2025년에 당신이 저지를 가능성이 높은 워드프레스 보안 실수 10가지

Source: Dev.to

2025년 워드프레스 보안 실수 TOP 10

워드프레스는 전체 웹의 40 % 이상을 차지하지만, 그 인기로 인해 해커들의 주요 표적이 됩니다. 2025년에는 공격이 그 어느 때보다 정교해졌으며—AI 기반 무차별 대입, 제로데이 취약점, 공급망 공격 등이 증가하고 있습니다. 아래는 대부분의 워드프레스 사용자가 아직도 저지르는 10가지 보안 실수와 즉시 해결할 수 있는 방법입니다.

1. 약한 관리자 자격 증명

문제: “admin” 같은 사용자명에 “123456” 같은 비밀번호를 사용하는 경우가 아직도 흔합니다. 무차별 대입 도구가 몇 분 안에 이를 뚫을 수 있습니다.

해결책:

• 최소 16자 이상이며 기호가 포함된 비밀번호를 사용합니다.
• 2단계 인증(예: Google Authenticator 또는 Authy)을 활성화합니다.

2. 오래된 소프트웨어

문제: 오래된 코어, 플러그인, 테마가 해킹의 큰 비중을 차지합니다 (WPScan 통계).

해결책:

• 워드프레스 코어와 마이너 업데이트에 자동 업데이트를 활성화합니다.
• 메이저 업데이트는 적용 전에 수동으로 검토하고 테스트합니다.

3. 불법 복제 또는 신뢰할 수 없는 플러그인/테마 설치

문제: 불법 복제 플러그인에는 백도어와 악성코드가 포함된 경우가 많습니다.

해결책:

• 공식 WordPress.org 저장소나 신뢰할 수 있는 마켓플레이스에서만 설치합니다.
• 타사 확장 기능의 평판과 업데이트 빈도를 확인합니다.

4. 기본 로그인 URL 사용

문제: 봇은 기본 /wp-login.php URL을 매일 수백만 번 타깃으로 삼습니다.

해결책:

• WPS Hide Login 또는 iThemes Security 같은 플러그인을 사용해 로그인 URL을 변경합니다.

5. 오프사이트 백업 부재

문제: 랜섬웨어에 감염될 경우, 오프사이트 백업이 없으면 데이터 전체를 잃을 수 있습니다.

해결책:

• UpdraftPlus 또는 Jetpack Backup과 같은 백업 솔루션을 사용하고, Google Drive, Dropbox 등 오프사이트 스토리지를 활용합니다.
• 정기적인 자동 백업을 예약하고 복원 절차를 테스트합니다.

6. 부적절한 파일 권한

문제: 777 권한은 누구든 파일을 쓸 수 있게 하여 심각한 보안 위험을 초래합니다.

해결책:

• 디렉터리는 755, 파일은 644 권한으로 설정합니다.
• wp-config.php는 600 권한으로 보호합니다.

7. 웹 애플리케이션 방화벽(WAF) 미설치

문제: 방화벽이 없으면 공격이 서버에 직접 도달할 수 있습니다.

해결책:

• Cloudflare(무료 플랜)와 같은 WAF를 배포하거나 Wordfence, Sucuri 같은 보안 플러그인을 사용합니다.

8. 테마/플러그인 편집기 활성화

문제: 해커가 외모 → 테마 편집기를 이용해 악성 코드를 삽입할 수 있습니다.

해결책: wp-config.php에 다음 라인을 추가합니다:

<?php
define('DISALLOW_FILE_EDIT', true);

9. 파일 변경 모니터링 부재

문제: 많은 사이트 소유자는 구글이 사이트를 표시하기 전까지 해킹 사실을 알지 못합니다.

해결책:

• 보안 플러그인(예: Wordfence)에서 파일 변경 알림을 활성화합니다.
• 멀티사이트 환경에서는 MainWP와 같은 중앙 모니터링 도구를 고려합니다.

10. 사이트 규모가 봇으로부터 보호된다고 착각

문제: 자동화된 봇은 사이트 규모와 관계없이 매일 수백만 개의 사이트를 스캔합니다.

해결책: 위에서 제시한 보안 조치를 모두 구현하면 일반적인 공격의 90 % 이상을 차단할 수 있습니다. 정기적인 보안 감사가 완전한 보호를 위해 필수적입니다.