해킹에 대비한 최소한의 대비책
워드프레스가 전 세계에서 가장 많이 사용하는 CMS(Contents Management System)이고 많은 사이트들이 워드프레스로 제작되고 있는 만큼 해커들에게 공격을 자주 받기도 합니다. 워드프레스 블로그를 해킹당해 로그인이 안된다거나 다른 불법적인 콘텐츠로 내 블로그에 글이 채워지는 등의 피해 사례는 일일이 열거할 수 없을 만큼 많습니다.
하지만 코딩도 잘 모르고 웹 보안에 대해서는 더더욱 모르는 우리 같은 소시민들은 어떻게 해킹에 대비해야 할까요? 다른 건 모르겠고 딱 두 가지만 해줘도 웬만한 해킹에는 대비할 수 있습니다. 그 두 가지 방법에 대해 말씀드리겠습니다.
워드프레스 비밀키(secret key)란 wp-config.php에서 확인할 수 있는 해시(hash) 값입니다. 이전 글에서 웹호스팅에 워드프레스 설치하면서 wp-config.php 파일을 수정하는 방법에 대해 알아봤었습니다. 같은 방법으로 비밀키 값을 자주 바꿔주시면 해시값이 바뀌게 되므로 해킹을 좀 더 어렵게 만듭니다.
[참고글]
비밀키 값을 바꿔주면 사이트 운영자는 다시 로그인을 해줘야 합니다.
워드프레스를 처음 설치할 때 사용자명과 패스워드를 입력하게 됩니다. 이때 사용한 사용자명은 어드민 페이지(wp-admin)로 접속할 때 사용하는 아이디와 같습니다. 문제는 이 사용자명이 글쓴이로 그대로 나온다는 것입니다.
만일 누군가 내 사이트 접속 아이디, 패스워드를 해킹하고자 한다면 이미 접속 아이디는 글쓴이를 보면 알 수 있는 상태입니다. 패스워드만 해킹하면 내 사이트에 접속할 수 있게 되므로 이 접속 아이디와 글쓴이를 다르게 써주는 것이 좋습니다. 이는 db에 접속해서 바꿀 수 있습니다.
워드프레스의 db에 접속하는 방법은 각 호스팅사마다 다를 수 있습니다. 보통 phpmyadmin을 사용합니다. phpmyadmin에 접속합니다. 미리 db아이디와 비밀번호를 알고 계셔야 합니다.
db에 접속하면 아래와 같은 db테이블들이 있습니다. 이 중에서 wp_users 라고 된 테이블을 클릭합니다.
사용자 설정에 대한 여러 가지 data들을 볼 수 있습니다. 이 중에서 user_nickname과 display_name이 원래 사용했던 사용자명으로 되어 있는 것을 볼 수 있습니다. 여기 값을 클릭해서 원하는 이름으로 바꾸세요.
이렇게 수정하고 나면, 이제 포스팅에 글쓴이가 새로 바꾼 값으로 표시됩니다. wp-admin에 접속할 때는 전에 설정했던 사용자명 그대로 쓰고 글쓴이 표시만 바꾸는 것입니다.
이렇게 해두어야 해커가 사용자명(ID)부터 해킹해야 하므로 해킹하기가 아주아주 어려워집니다.
앞서 말한 이 두 가지만 해두어도 해커들의 손에 쉽게 사이트의 권한을 넘겨주는 것을 상당히 방지할 수 있습니다. 이 외에도 여러 가지 보안을 위한 방법들이 있습니다. 이 방법들은 추후 다시 한번 정리해보겠습니다.