워드프레스를 처음 설치한 후에는 wp-config.php 파일에서 솔트 키(Salt key)를 생성하여 입력해주어야 합니다. 일부 웹호스팅에서는 워드프레스를 자동 설치하면서 솔트 키를 자동 생성하여 복사해주기도 하지만, 빈 값으로 남겨져 있는 경우도 있습니다.
솔트 키는 https://api.wordpress.org/secret-key/1.1/salt/ 링크를 클릭하여 자동 생성할 수 있습니다. 예시:
define('AUTH_KEY', 'eN};+M;$>BOJklPT,2^_(WI=rX#7W-MnxN|<M?z8-g*9.m3R85[+OPlA~ ,GIj5j');
define('SECURE_AUTH_KEY', '(;ZBILp(*jw|0bc+VrN7,T3H3+1vL2B6|{0!GI+{@J-y|5X^B4CK@[fn7/mbB#z6');
define('LOGGED_IN_KEY', 'r-++~fqqxt;tR>Fhk&5r!|z2.iP}8#KLB]j+V%GPVD[|z$-Xt,Ab&~PhC=^C6a`-');
define('NONCE_KEY', 'd#b^2y/]0<RkpHh>C5ph%IVRemDgrhu[>fy&s^<n_H^VA-}9xp[Ter0`k?IwY+[B');
define('AUTH_SALT', 'K@s1S:`+D3HK.m<Va/P^<@S^am]:H-c^T}f2E}W8EAi0@t>vU7@id/CO?FO~O|VY');
define('SECURE_AUTH_SALT', '6$xeDHHe+k:{1pw!ls@G}CS2,]iacE>n_yo#[@/f1hG-JsuF(ET]r7J+s|;%M,MD');
define('LOGGED_IN_SALT', '_>Su9Y2WHtDToqDZEt=!pzU+xmDkG@Q`(@:tW6#qXwF+Djx;H2(X 4A%4]TnF` S');
define('NONCE_SALT', '[z`~C)Ko6kK l{c@tisqAM4+dJxaqG|K}yNtsWv`m]mMBu.~m}*])?G+|2N1mN?/');
이 값을 모두 복사하여 wp-config.php 파일에서 빈 값으로 남겨져 있는 부분(그림에서 (2) 부분)을 교체하면 됩니다.
브라우저 쿠키에 사용자명과 비밀번호를 저장하면 로그인할 때마다 로그인 정보를 입력할 필요가 없기 때문에 매우 편리합니다. 하지만 비밀번호가 평문(plaintext)로 저장되면 보안에 큰 위협이 됩니다. 워드프레스에서는 Salt와 보안 키를 사용하여 비밀번호를 랜덤한 문자로 저장합니다.
보안을 위해 이 Salts를 주기적으로 변경하는 것이 좋습니다. 보안 플러그인에서는 솔트 키를 생성하여 변경하는 옵션을 제공하기도 합니다.
iThemes Security 보안 플러그인의 워드프레스 솔트 키 업데이트 기능 사용하기
예를 들어, iThemes Security의 경우 Security > Settings > WordPress Salts > Configure Settings를 클릭하여 워드프레스 솔트 키를 변경할 수 있습니다.
Configure Settings를 클릭하면 다음과 같은 화면이 표시됩니다.
Change WordPress Salts 옆의 체크란을 체크하면 워드프레스 솔트 키가 변경되고 로그인되어 있는 모든 사용자(관리자 포함)가 강제로 로그아웃됩니다.
정기적으로 WordPress Salts를 변경하면 보안에 도움에 됩니다. 보안 플러그인이 설치되어 있다면 생각이 날 때 한 번씩 변경해주면 될 것 같습니다.
플러그인을 사용하여 워드프레스 Salts 키를 정기적으로 변경하기
만약 이 작업이 귀찮다면 Salt Shaker 같은 플러그인을 사용하면 주기적으로 자동으로 솔트 키를 변경할 수 있습니다.
플러그인을 사용하면 편리하지만, 이런 기능 때문에 굳이 플러그인까지 설치할 필요는 없을 것 같다는 생각이 드네요. 가능한 한 플러그인 개수는 최소화하는 것이 좋습니다.
wp-config.php 파일을 수정하는 방법은 다음 글을 참고해보시기 바랍니다.