RevealTheme logo

가이드 · 업데이트됨 2026

WordPress 보안 점검 목록: 정말로 중요한 30단계

대부분의 WordPress 보안 조언은 일반적이고, 공포를 조장하며, 정말로 중요한 것을 놓칩니다. 이 목록은 WordPress 사이트에 대해 사용되는 실제 공격 패턴(무차별 대입, 취약한 플러그인, 약한 자격 증명, 구식 코어)에 기반하여 보안 조치를 실제 영향력 순으로 정리합니다.

5가지 필수 사항: 먼저 하세요

  1. WordPress 코어, 테마, 플러그인을 최신 상태로 유지하세요. 취약한 플러그인은 1위 공격 벡터입니다. 마이너 버전 자동 업데이트를 활성화하세요(WordPress 5.6+는 기본적으로 합니다). 메이저 버전의 경우, 출시 후 7일 이내에 업데이트하세요. 플러그인의 경우, 신뢰할 수 있는 것의 자동 업데이트를 활성화하고, 중요한 플러그인은 릴리스 노트를 수동으로 검토하세요.
  2. 각 WordPress 계정에 강력하고 고유한 비밀번호를 사용하세요. 특히 관리자 계정. 비밀번호 관리자(1Password, Bitwarden)를 사용하세요. «admin» 사용자 이름을 비활성화하세요: 새 관리자를 만들고 예전 것을 삭제하세요.
  3. 이중 인증을 활성화하세요. Wordfence Login Security(무료)나 저희 2FA QR 생성기를 임의의 TOTP 앱과 함께 사용하세요. 2FA는 자격 증명 스터핑 공격의 99% 이상을 물리칩니다.
  4. 신뢰할 수 있는 보안 플러그인을 설치하세요. Wordfence(대부분의 사이트에는 무료 버전으로 충분)나 Solid Security. 여러 개를 쌓지 마세요: 충돌합니다. 플러그인은 로그인 시도 제한, 파일 무결성 모니터링, 멀웨어 스캔을 관리합니다.
  5. 매일 오프사이트 백업. UpdraftPlus → Dropbox/Google Drive. 필요하기 전에 백업하세요. 복원 절차를 최소 한 번 테스트하세요.

다음 10가지: 추가 고영향 조치

  1. HTTPS를 강제하세요. Let's Encrypt는 모든 최신 호스팅에서 무료입니다. 서버 수준에서 HTTP를 HTTPS로 리디렉션하세요.
  2. 데이터베이스 테이블 접두사를 변경하세요. WordPress는 기본적으로 wp_를 사용합니다; 설치 중에 맞춤형으로 변경하세요. 공격을 막지는 않지만 일부 공격 패턴을 어렵게 만듭니다.
  3. 사용하지 않으면 XML-RPC를 비활성화하세요. XML-RPC는 흔한 무차별 대입 증폭 벡터입니다. Jetpack 모바일 앱이나 원격 게시를 사용하지 않으면, .htaccess나 플러그인을 통해 비활성화하세요.
  4. 로그인 시도를 제한하세요. Wordfence가 자동으로 합니다. 무차별 대입 자격 증명 스터핑을 막습니다.
  5. WordPress 인증 키/salt를 교체하세요. 저희 WordPress Salt 생성기를 사용하세요. 침해가 의심될 때, 침해된 관리자를 삭제한 후, 그리고 6-12개월마다 일상적으로 교체하세요.
  6. 파일 전송에 SSH나 SFTP를 사용하고, 절대 평문 FTP를 사용하지 마세요. FTP는 자격 증명을 평문으로 전송합니다.
  7. 가능하면 IP로 wp-admin 접근을 제한하세요. 팀이 고정 IP(사무실, VPN)를 사용하면, wp-admin을 그 IP로만 제한하세요. .htaccess나 Nginx 구성을 통해.
  8. wp-config.php에서 파일 편집을 비활성화하세요. 다음을 추가하세요: define('DISALLOW_FILE_EDIT', true); 공격자가 계정을 침해할 경우 패널에서 테마/플러그인을 편집하는 것을 막습니다.
  9. WordPress 버전 번호를 숨기세요. generator 메타 태그를 제거하세요. 공격을 막지는 않지만 핑거프린팅을 줄입니다.
  10. 파일 권한을 잠그세요. 파일 644, 디렉터리 755, wp-config.php 600. 대부분의 관리형 호스팅은 자동으로 합니다; VPS에서는 명시적으로 구성하세요.

마무리: 좋지만 중요하지는 않음

  1. 맞춤 로그인 URL(예: WPS Hide Login). 주로 봇 트래픽의 소음을 줄입니다; 실제 보안은 아닙니다.
  2. 로그인 양식의 CAPTCHA. 자동화된 공격에 대한 약간의 마찰.
  3. /uploads/에서 PHP 실행을 비활성화하세요. 업로드된 PHP 셸의 실행을 막습니다.
  4. Cloudflare WAF(무료 등급)를 사용하세요. 악성 트래픽이 서버에 도달하기 전에 필터링합니다.
  5. 플러그인/코어 업데이트에 대한 관리자 이메일 알림을 설정하세요.
  6. HSTS 사전 로드를 사용하여 브라우저 수준에서 HTTPS를 강제하세요.
  7. REST API를 통한 사용자 열거를 비활성화하세요(Solid Security나 Wordfence가 처리합니다).
  8. 콘텐츠 보안 정책(CSP) 헤더를 사용하세요.
  9. 디렉터리 탐색을 비활성화하세요(대부분의 호스팅은 기본적으로 합니다).
  10. 외부 서비스로 가동 시간 + 무결성을 모니터링하세요(UptimeRobot 무료 등급 + 주간 Sucuri SiteCheck).
  11. 사용자 역할을 최소 권한으로 제한하세요. 대부분의 기여자는 편집자 수준 접근이 필요 없습니다.
  12. 데이터베이스 백업 암호화(UpdraftPlus Premium이 제공합니다).
  13. CDN을 통한 도메인 외부 이미지 호스팅(공격 표면을 줄입니다).
  14. 정기적인 보안 감사 로그 검토.
  15. 사이트가 상당한 수익을 창출하면 연간 침투 테스트.

WordPress 보안 신화: 건너뛰세요

널리 권장되는 여러 «보안» 조치는 최소한의 실제 보호만 제공합니다: (1) «WordPress 버전 숨기기»: 버전을 아는 것은 표적 공격에 약간 도움이 되지만, 실제 해결책은 숨기는 것이 아니라 업데이트하는 것입니다. (2) «wp-config.php를 public_html 위로 이동»: 본질적으로 보안 이점이 없습니다; 파일은 이미 .htaccess로 보호됩니다. (3) «REST API 비활성화»: 많은 플러그인을 망가뜨리고 차단하는 것은 거의 없습니다. 대신 특정 엔드포인트를 제한하세요. (4) «여러 보안 플러그인 쌓기»: 충돌하고 겹칩니다. 신뢰할 수 있는 플러그인 하나(Wordfence나 Solid Security)가 세 개가 할 일을 커버합니다. (5) «wp-login.php 이름 변경»: 모호함을 통한 보안; 공격자는 리디렉션을 통해 새 URL을 쉽게 찾습니다.

해킹당했다면: 복구 목록

  1. 당황하지 마세요; 즉시 무언가를 삭제하지 마세요. 먼저 포렌식 분석을 위해 현재 상태의 스냅샷을 찍으세요.
  2. 사이트를 오프라인으로 전환하세요(유지 관리 모드 플러그인이나 정적 페이지로의 .htaccess 리디렉션).
  3. 모든 관리자 비밀번호를 변경하고 WordPress salt를 교체하세요.
  4. 사용자 계정을 감사하세요: 인식되지 않는 관리자 계정을 즉시 삭제하세요.
  5. Wordfence Premium이나 Sucuri로 멀웨어를 스캔하세요.
  6. 현재 파일을 깨끗한 WordPress 다운로드와 비교하세요: diff가 수정된 코어 파일을 드러냅니다.
  7. 데이터베이스의 wp_options 테이블에서 예상치 못한 항목을 검토하세요(종종 주입된 JS를 포함합니다).
  8. 가장 최근의 깨끗한 백업에서 복원하세요(이것이 매일 백업이 중요한 이유입니다).
  9. 복원 후, 각 플러그인을 감사하세요: 사용하지 않는 것을 삭제하고, 모두 업데이트하고, 공개 CVE가 있는 것은 교체하세요.
  10. WordPress 코어를 최신 버전으로 업데이트하세요.
  11. 사이트를 다시 활성화하고 30일 동안 재감염을 주시하세요.
지금 새 WordPress salt를 생성하세요

자주 묻는 질문

WordPress가 다른 CMS보다 덜 안전한가요?
본질적으로는 아닙니다. WordPress의 보안 위험이라는 평판은 두 가지 요인에서 비롯됩니다: 웹의 43%를 구동하므로 공격자가 이를 표적으로 삼고, 캐주얼 사용자가 감사하지 않고 취약한 플러그인을 설치합니다. 검증된 플러그인으로 유지 관리되는 WordPress 사이트는 Drupal이나 Joomla만큼 안전합니다. 30개의 구식 플러그인이 있는 방치된 WordPress 사이트는 손쉬운 표적입니다.
유료 보안 플러그인이 필요한가요?
대부분의 사이트는 그렇지 않습니다. Wordfence Free는 WordPress 사이트의 90%가 필요로 하는 것을 커버합니다: 방화벽, 멀웨어 스캔, 로그인 보안, 파일 무결성. Premium 버전은 실시간 위협 업데이트(30일 지연 대신), 국가별 차단, 우선 지원을 추가합니다: 실제 수익이 있는 사이트에는 가치가 있고, 그 외의 경우에는 선택 사항입니다.
WordPress를 얼마나 자주 업데이트해야 하나요?
마이너 버전(5.6.1 → 5.6.2): 자동으로, 즉시. 메이저 버전(5.x → 6.x): 출시 후 7일 이내. 플러그인 업데이트: 주간 검토; 백업이 있으면 자동 업데이트; 중요 플러그인(보안, 전자상거래, 맞춤 코드)은 수동 검토.
WordPress 사이트가 해킹당하는 가장 흔한 방법은 무엇인가요?
취약한 플러그인으로, Wordfence의 연간 보고서에 따르면 성공적인 WordPress 공격의 약 55%를 차지합니다. 플러그인 자체 코드에 공격자가 악용하는 취약점이 있습니다. 완화책: 플러그인을 최신 상태로 유지하고, 사용하지 않는 것을 제거하고, 신뢰할 수 있는 개발자의 플러그인만 설치하세요.
WordPress 보안이 내장된 호스팅을 사용해야 하나요?
관리형 WordPress 호스팅(Kinsta, WP Engine, Pressable)은 WAF, 멀웨어 스캔, 자동 코어 업데이트를 포함합니다: 상당한 추가 사항입니다. 프리미엄 가격을 정당화하는지는 귀하의 트래픽과 위협 프로필에 달려 있습니다. 소기업 사이트의 경우, 공유 호스팅의 무료 Wordfence 설치가 대부분의 위협을 커버합니다.

관련 읽을거리

업데이트 구독

귀하의 이메일을 판매하지 않습니다. 스팸을 보내지 않습니다.

© 2026 RevealTheme. All rights reserved.