워드프레스 보안, 먼저 로그인 횟수를 제한하라

워드프레스 관문 지키기

워드프레스의 보안에서 중요한 것 중의 하나는 관문인 워드프레스 로그인 화면을 지키는 일입니다.

해킹을 시도하는 해커들이 뚫고자하는 첫번째는 바로 워드프레스 관리자 화면으로 들어가는 로그인 화면이기 때문입니다. 일단 관리자로 로그인이 가능해지면 해커는 자신의 마음대로 워드프레스 사이트를 공격할 수 있고 손쉽게 정보를 빼내갈 수 있습니다.

일반적으로 해커들이 시도하는 해킹의 두 가지 방법은 먼저 특정 정보없이 무작위 아이디와 비밀번호를 대입해서 로그인을 시도하는 방법이거나 웹브라우저나 로컬PC에 남아있는 로그인 정보등을 가로채서 획득한 정보를 기반으로 로그인하는 방법입니다. 만약 해커가 관리자 로그인 아이디를 획득했고 비밀번호를 알지 못한다고 가정했을때 획득한 로그인 아이디를 입력하고 비밀번호는 해킹프로그램을 사용해서 무작위 대입을 시도할 것입니다.

이때 이런 시도에 대해서 관문 지키미 역할을 하는 것이 로그인 시도 횟수를 제한하는 기능입니다. 워드프레스는 플러그인을 통해서 이런 기능을 구현할 수 있습니다.

로그인을 시도하는 횟수를 제한하는 플러그인 중에서 전세계에서 가장 많이 사용하는 플러그인은 Limit Login Attempts 입니다.

로그인 횟수 제한하는 Limit Login Attempts 플러그인 설치하기

플러그인을 설치하기 위해서 왼쪽 사이드바 메뉴에서 플러그인 추가하기 메뉴를 클릭합니다.

플러그인 검색 창에서 limit login attempts를 입력하고 검색합니다. 로그인 제한에 관해서 수많은 플러그인이 검색되지만 백만명이상 설치한 검증된 Limit Login Attempts 플러그인을 설치하겠습니다. 비록 업데이트는 오래되었지만 테스트 해본 결과 특별한 문제점은 발견되지 않았습니다. 지금 설치하기 버튼을 클릭합니다. 

플러그인이 설치되었습니다. 플러그인을 활성화 링크를 클릭합니다.

로그인 시도 횟수 제한기능 사용하기

Limit Login Attempts 플러그인이 정상적으로 설치되었다면 왼쪽 사이드바 메뉴에서 설정 > Limit Login Attempts 라는 메뉴가 생성된 것을 확인할 수 있습니다. Limit Login Attempts를 클릭합니다.

다음과 같이 로그인 시도 횟수 제한 설정을 하는 화면이 나타납니다.

아래 오렌지 박스의 Lockout 설정 부분을 차례로 설명하겠습니다.

첫번째는 4번 재시도를 허용한다는 것이며,

두번째는 4번의 로그인이 실패하면 20분 후에 로그인을 할 수 있도록 잠그는 기능입니다.

세번째는 첫번째 두번째가 4번 반복되면 24시간 동안 로그인 시도 잠근다는 뜻이며

네번째는 세번째 이후 12시간이 지나면 다시 초기화 된다는 것입니다.

아래 화면에서 화살표가 가르키는 IP 부분은 워드프레스가 접속된 사이트의 IP가 나타납니다. 자신의 로컬PC에 워드프레스를 설치하였다면 1로 표시될 것입니다.

또한 설정에서 중요한 부분은 차단시에 알리미 기능인 Notify on lockout 항목에 체크하는 것입니다. 아래 네모 박스 부분의 첫번째는 IP를 로그로 남긴다는 것이며 두번째 항목은 IP가 차단된 뒤에 관리자의 이메일로 알려주는 기능입니다. 설정을 완료하였으면 Change Options 버튼을 클릭해서 해당 설정내역을 저장합니다.

로그인 제한 기능 테스트하기

로그인 제한 기능을 테스트하기 위해서 자신의 워드프레스 사이트에 접속해서 로그인 시도를 합니다.

해커라고 가정하고 첫번째 로그인 시도를 했습니다. 아래와 같이 경고 메시지가 나타나면서 로그인 시도가 3번 남았다고 표시합니다.

세번째 로그인이 실패한 상황에서 마지막 네번째 로그인 시도를 합니다.

아래와 같이 네번의 시도가 실패로 끝나면 20분 동안 로그인 기능이 잠기게 되고 아래와 같이 메시지가 출력되는 것을 확인할 수 있습니다.

관리자 화면에서 차단 로그 확인하기

관리자 화면의 플러그인 설정 화면에 들어오면 조금전 접속 차단했던 내역이 나타납니다. 차단내역의 로그가 아래와 같이 IP로 나타나고 test라는 ID가 1번 차단되었다는 기록을 확인할 수 있습니다.

     

로그인 제한 기능 플러그인을 사용할 때의 주의사항

첫째, 자신의 워드프레스 사이트를 미리 빽업을 받는 것이 좋습니다.

로그인 제한 기능 플러그인을 사용할때는 만약의 사태를 대비해서 자신의 워드프레스 사이트를 미리 빽업받아놓는 것이 좋습니다.

만약의 상황에 로그인이 되지 않는 되었을때 사이트 빽업데이타가 있다면 걱정할 필요가 없을 것입니다.

워드프레스 빽업에 대한 것은 아래 포스팅을 참고바랍니다.

※ 관련 포스팅

워드프레스 빽업 끝판왕 BackWPup backup 플러그인

둘째, 로그인 제한 기능은 IP 기반으로 동작한다는 점입니다.

로그인 제한 기능 플러그인을 사용하거나 테스트할 때의 주의사항은 로그인 잠금기능이 IP 기반으로 동작하는 것에 유의해야 합니다.

즉 아무리 자신이 워드프레스 사이트 관리자로 로그인해있는 상황이라고 해도 동일한 IP의 PC에서 로그인 제한 잠금 테스트를 한다면 로그인한 관리자 마저도 로그아웃 되어버리는 웃지못할 상황이 벌어지게 됩니다. 자신이 관리자임에도 설정한 시간동안 워드프레스 사이트에 접속이 불가한 상황이 되는 것입니다.

따라서 테스트를 하려고 한다면 워드프레스 사이트를 관리하는 IP의 기기가 아니라 다른 IP를 사용하는 기기를 하는 것이 좋습니다. 가령 3G나 LTE망을 사용하는 자신의 스마트폰으로 로그인 시도 테스트를 하는 것이 실수로 관리자인 자신이 로그아웃되는 것을 미연에 방지할 수 있는 좋은 방법입니다.