[TL;DR] 워드프레스 보안 알림 메일, 3줄 요약
- 증상: 해외 봇의 무차별 대입 공격으로 인한 사이트 잠금 및 알림 폭탄
- 해결: Solid Security의 ‘백엔드 숨기기’ 기능으로 로그인 주소 변경
- 결과: 공격 시도 원천 차단 및 2단계 인증의 번거로움 보완
자고 일어나면 쌓여있는 ‘사이트 잠금 알림’ 메일 때문에 스트레스받고 계신가요? 최근 제 블로그에도 미국과 해외의 낯선 IP들이 끈질기게 로그인을 시도하는 일이 잦아졌습니다. 마침 보안을 위해 켜둔 2단계 인증때문에 매번 로그인할 때마다 불편했지만, 사이트 잠금이 될 정도로 공격이 잦아져 오히려 보안을 강화하는 쪽으로 마음을 굳혔습니다.
이번에 제가 찾은 정답은 바로 Solid Security 플러그인을 이용한 ‘현관문 숨기기’였습니다. 오늘 그 노하우를 공유합니다.
1. 왜 내 사이트가 공격받을까?
대부분의 해킹 시도는 사람이 직접 하는 게 아니라 자동화된 ‘봇(Bot)’이 수행합니다. 이 봇들은 워드프레스의 기본 로그인 주소인 wp-admin을 타겟으로 무작위 비밀번호 대입을 시도합니다. 사실 이런 공격을 막는 가장 기초는 사이트의 뼈대를 튼튼히 하는 것입니다.
제가 이전에 정리한 워드프레스 설치 후 꼭 해야 할 기본설정 7가지를 먼저 체크하신 후, 오늘 설명드리는 설정을 더하면 방어력이 배가 됩니다.
2. 해결책: ‘백엔드 숨기기(Hide Backend)’
단순히 IP 하나를 차단하는 건 끝없는 두더지 잡기입니다. 대신, 문(로그인 주소) 자체를 옮겨버리면 봇들이 아예 입구를 찾지 못하게 됩니다.
솔리드 시큐리티(Solid Security)가 현관문을 숨겨준다면, 제가 이전에 소개했던 닌자 파이어월(NinjaFirewall) 플러그인 가이드는 집 전체를 감싸는 강력한 방화벽 역할을 합니다. 두 방법을 적절히 혼합하면 철벽 방어가 가능합니다.
가. 보안 설정별 특징 비교
| 보안 기능 | 주요 역할 | 편의성 | 추천 대상 |
|---|---|---|---|
| 2단계 인증 (2FA) | 아이디/비번 유출 시 최종 방어 | 낮음 (매번 확인) | 고강도 보안 필요 사이트 |
| 백엔드 숨기기 | 로그인 주소 자체를 변경/은폐 | 높음 (한 번 설정) | 알림 메일 폭탄을 피하고 싶은 분 |
| 닌자 파이어월 | 서버 레벨의 실시간 공격 차단 | 보통 | 카페24 등 국내 호스팅 사용자 |
1) 솔리드 시큐리티 설정하기
워드프레스 관리자 화면에서 왼쪽 사이바에 있는 보안을 클릭한 다음 설정으로 이동합니다.
왼쪽 사이드 바 맨 아래에 있는 고급을 선택한 다음, 엔드 숨기기 설정 오른쪽 꺾쇠를 눌러 창을 엽니다. 백엔드 숨기기를 체크하면 로그인 슬러그와 슬러그 등록이 나옵니다.
이 로그인 슬러그 빈칸에 넣는 말이 로그인 페이지 주소가 되므로, 다른 이들이 짐작하기 어려운 말로 적는 것이 좋습니다. 그 아래 슬러그 등록은 워드프레스 회원가입 페이지 주소를 바꾸는 용도이므로, 회원 기능이 필요 없는 일반 블로그라면 무시하고 그냥 두셔도 좋습니다. 로그인 주소만 바꿔도 보안 효과는 충분합니다.
설정이 끝나면 오른쪽 아래에 보이는 보라색 [저장] 버튼을 누르고, 즉시 접속을 확인한 다음 즐겨찾기에 저장해 두세요. 잊어버리면 나중에 본인도 들어가기 힘들어집니다!
이제 실제 설정을 진행해 보겠습니다. 아래 사진을 보며 차근차근 따라와 주세요.
솔리드 시큐리티 플러그인을 사용하여 워드프레스 로그인 주소를 5분 만에 변경하는 방법
총 시간: 5분
단계 1: 고급(Advanced) 메뉴 선택
워드프레스 관리자 화면에서 왼쪽 사이바에 있는 보안을 클릭한 다음 설정으로 이동합니다. 다음 화면에서 왼쪽 사이드 바 맨 아래에 있는 고급을 선택합니다.
단계 2: 백엔드 숨기기 설정 열기
백엔드 숨기기 설정 오른쪽 꺾쇠를 눌러 창을 엽니다. 여기서 백엔드 숨기기를 체크하면 로그인 슬러그와 슬러그 등록이 나옵니다.
단계 3: 비밀 로그인 슬러그 입력
이 로그인 슬러그 빈칸에 넣는 말이 로그인 페이지 주소가 되므로, 다른 이들이 짐작하기 어려운 말로 적는 것이 좋습니다.
단계 4: 회원 기능용 슬러그 무시 (팁)
슬러그 등록은 워드프레스 회원가입 페이지 주소를 바꾸는 용도이므로, 회원 기능이 필요 없는 일반 블로그라면 무시하고 그냥 두셔도 좋습니다. 로그인 주소만 바꿔도 보안 효과는 충분합니다.
단계 5: 저장 및 즐겨찾기 등록
설정이 끝나면 오른쪽 아래에 보이는 보라색 [저장] 버튼을 누르고, 즉시 접속을 확인한 다음 즐겨찾기에 저장해 두세요. 잊어버리면 나중에 본인도 들어가기 힘들어집니다!
솔리드 시큐리티 설정 체크 리스트
- 고급(Advanced) 탭 이동: 설정 메뉴에서 ‘Advanced’를 클릭합니다.
- [ ] 백엔드 숨기기 활성화: ‘Hide Backend’ 메뉴를 On으로 바꿉니다.
- [ ] 로그인 슬러그 입력:
wplogin대신 자신만 아는 비밀 단어를 넣습니다. - 리디렉션 확인: 기존 주소 접속 시
not-found가 뜨도록 설정합니다. - [ ] 즉시 즐겨찾기: 저장 후 새 주소로 접속해 브라우저 북마크를 꼭 합니다.
3. 자주 묻는 질문 (FAQ)
로그인 주소를 바꾸면 기존 주소는 어떻게 되나요?
접속 시 ‘404 페이지를 찾을 수 없음’ 에러가 뜨며 차단됩니다. 봇들이 아예 입구를 찾지 못하게 되어 알림 메일도 오지 않습니다.
바꾼 주소를 잊어버리면 어떻게 하죠?
설정 즉시 즐겨찾기를 해두는 것이 가장 중요합니다. 만약 잊었다면 FTP 접속을 통해 플러그인 폴더 이름을 잠시 바꿔 비활성화한 후 접속해야 합니다.
2단계 인증을 꺼도 안전할까요?
백엔드 숨기기만으로도 공격의 90% 이상을 막을 수 있지만, 주소가 유출될 경우를 대비해 2단계 인증을 유지하는 것을 권장합니다.
마치며
저는 당분간 보안을 위해 2단계 인증을 유지할 계획이지만, 로그인 주소를 바꾼 것만으로도 차단 알림 메일이 눈에 띄게 줄어들어 마음이 훨씬 편해졌습니다. 여러분도 보안과 편의성 사이에서 고민 중이라면, 지금 바로 현관문부터 숨겨보세요!
※ 참고 자료 및 공식 가이드
[필수 고지 사항] 이 정보는 글 작성 시점의 정책과 자료를 바탕으로 작성되었으며, 실제 세부사항은 언제든 변경될 수 있습니다. 본 글은 일반적인 정보 전달을 목적으로 하며, 특정 개인을 위한 전문적인 법률, 의료 또는 재무적 조언이 아님을 밝힙니다. 최종 결정 전 반드시 전문가 상담 및 공식 소스를 통한 최신 정보를 확인하시기 바랍니다.
파트너스 활동으로 소정의 수수료를 제공받을 수 있습니다.
“Harupaper의 새로운 이야기를 가장 먼저 만나보세요”
구독하시면 새 글을 빠르고 편하게 받아보실 수 있습니다.