워드프레스 솔트(salt) 키를 설정/변경하여 보안 강화하기

워드프레스 정보를 제공하는 블로그 Avada 2018. 9. 16. 11:14 • 댓글:

워드프레스를 처음 설치한 후에는 wp-config.php 파일에서 솔트 키(Salt key)를 생성하여 입력해주어야 합니다. 일부 웹호스팅에서는 워드프레스를 자동 설치하면서 솔트 키를 자동 생성하여 복사해주기도 하지만, 빈 값으로 남겨져 있는 경우도 있습니다.

워드프레스 보안 솔트 키

솔트 키는 https://api.wordpress.org/secret-key/1.1/salt/ 링크를 클릭하여 자동 생성할 수 있습니다. 예시:

define('AUTH_KEY',         'eN};+M;$>BOJklPT,2^_(WI=rX#7W-MnxN|<M?z8-g*9.m3R85[+OPlA~ ,GIj5j');
define('SECURE_AUTH_KEY',  '(;ZBILp(*jw|0bc+VrN7,T3H3+1vL2B6|{0!GI+{@J-y|5X^B4CK@[fn7/mbB#z6');
define('LOGGED_IN_KEY',    'r-++~fqqxt;tR>Fhk&5r!|z2.iP}8#KLB]j+V%GPVD[|z$-Xt,Ab&~PhC=^C6a`-');
define('NONCE_KEY',        'd#b^2y/]0<RkpHh>C5ph%IVRemDgrhu[>fy&s^<n_H^VA-}9xp[Ter0`k?IwY+[B');
define('AUTH_SALT',        'K@s1S:`+D3HK.m<Va/P^<@S^am]:H-c^T}f2E}W8EAi0@t>vU7@id/CO?FO~O|VY');
define('SECURE_AUTH_SALT', '6$xeDHHe+k:{1pw!ls@G}CS2,]iacE>n_yo#[@/f1hG-JsuF(ET]r7J+s|;%M,MD');
define('LOGGED_IN_SALT',   '_>Su9Y2WHtDToqDZEt=!pzU+xmDkG@Q`(@:tW6#qXwF+Djx;H2(X 4A%4]TnF` S');
define('NONCE_SALT',       '[z`~C)Ko6kK l{c@tisqAM4+dJxaqG|K}yNtsWv`m]mMBu.~m}*])?G+|2N1mN?/');

이 값을 모두 복사하여 wp-config.php 파일에서 빈 값으로 남겨져 있는 부분(그림에서 (2) 부분)을 교체하면 됩니다.

브라우저 쿠키에 사용자명과 비밀번호를 저장하면 로그인할 때마다 로그인 정보를 입력할 필요가 없기 때문에 매우 편리합니다. 하지만 비밀번호가 평문(plaintext)로 저장되면 보안에 큰 위협이 됩니다. 워드프레스에서는 Salt와 보안 키를 사용하여 비밀번호를 랜덤한 문자로 저장합니다. 

보안을 위해 이 Salts를 주기적으로 변경하는 것이 좋습니다. 보안 플러그인에서는 솔트 키를 생성하여 변경하는 옵션을 제공하기도 합니다.

iThemes Security 보안 플러그인의 워드프레스 솔트 키 업데이트 기능 사용하기

예를 들어, iThemes Security의 경우 Security > Settings > WordPress Salts > Configure Settings를 클릭하여 워드프레스 솔트 키를 변경할 수 있습니다.

Configure Settings를 클릭하면 다음과 같은 화면이 표시됩니다.

워드프레스 솔트 키 변경

Change WordPress Salts 옆의 체크란을 체크하면 워드프레스 솔트 키가 변경되고 로그인되어 있는 모든 사용자(관리자 포함)가 강제로 로그아웃됩니다.

정기적으로 WordPress Salts를 변경하면 보안에 도움에 됩니다. 보안 플러그인이 설치되어 있다면 생각이 날 때 한 번씩 변경해주면 될 것 같습니다.

플러그인을 사용하여 워드프레스 Salts 키를 정기적으로 변경하기

만약 이 작업이 귀찮다면 Salt Shaker 같은 플러그인을 사용하면 주기적으로 자동으로 솔트 키를 변경할 수 있습니다.

플러그인을 사용하면 편리하지만, 이런 기능 때문에 굳이 플러그인까지 설치할 필요는 없을 것 같다는 생각이 드네요. 가능한 한 플러그인 개수는 최소화하는 것이 좋습니다.

wp-config.php 파일을 수정하는 방법은 다음 글을 참고해보시기 바랍니다.