 설정 기준

일반적으로 디렉터리는 755, 파일은 644, wp-config.php는 640 또는600으로 설정합니다. 웹서버가 쓰기 권한을 가진 디렉터리는 최소화하고, 절대 777을 사용하지 마세요.

자주 묻는 질문

이 체크리스트의 입력값은 서버로 전송되나요?

아니요. 체크 상태와 준비도 계산은 모두 브라우저 안에서만 처리되며 외부로 전송되거나 저장되지 않습니다.

로그인 URL을 변경하면 정말 안전해지나요?

근본적인 방어는 아니지만 자동화된 봇 트래픽의 대부분을 차단해 로그 노이즈와 무차별 시도를 크게 줄입니다. 2FA·시도 제한과 함께 쓰면 효과적입니다.

XML-RPC를 꼭 꺼야 하나요?

Jetpack이나 모바일 앱, 외부 발행 도구를 쓰지 않는다면 비활성화를 권장합니다. XML-RPC는 무차별 대입 증폭과 핑백 DDoS에 악용될 수 있습니다.

DISALLOW_FILE_EDIT는 어떤 효과가 있나요?

wp-config.php에 define('DISALLOW_FILE_EDIT', true);를 추가하면 관리자 화면의 플러그인/테마 코드 편집기가 비활성화됩니다. 관리자 계정이 탈취돼도 서버 코드를 직접 수정하기 어려워집니다.

보안 플러그인 하나면 충분한가요?

보안 플러그인은 도움이 되지만 만능이 아닙니다. 업데이트, 강력한 비밀번호, 백업, 최소 권한 같은 기본기가 함께 갖춰져야 실질적인 방어가 됩니다.