보안 강화: XML-RPC 비활성화 방법 (워드프레스 보안 강화)

워드프레스 정보를 제공하는 블로그 Avada 2020. 5. 7. 00:37 • 댓글:

XML-RPC는 다른 애플리케이션에서 워드프레스에 원격으로 업데이트를 허용하는 시스템입니다. 예를 들어, Windows Live Writer는 xmlrpc.php 덕분에 워드프레스에 직접 포스팅할 수 있습니다. xmlrpc.php는 사이트에 대한 다양한 공격을 허용할 수 있으므로 이 기능을 사용하는 않으면 비활성화하는 것이 좋습니다. XML-RPC 비활성화는 비교적 간단합니다.

서버에 xmlrpc 익스텐션이 설치되어 있는지 확인하는 방법

요즘 웹호스팅 서버에는 대부분 xmlrpc 익스텐션이 설치되어 활성화되어 있을 것입니다. 서버에 xmlrpc 기능이 설치되어 있는지 체크하려면 php 파일을 만들어 다음 코드를 추가한 후에 업로드하여 확인할 수 있습니다("How do I see the extensions loaded by PHP?" 참고).

  <?php 
      echo "<pre>";
      print_r(get_loaded_extensions());
      echo "<pre/>";
 ?>

그러면 설치되어 있는 PHP extension 리스트를 확인할 수 있습니다.

xmlrpc 익스텐션이 설치되어 있으면 위의 그림과 같이 xmlrpc가 표시됩니다.

XML-RPC 비활성화 방법

워드프레스에서 보안 강화를 위해 XML-RPC를 비활성화하는 것이 좋습니다. 이 기능을 활성화하면 xmlrpc.php를 이용한 디도스 공격을 당할 수 있습니다.

XML-RPC를 비활성화하는 가장 간단한 방법은 .htaccess 파일에 다음 코드를 추가하는 것입니다.

# BEGIN protect xmlrpc.php
<files xmlrpc.php>
order allow,deny
deny from all
</files>
# END protect xmlrpc.php

.htaccess 파일을 수정하는 방법은 다음 글을 참고해보세요.

 

워드프레스에서 wp-config.php / htaccess 파일 수정하기

워드프레스를 이용하다 보면 간혹 wp-config.php 파일이나 .htaccess 파일을 수정해야 하는 상황이 종종 발생합니다. wp-config.php 파일을 수정하려면 보통 FTP나 sFTP에 접속하여 작업을 할 수 있습니다. cPanel..

avada.tistory.com

FTP에 접속하는 것이 여의치 않으면 플러그인을 사용할 수도 있습니다.

워드프레스 관리자 페이지 > 플러그인 > 새로 추가에서 Disable XML-RPC 플러그인을 설치하여 활성화하면 됩니다.

이 플러그인이 제대로 작동하지 않으면 Manage XML-RPC라는 무료 플러그인을 사용할 수 있습니다.

하지만 이런 간단한 기능을 위해 플러그인을 설치하는 것은 그다지 바람직하지 않습니다.

다른 방법으로 FTP에 접속하여 xmlrpc.php 파일을 삭제하는 것도 가능합니다.

이 방법으로 xmlrpc를 비활성화하는 경우, 워드프레스가 업데이트되면 다시 xmlrpc.php 파일이 생성되므로 최선의 방법은 아닙니다. (워드프레스 업데이트 때마다 이 파일을 삭제해야 합니다.)

이외에도 iThemes Security와 같은 보안 플러그인에서 XML-RPC 비활성화 기능을 제공합니다. 보안 플러그인을 사용하면 이 기능이 있는지 체크해보시기 바랍니다.

XML-RPC를 통한 포스팅 시 문제가 발생하는 경우 ('406 Not Acceptable' 에러)

블루호스트(Bluehost)에서 호스팅되는 워드프레스 사이트에 XML-RPC를 사용하여 원격 포스팅을 할 때, 짧은 시간에 지나치게 많은 글을 포스팅하면 "Not Acceptable! An appropriate representation of the requested resource could not be found on this server. This error was generated by Mod_Security." 오류 또는 '406 Not Acceptable' 오류가 발생하면서 포스팅에 실패하고 워드프레스 관리자 페이지에 접속하는 것도 불가능하게 될 수 있습니다.

이 문제가 발생하면 웹호스팅 업체에 연락하여 문제를 설명하고 Mod_Security 방화벽에서 내 IP 주소를 예외 처리해줄 것을 요청해야 합니다.

 

블루호스트: XML-RPC를 통한 원격 워드프레스 포스팅 오류 발생 시

워드프레스에서는 XML-RPC를 사용하여 원격 포스팅이 가능합니다. 이 기능을 사용하지 않을 경우에는 XML-RPC를 비활성화하는 것이 바람직합니다. 원격 포스팅을 하는 경우 특정 IP 주소에서만 XML-RP

avada.tistory.com

참고:

 

워드프레스 보안 강화를 위한 기본적인 세 가지 방법 - 워드프레스 기본

워드프레스는 심플한 레이아웃부터 전문적인 디자인까지 다양한 테마, 강력한 플러그인과 SEO 등으로 많은 인기를 끌고 있습니다.  하지만 워드프레스가 대중화되고 점점 더 많은 사람들이 사용함에 따라 해커들의 타겟이 되기도 합니다.

www.thewordcracker.com