워드프레스로 만든 사이트 필수 보안 TOP 10
워드프레스는 여전히 가장 널리 사용되는 CMS입니다.
그만큼 해커 입장에서도 가장 익숙하고, 자동화 공격 도구가 가장 많이 맞춰져 있는 플랫폼이기도 합니다.
문제는 워드프레스가 위험해서가 아니라,
워드프레스 사이트가 대개 다음과 같은 이유로 쉽게 표적이 된다는 점입니다.
- 오래된 플러그인과 테마
- 약한 관리자 인증
- XML-RPC, REST API, 업로드 기능 같은 노출 지점 방치
- 파일 권한과 서버 설정 미흡
- 공격을 당하고도 늦게 알아차리는 운영 구조
즉, 워드프레스 보안의 핵심은 거창한 기능이 아니라
기본 설정을 제대로 하고, 공격 흔적을 빨리 알아차릴 수 있는 구조를 만드는 것입니다.
그래서 2026년 기준으로 꼭 다시 점검해야 할
워드프레스 사이트 필수 보안 TOP 10을 정리합니다.
1. 워드프레스, 테마, 플러그인을 항상 최신 상태로 유지하세요
워드프레스 공격의 가장 흔한 출발점은
여전히 플러그인과 테마의 취약점입니다.
왜 중요한가
- 공급망 형태로 취약한 플러그인이 한 번에 대규모 사이트에 영향을 줄 수 있습니다.
- 오래된 플러그인 하나가 웹쉘 업로드, 인증 우회, SQL Injection의 시작점이 될 수 있습니다.
실무 포인트
- 사용하지 않는 플러그인은 비활성화가 아니라 삭제
- 플러그인 수는 적을수록 좋음
- 테마와 플러그인의 마지막 업데이트 날짜 확인
- 유지보수가 끊긴 플러그인은 교체 검토
체크할 것
- WordPress core 최신화
- 테마 최신화
- 플러그인 최신화
- PHP 버전 최신화
- 사용 중단 플러그인 제거
참고
- WordPress 공식 하드닝 가이드
- WordPress 취약점 데이터베이스 및 보안 공지
2. 관리자 계정 보안을 다시 설계하세요
예전에는 관리자 이름을 admin으로 두는 것이 문제였다면,
지금은 그보다 더 중요한 것이 2FA/MFA와 강력한 인증 구조입니다.
왜 중요한가
- 자동화된 대입 공격은 지금도 계속됩니다.
- 한 번 유출된 비밀번호 재사용만으로 관리자 계정이 바로 뚫릴 수 있습니다.
실무 포인트
- admin, administrator 같은 예측 가능한 계정명 사용 금지
- 관리자 계정에는 반드시 2FA/MFA 적용
- 강력한 비밀번호 정책 적용
- 관리자 계정 수 최소화
- 장기간 사용하지 않은 관리자 계정 제거
공격 사례 한 줄
- brute-force와 credential stuffing은 여전히 가장 저렴하고 가장 많이 시도되는 공격입니다.
3. 로그인 페이지 보호를 기본값으로 생각하세요
워드프레스 로그인 페이지는
가장 많이 두드려지는 공격 표면 중 하나입니다.
왜 중요한가
- 로그인 경로가 노출되어 있으면 대입 공격, 봇 공격, 크리덴셜 스터핑의 표적이 되기 쉽습니다.
- 성공하지 못하더라도 서버 자원을 지속적으로 소모시킬 수 있습니다.
실무 포인트
- 로그인 시도 횟수 제한
- 로그인 URL 변경
- 관리자 로그인 IP 제한
- 봇 방어 및 CAPTCHA
- 비정상 User-Agent, 헤더, 본문 패턴 탐지
Apache 예시:
# Block access to wp-admin.
order deny,allow
allow from x.x.x.x
deny from all
Nginx 예시:
location /wp-admin {
allow x.x.x.x;
deny all;
}
이때 admin-ajax.php 같은 정상 기능 경로는 별도 예외 처리가 필요할 수 있습니다.
4. XML-RPC는 정말 필요한 경우에만 사용하세요
XML-RPC는 오래된 원격 호출 인터페이스이지만,
지금도 공격 표면으로 자주 언급됩니다.
왜 중요한가
system.multicall기반 대입 공격에 악용될 수 있습니다.- pingback 기능 악용 등 불필요한 노출 지점이 될 수 있습니다.
실무 포인트
- 모바일 앱, 외부 연동 등 명확한 필요가 없다면 비활성화 검토
- 완전 비활성화가 어렵다면 접근 제한
- XML-RPC 사용 여부를 운영 문서에 명시
.htaccess 예시:
# BEGIN protect xmlrpc.php
<files xmlrpc.php>
order allow,deny
deny from all
</files>
# END protect xmlrpc.php
특정 IP만 허용하려면:
allow from z.z.z.z
5. REST API와 업로드 기능을 함께 보세요
최근 워드프레스 보안에서 중요한 것은
단순 로그인만이 아니라 REST API와 파일 업로드 기능입니다.
왜 중요한가
- 플러그인 취약점은 업로드, 권한 검증 누락, API 오용 형태로 자주 나타납니다.
- 업로드 기능이 잘못 구현되면 웹쉘 업로드로 바로 이어질 수 있습니다.
실무 포인트
- 불필요한 REST API 노출 최소화
- 업로드 확장자 검증
- MIME 타입 검증
- 관리자 기능과 AJAX 기능의 권한 체크 점검
- 업로드 디렉터리 내 실행 제한 검토
공격 사례 한 줄
- 취약한 플러그인의 업로드 함수 하나가 전체 사이트 장악의 시작점이 되는 경우가 많습니다.
6. 파일 수정 기능은 꺼 두는 것이 좋습니다
워드프레스 관리 화면에서 테마나 플러그인 파일을 바로 수정할 수 있는 기능은
관리 편의성보다 공격자 편의성이 더 큰 경우가 많습니다.
왜 중요한가
- 관리자 계정이 탈취되면, 대시보드 안에서 바로 악성 코드 삽입이 가능합니다.
실무 포인트
DISALLOW_FILE_EDIT활성화- 운영 중 파일 수정은 FTP/SFTP 또는 배포 파이프라인으로 제한
- 관리자 화면 내 코드 수정 기능 비활성화
wp-config.php 예시:
define('DISALLOW_FILE_EDIT', true);
7. 파일 권한과 핵심 파일 접근 제한을 점검하세요
워드프레스 보안은 결국 파일 시스템 보안과 연결됩니다.
왜 중요한가
- 파일 권한이 느슨하면 설정 파일 노출, 변조, 악성 파일 삽입 위험이 커집니다.
실무 포인트
- 일반 파일: 644
- 일반 디렉터리: 755
wp-config.php: 600 우선 검토.htaccess,wp-config.php접근 제한- 업로드 디렉터리의 실행 권한 점검
.htaccess 접근 차단 예시:
<Files .htaccess>
order allow,deny
deny from all
</Files>
wp-config.php 접근 차단 예시:
<Files wp-config.php>
order allow,deny
deny from all
</Files>
주의
- 권한 설정은 호스팅 환경과 운영 방식에 따라 기능에 영향을 줄 수 있으므로 점검 후 적용해야 합니다.
8. 디렉터리 브라우징과 불필요한 정보 노출을 막으세요
작은 정보 노출이 정찰의 출발점이 되는 경우가 많습니다.
왜 중요한가
- 디렉터리 목록 노출은 공격자에게 파일 구조, 백업 파일, 업로드 경로, 오래된 스크립트 위치를 알려줄 수 있습니다.
실무 포인트
- 디렉터리 브라우징 비활성화
- 버전 정보 노출 최소화
- 불필요한 테스트 파일, 백업 파일 제거
- 업로드 경로 내 민감 파일 노출 점검
.htaccess 예시:
Options All -Indexes
9. 백업은 복구용이 아니라 무결성 확인용이기도 합니다
많은 운영자가 백업을 복구 용도로만 생각하지만,
실무에서는 무결성 비교 기준선으로도 중요합니다.
왜 중요한가
- 침해 후 어떤 파일이 바뀌었는지
- 데이터베이스에서 무엇이 변조되었는지
- 정상 상태와 현재 상태가 어떻게 다른지
를 비교할 기준이 필요합니다.
실무 포인트
- 정기 백업 자동화
- 백업 저장소 분리
- 복구 테스트 주기적 수행
- 중요 파일 해시 관리
- 데이터베이스 무결성 확인 절차 마련
공격 사례 한 줄
- 백업은 있었지만 복구 테스트를 안 해서 실제 사고 때 쓰지 못하는 경우가 흔합니다.
10. 로그를 보지 않으면 침해를 늦게 알게 됩니다
기본 보안 설정만으로는 충분하지 않습니다.
워드프레스는 계속 공격받고 있기 때문입니다.
왜 중요한가
- brute-force
- Credential Stuffing
- SQL Injection
- XSS
- 파일 업로드 공격
- 비정상 API 호출
같은 공격은 로그에 흔적을 남깁니다.
실무 포인트
- 웹 요청 로그 점검
- 로그인 실패/성공 패턴 점검
- 비정상 업로드 요청 탐지
- 관리자 기능 호출 패턴 점검
- Response Body 기반 이상 응답 탐지
- 파일 무결성 및 변경점 모니터링
중요한 점
워드프레스 보안은 결국
설정만 잘해도 끝나는 것이 아니라,
공격을 빨리 알아차릴 수 있어야 완성됩니다.
기본 조치만으로는 부족한 이유
여기까지는 워드프레스 운영자가 반드시 해야 할 기본 보안입니다.
하지만 실제 공격은 기본 조치를 우회하는 경우가 많습니다.
예를 들어:
- 정상 로그인처럼 보이는 Credential Stuffing 성공
- 정상 기능처럼 보이는 업로드 요청
- 플러그인 취약점을 이용한 AJAX 호출
- 응답 데이터 패턴을 이용한 정보 추출
- 웹 공격 이후 PowerShell, 웹쉘, 내부 확산으로 이어지는 흐름
즉, 운영자는 기본 보안 설정뿐 아니라
웹 요청, 응답, 파일, 계정, 서버 행위를 함께 보는 구조가 필요합니다.
PLURA-XDR은 워드프레스 보안을 어떻게 보완하는가
PLURA-XDR의 의미는
워드프레스 보안 플러그인을 대체하는 것이 아니라,
기본 조치만으로는 놓치기 쉬운 실전 공격 흐름을 더 빨리 보게 하는 데 있습니다.
특히 다음과 같은 지점에서 의미가 있습니다.
1. Request Body / Response Body 기반 분석
- 로그인 본문 패턴
- 업로드 요청 본문
- 응답 데이터 변화
- 데이터 유출 징후
2. 로그 기반 실시간 탐지
- 비정상 로그인 시도
- 반복 요청
- 웹 취약점 악용 흔적
- 비정상 응답 크기와 패턴
3. 파일 및 서버 행위 연계
- 웹 요청 이후 파일 생성
- 웹쉘 업로드 의심
- 서버 내 추가 실행 흔적
- 내부 확산 가능성 확인
즉, 워드프레스 보안의 현실은
플러그인 몇 개 설치하는 것으로 끝나지 않습니다.
기본 설정 + 실시간 탐지 + 변경점 확인이 함께 가야 합니다.
워드프레스 운영자를 위한 최종 체크리스트
| 항목 | 꼭 해야 할 것 |
|---|---|
| 업데이트 | WordPress core / 테마 / 플러그인 / PHP 최신화 |
| 인증 | 관리자 계정 정리, 강력한 비밀번호, 2FA/MFA |
| 로그인 보호 | URL 변경, 시도 횟수 제한, IP 제한 |
| XML-RPC | 필요 없으면 비활성화 또는 제한 |
| REST/API | 불필요 노출 최소화, 권한 점검 |
| 파일 보안 | 권한 설정, 파일 수정 금지, 핵심 파일 접근 차단 |
| 업로드 보안 | 확장자·MIME 검증, 실행 제한 |
| 백업 | 정기 백업, 무결성 확인, 복구 테스트 |
| 로그 | 로그인, 요청, 업로드, 응답 패턴 점검 |
| 보완 체계 | WAF, 로그 분석, 파일 무결성, 실시간 탐지 |
마치며
워드프레스는 위험한 플랫폼이 아니라
가장 많이 쓰이기 때문에 가장 많이 공격받는 플랫폼에 가깝습니다.
그래서 중요한 것은
워드프레스 자체를 두려워하는 것이 아니라,
기본 보안을 제대로 하고
그 위에 실시간 탐지와 운영 가시성을 더하는 것입니다.
보안의 출발점은 늘 기본입니다.
하지만 실제 피해를 막는 힘은
기본 설정을 넘어, 공격을 얼마나 빨리 알아차리느냐에서 갈립니다.
워드프레스 사이트를 운영하고 있다면
오늘 바로 위 10가지를 점검해 보시기 바랍니다.
그리고 그 다음 단계에서는
기본 보안 설정만으로 놓칠 수 있는 공격 흐름을
어떻게 실시간으로 볼 것인지까지 함께 고민해야 합니다.
📖 함께 읽기
- Hardening WordPress – Advanced Administration Handbook
- Brute Force Attacks – WordPress Developer Resources