보안 강화: XML-RPC 비활성화 방법 (워드프레스 보안 강화)

2020. 5. 7. 00:37 | 댓글 3

XML-RPC는 다른 애플리케이션에서 워드프레스에 원격으로 업데이트를 허용하는 시스템입니다. 예를 들어, Windows Live Writer는 xmlrpc.php 덕분에 워드프레스에 직접 포스팅할 수 있습니다. xmlrpc.php는 사이트에 대한 다양한 공격을 허용할 수 있으므로 이 기능을 사용하는 않으면 비활성화하는 것이 좋습니다. XML-RPC 비활성화는 비교적 간단합니다.

목차

    서버에 xmlrpc 익스텐션이 설치되어 있는지 확인하는 방법

    요즘 웹호스팅 서버에는 대부분 xmlrpc 익스텐션이 설치되어 활성화되어 있을 것입니다. 서버에 xmlrpc 기능이 설치되어 있는지 체크하려면 php 파일을 만들어 다음 코드를 추가한 후에 업로드하여 확인할 수 있습니다("How do I see the extensions loaded by PHP?" 참고).

      <?php 
          echo "<pre>";
          print_r(get_loaded_extensions());
          echo "<pre/>";
     ?>

    그러면 설치되어 있는 PHP extension 리스트를 확인할 수 있습니다.

    xmlrpc 익스텐션이 설치되어 있으면 위의 그림과 같이 xmlrpc가 표시됩니다.

    XML-RPC 비활성화 방법

    워드프레스에서 보안 강화를 위해 XML-RPC를 비활성화하는 것이 좋습니다. 이 기능을 활성화하면 xmlrpc.php를 이용한 디도스 공격을 당할 수 있습니다.

    XML-RPC를 비활성화하는 가장 간단한 방법은 .htaccess 파일에 다음 코드를 추가하는 것입니다.

    # BEGIN protect xmlrpc.php
    <files xmlrpc.php>
    order allow,deny
    deny from all
    </files>
    # END protect xmlrpc.php

    .htaccess 파일을 수정하는 방법은 다음 글을 참고해보세요.

     

    워드프레스에서 wp-config.php / htaccess 파일 수정하기

    워드프레스를 이용하다 보면 간혹 wp-config.php 파일이나 .htaccess 파일을 수정해야 하는 상황이 종종 발생합니다. wp-config.php 파일을 수정하려면 보통 FTP나 sFTP에 접속하여 작업을 할 수 있습니다. cPanel..

    avada.tistory.com

    FTP에 접속하는 것이 여의치 않으면 플러그인을 사용할 수도 있습니다.

    워드프레스 관리자 페이지 > 플러그인 > 새로 추가에서 Disable XML-RPC 플러그인을 설치하여 활성화하면 됩니다.

    이 플러그인이 제대로 작동하지 않으면 Manage XML-RPC라는 무료 플러그인을 사용할 수 있습니다.

    하지만 이런 간단한 기능을 위해 플러그인을 설치하는 것은 그다지 바람직하지 않습니다.

    다른 방법으로 FTP에 접속하여 xmlrpc.php 파일을 삭제하는 것도 가능합니다.

    이 방법으로 xmlrpc를 비활성화하는 경우, 워드프레스가 업데이트되면 다시 xmlrpc.php 파일이 생성되므로 최선의 방법은 아닙니다. (워드프레스 업데이트 때마다 이 파일을 삭제해야 합니다.)

    이외에도 iThemes Security와 같은 보안 플러그인에서 XML-RPC 비활성화 기능을 제공합니다. 보안 플러그인을 사용하면 이 기능이 있는지 체크해보시기 바랍니다.

    참고:

     

    워드프레스 보안 강화를 위한 기본적인 세 가지 방법 - 워드프레스 기본

    워드프레스는 심플한 레이아웃부터 전문적인 디자인까지 다양한 테마, 강력한 플러그인과 SEO 등으로 많은 인기를 끌고 있습니다.  하지만 워드프레스가 대중화되고 점점 더 많은 사람들이 사용함에 따라 해커들의 타겟이 되기도 합니다.

    www.thewordcracker.com

     

    • 네이버 블러그 공유하기
    • 네이버 밴드에 공유하기
    • 페이스북 공유하기
    • 트위터 공유하기
    • 카카오스토리 공유하기

    댓글을 달아 주세요

    ">
    1. thumbnail
      공수래공수거

      보안은 아무리 강조해도 지나치지 않은것 같습니다
      여유로운 목요일 되세요^^

    2. thumbnail
      핑구야 날자

      앞으로 보안 분야는 계속해서 주목 받을 수 있을 거 같아요