워드프레스 로그인 횟수를 제한하여 보안 강화하기

워드프레스 사이트를 운영하다 보면 직면하게 되는 보안 위협 중 하나가 무차별 대입 공격(Brute Force Attack)입니다. 해커들은 자동화된 봇을 이용해 지속적으로 로그인 시도를 반복하며 관리자 계정의 비밀번호를 알아내려 하는데, 이는 사이트의 속도 저하는 물론 실제 해킹으로 이어질 수 있는 심각한 보안 취약점입니다. 웹호스팅의 방화벽에서 이러한 로그인 시도를 차단하기도 하지만, 웹호스팅에서 충분한 보안 기능을 제공하지 않는다면 보안 플러그인을 사용하여 이런 공격을 방어할 수 있습니다.

Wordfence와 같은 보안 플러그인을 사용하면 보안이 강화되지만 사이트 속도에 부정적인 영향을 미칠 수 있습니다. 보안 플러그인인을 사용하는 대신 로그인 횟수를 제한하여 보안을 강화하고 싶은 경우 Limit Login Attempts Reloaded 플러그인을 사용할 수 있습니다.

워드프레스 로그인 횟수를 제한하여 보안 강화하기

워드프레스 사이트를 모니터링해 보면 자동화된 봇에 의한 로그인 시도가 지속적으로 이루어지는 경우가 많습니다. 웹호스팅의 방화벽이 잘 되어었거나 보안 플러그인을 설치되어 있다면 대부분의 봇 로그인 시도는 차단됩니다.

클라우드웨이즈를 이용하고 있다면 자체적으로 강력한 방화벽이 탑재되어 있어서 보안 플러그인을 설치하지 않아도 보안에 문제가 되지 않지만, 일반적인 웹호스팅에서는 Wordfence와 같은 보안 플러그인을 설치하는 것이 보안적인 측면에서 안심할 수 있습니다.

워드펜스(Wordfence)를 설치하지 않는다면 Limit Login Attempts Reloaded와 같은 플러그인을 사용하여 로그인 횟수를 제한하는 것을 고려해 볼 수 있습니다.

이 플러그인은 현재 200만 개가 넘는 사이트에 설치되어 사용되고 있습니다. 

이 플러그인은 무료 버전과 유료 버전이 있습니다.

무료 버전 기능:

• 2단계 인증(2FA) – 곧 추가될 예정이라고 합니다.
• 로그인 시도 횟수 제한 – IP당 로그인 재시도 횟수 제한 설정
• 차단 시간 설정 – 사용자나 IP가 차단된 후 대기해야 하는 시간 조정 가능
• 남은 시도 횟수 표시 – 로그인 페이지에서 남은 재시도 횟수 또는 차단 시간 안내
• 차단 이메일 알림 – 차단 발생 시 관리자에게 이메일 알림
• 차단 시도 로그 – 모든 차단 시도 및 차단 내역 확인 가능
• IP 및 사용자명 허용/차단 목록 – 특정 사용자명과 IP 접근 제어
• 신규 사용자 가입 보호(마이크로 클라우드 계정) – 워드프레스 기본 회원가입 보호
• Sucuri 플러그인과 호환
• Wordfence 플러그인과 호환
• Ultimate Member 플러그인과 호환
• WPS Hide Login 글러그인과 호환
• MemberPress 호환
• XMLRPC 게이트웨이 보호 - (플러그인 설정에는 xmlrpc 비활성화 옵션이 보이지는 않지만 xmlrpc를 비활성화하는 기능을 제공하는 것으로 보입니다.)
• 우커머스 로그인 페이지 보호
• 멀티사이트 호환 및 추가 MU 설정
• GDPR 준수
• 커스텀 IP 출처 지원(클라우드플레어, Sucuri 등)
• llar_admin 전용 권한

프리미엄 버전 기능:

• 성능 최적화 – 과도한 로그인 실패 부하를 서버에서 클라우드로 이전하여 웹사이트 속도 및 효율성 향상
• 향상된 IP 인텔리전스 – 반복적이고 의심스러운 로그인 시도를 식별하여 무차별 대입 공격 감지. 악성 활동이 알려진 IP를 저장하여 향후 공격 예방
• 향상된 제한 기능 – 악성 IP나 사용자명이 로그인에 실패할 때마다 차단 시간이 점점 길어짐
• 국가별 차단 – 원하는 국가를 선택하여 해당 국가에서의 로그인 차단
• 자동 IP 차단 목록 – 반복적으로 로그인에 실패하는 IP를 클라우드 차단 목록에 자동 추가
• 신규 사용자 가입 보호 – 워드프레스 기본 회원가입 보호
• 글로벌 차단 목록 보호 – LLAR 네트워크 내 수천 개 웹사이트의 클라우드 IP 데이터 활용
• 동기화된 차단 – 여러 도메인 간 차단 IP 데이터 공유로 네트워크 보안 강화
• 동기화된 허용/차단 목록 – 여러 도메인 간 허용/차단 IP 및 사용자명 데이터 공유
• 프리미엄 지원 – 보안 전문가의 이메일 지원
• 모든 IP 데이터 자동 백업 – 클라우드에 활성 IP 데이터 저장
• 성공한 로그인 로그 – IP 정보, 도시, 주, 위도/경도를 포함한 성공한 로그인 기록을 클라우드에 저장
• 향상된 차단 로그 – 로그인을 시도하는 IP의 출처에 대한 유용한 정보 제공
• IP 데이터 CSV 다운로드 – 클라우드에서 IP 데이터 직접 다운로드
• 허용/차단 목록에 IPV6 범위 지원
• 차단된 관리자 계정 잠금 해제 – 클라우드를 통해 차단된 관리자 계정을 쉽게 잠금 해제

국가별 IP 주소를 차단하는 등 고급 기능을 이용하고 싶은 경우 유료 버전을 고려해볼 수는 있을 것 같습니다.

참고로 특정 국가로부터 접속을 차단하고 싶은 경우 클라우플레어(Cloudflare)를 이용할 수 있습니다. 

클라우드플레어(Cloudflare)에서 중국 트래픽 차단하기 - 워드프레스 정보꾸러미

특정 IP 주소만 로그인 페이지에 접속이 가능하도록 설정하기

저는 관리하는 대부분의 워드프레스 블로그에 저만 로그인하기 때문에 제 컴퓨터에서만 로그인이 가능하도록 코드를 추가했습니다. 다음과 같은 코드를 .htaccess 파일에 추가하면 특정 IP 주소로 접속 시에만 로그인 페이지에 접근할 수 있습니다.

<Files wp-login.php>
	Order Deny,Allow
	Deny from All
	Allow from 123.456.78.123
	# 추가 IP가 필요하면 여기에 추가
</Files>

내 컴퓨터에 연결된 인터넷 회선의 IP 주소는 네이버에서 '내 IP'로 검색하여 확인할 수 있습니다.😊

다른 IP 주소로 해당 사이트의 로그인 페이지에 접속하면 Forbidden 403 오류가 발생하게 됩니다.

안전하게 워드프레스 사이트 운영하기

워드프레스는 보안에 강하지만 업데이트를 소홀히하거나 보안 관행을 무시하면 보안에 허점이 발생하여 사이트가 해킹을 당하거나 멀웨어(악성코드)에 감염될 수 있습니다.

다음과 같은 조치로 안전하게 워드프레스 사이트를 운영할 수 있습니다.

• 워드프레스, 테마, 플러그인을 모두 최신 버전으로 업데이트하여 유지하기
• 보안 플러그인 설치하기
• 정기적으로 백업하기

👉 멀웨어 감염 등 워드프레스 또는 웹호스팅 문제 해결에 어려움을 겪는 경우 여기에서 서비스(유료)를 의뢰하실 수 있습니다.

참고

https://avada.tistory.com/3458

블루호스트에서 멀웨어 치료 및 클라우드웨이즈로 워드프레스 이전 작업

https://avada.tistory.com/3826

클라우드웨이즈(Cloudways)에서 케미클라우드(ChemiCloud)로 워드프레스 이전 작업