워드프레스 관리자 접근 관리
워드프레스 관리자(wp-admin) 접근 관리는 사이트 보안의 핵심입니다. 아래는 주요 관리 방법입니다.
기본 접근 관리
- 워드프레스닷컴(WordPress.com) SSO 비활성화: 만약 워드프레스닷컴 계정으로 로그인하는 SSO가 활성화되어 있다면, 관리자 비밀번호를 별도로 설정한 뒤 SSO를 비활성화할 수 있습니다. 이 경우, 관리자 영역에 접근하려면 직접 설정한 비밀번호가 필요합니다.
- IP 접근 제한: 일부 호스팅 서비스(예: 카페24 매니지드 워드프레스)는 기본적으로 국내 IP에서만 관리자 접근을 허용합니다. 해외에서 접근이 필요하다면, 특정 IP만 허용하거나 접근 제한을 해제할 수 있습니다.
- 사용자 역할 및 권한 관리: 워드프레스는 기본적으로 관리자, 편집자, 작성자, 기여자, 구독자 등 5가지 역할을 제공합니다. User Role Editor 플러그인을 사용하면 각 역할의 권한을 세밀하게 조정하거나, 새로운 역할을 추가할 수 있습니다.
- 접근 권한 확장 플러그인: User Access Manager와 같은 플러그인을 사용하면, 포스트, 페이지, 파일 등에 대한 접근 권한을 그룹 단위로 관리할 수 있습니다. 사용자 그룹을 생성하고, 각 그룹에 읽기/쓰기 권한을 부여할 수 있습니다.
2단계 인증(2FA) 적용법
2단계 인증(2FA)은 아이디와 비밀번호 외에 추가적인 인증 수단을 요구해 보안을 강화합니다.
2FA 플러그인 설치 및 설정
- 플러그인 설치: 관리자 대시보드에서 플러그인 > 새로 추가로 이동해 ‘Two-Factor’ 또는 ‘Wordfence Security’ 등 2FA를 지원하는 플러그인을 검색해 설치합니다.
- 플러그인 활성화: 설치 후 플러그인을 활성화합니다.
- 2FA 설정:
- 사용자 > 프로필로 이동합니다.
- Two-Factor Options 섹션에서 원하는 인증 방법(이메일, TOTP, FIDO U2F, 백업 코드 등)을 선택합니다.
- TOTP(Google Authenticator 등) 사용 시: 스마트폰에 Google Authenticator 앱을 설치하고, QR코드를 스캔해 계정을 등록합니다. 이후 로그인 시 앱에서 생성된 인증번호를 입력해야 합니다.
- 이메일 인증: 이메일로 전송된 코드를 입력해 인증합니다.
- 모든 관리자 계정에 2FA 적용: 각 관리자 계정의 프로필에서 동일하게 2FA를 설정해야 합니다.
추가 보안 설정
- Wordfence Security 등 보안 플러그인을 사용하면, 2FA 외에도 무차별 대입 공격 방지, 로그인 시도 제한 등 다양한 보안 기능을 추가할 수 있습니다.
- 기억 장치(Remember Device) 기능: 일부 2FA 플러그인은 신뢰할 수 있는 장치에서 일정 기간 동안 2FA를 생략할 수 있는 기능을 제공합니다.
요약 표: 관리자 접근 관리 vs 2FA
| 구분 | 관리자 접근 관리 | 2단계 인증(2FA) 적용법 |
|---|---|---|
| 주요 방법 | IP 제한, 역할/권한 조정, SSO 비활성화 | Two-Factor, Wordfence 등 플러그인 설치 |
| 설정 위치 | 호스팅 설정, 사용자 역할, 플러그인 | 사용자 프로필, 플러그인 설정 |
| 보안 강화 수준 | 기본 접근 통제 | 추가 인증 요구로 보안 강화 |
| 추천 플러그인 | User Role Editor, User Access Manager | Two-Factor, Wordfence Security |
결론
워드프레스 관리자 접근 관리는 IP 제한, 역할/권한 조정, SSO 비활성화 등으로 기본적인 보안을 확보할 수 있습니다. 여기에 2단계 인증(2FA)을 적용하면, 무차별 대입 공격 등 외부 침해 시도를 효과적으로 차단할 수 있습니다. 두 방법을 병행해 사용하는 것이 가장 안전합니다.
