워드프레스 보안 플러그인중 All In One WP Security 를 설명해볼까 합니다. 추천 및 이 플러그인을 설명하는 이유는 무료이고, 너무 강력하기 때문 입니다.
아직 영문버전을 사용하신 다면, https://ppomo.cc/wpalosf 에서 다운로드 받아 public_html/wp-content/plugins/all-in-one-wp-security-and-firewall/languages 에 올리시면 한글화된 설정 페이지를 볼 수 있습니다.
ps. 개발자분에게 한글화 파일을 보냈습니다. 다음 버전에서 추가해준다고 하더라구요 그전에 오역을 잡아야 할것 같습니다.
이렇게 변경되었습니다.
설정한 만큼 점수가 올라 갑니다.
보안 지침서는 이 플러그인을 사용해 사람들이 가장 많이 한 설정들을 보여 줍니다.
첫번째 페이지는 설정 페이지 입니다. 기본적으로 모든 기능을 끄고 켤수 있습니다. .htaccess 파일 wp-config.php 파일등을 백업한다던지 설정 파일을 가져오거나 내보낼 수 있습니다.
사용자 계정 부분은 글을 쓸 때 필명이 아닌 로그인 하는 아이디로 표시 됩니다. 이로 인해 해커가 아이디를 알아내고, 사전 대입 방식으로 패스워드를 확인할 수 있습니다. 그래서 실제 로그인에 쓰는 아이디가 아닌 필명을 설정하는 부분입니다.
사용자 계정 > 비밀번호에서 비밀번호 생성기를 이용해 비밀번호를 만들 수 있습니다. 암호를 저곳에 입력하면 강도가 표시 됩니다.
다음은 사용자 로그인 설정입니다. 사전 대입 방식으로 로그인을 시도 할 경우 최대 로그인 시도 횟수등을 이용해 일정 시간 차단하는 기능입니다. 차단된 사용자를 확인 하기 위해, 이메일 주소를 넣으면 이메일로 차단된 사용자 정보가 전송됩니다. 워드프레스를 설치하고 저 기능을 사용하시면 엄청난 로그인 공격 알람 메일을 받아보실 수 있을 겁니다.
회원 가입시 기본적으로 자동으로 승인이 됩니다. 그로 인해 스팸 가입자 무제한으로 등록될 수 있습니다. 이러한 부분을 방지하고자 수동 승인을 활성화 합니다.
워드프레스를 설치하게 되면 기본적으로 wp_ 라는 접두사로 테이블이 생성 됩니다. 누구나 이 접두사를 알고 있기에 다른 접두사로 변경을 해주는 기능입니다. 혹시 작업중 문제가 생길 수 있으니 백업 하신 뒤 변경하세요.
파일 권한을 설정합니다. 루아틱 사용자의 경우 root directory 는 변경하시면 안됩니다. 사이트가 안 열리 수 있습니다. 그렇다고 보안이 약하다는 말은 아닙니다. 그이외 나머지 파일들은 권장 권한으로 변경해 줍니다.
위쪽에 로그인 잠금기능에서 알람 메일이 왔다면 블랙리스트 관리자에서 해당 ip를 차단할 수 있습니다. 위에서 권장하는 국가 차단 애드온을 설치하면 국가별 차단도 가능합니다.
영상에도 설명되었던 기본 방화벽 설정 입니다. 업로드 파일 크기를 설정한다던지, XMLRPC 및 핑백 취약점을 위한 공격을 보호 할 수 있습니다.
이부분도 영상에 나옵니다. 인덱스 보기를 비활성화 해야 합니다. 인덱스 가 활성화 되어 있는 경우 웹사이트가 다음 ftp 사이트 처럼 모든 파일을 확인하거나 다운로드 받을 수 있게 됩니다. 예를 든다면 아래 처럼 보이는 것을 403 페이지가 열리게 만듭니다.
관리자 로그인시 wp-admin 이라는 문자열로 접속하게 됩니다. 이것을 자기만 아는 다른 문자열로 변경하는 기능입니다.
https://developers.google.com/recaptcha 구글 리캡챠 기능을 이용해 봇 및 공격을 차단해주는 기능입니다. 구글 리캡챠 키 만드는법은 별도로 올리도록 하겠습니다. 아래는 구글 recaptcha 소개 영상
스팸 댓글을 방어하는 기능 입니다. 요즘은 이 기능을 켜지 않아도 관리자에서 승인할 것인지 스팸처리할 것인지 나오지만, 그전에 캠챠를 이용해 댓글 입력 후 보안 문자를 입력하도록 권유 할것인지 또는 스팸봇으로 판단될 경우 차단할 것인지 등을 설정할 수 있습니다.
변경된 파일이 있는지 검사하는 기능입니다. 악성 코드등이 추가된 파일이 있다면 이곳에서 검사하고 수정할 수 있습니다.
마지막으로 기타 설정 부분입니다.
