나름 안전한 wordpress 만들기

Wordpress로 사이트를 구축해 봤습니다.

 

그런데 보안이 걱정되네요. 일부 글들은 개인적인 것들도 넣을 것인데, 그러면, 보안이 우려가 됩니다.

 

그래서, 보안 플러그인 몇 개를 설치 했습니다.

 

실제 로그인 테스트나 코드 검증 일부를 해 봤는데, 괜찮은 것 같아서 소개 합니다.

 

이번에 구축한 Wordpress 사이트 특징은 :

 1. 로그인 사용자 외에는 접근 금지

 2. 로그인 사용자 사용가능, RSS Feed 사용가능

 

작업 진행 순서는 다음과 같습니다.

 

1. Wordpress 설치 : Windows에서 Autoset을 이용해서 한방에 했습니다. 정말 편하고 좋더라구요.

 

2. 테마 설치 : 기본 테마 중에 twentyforteen이 괜찮은 것 같아서 그것을 사용하고 있습니다.

 

 

 

 

3. 플러그인 설치

 

Login Security Solution	Login Security Solution	Requires very strong passwords, repels brute force login attacks, prevents login information disclosures, expires idle sessions, notifies admins of attacks and breaches, permits administrators to disable logins for maintenance or emergency reasons and reset all passwords.
MH Hangul to English	MH Hangul to English	When uploading the file name extention Hangul in English is a plugin.
Rename wp-login.php (unmaintained)	Rename wp-login.php (unmaintained)	Change wp-login.php to whatever you want.
Restricted Site Access	Restricted Site Access	Limit access your site to visitors who are logged in or accessing the site from a set of specific IP addresses. Send restricted visitors to the log in page, redirect them, or display a message or page. Powerful control over redirection, including SEO friendly redirect headers. Great solution for Extranets, publicly hosted Intranets, or parallel development sites.

 

가. 한글 파일 업로드 가능 플러그인 설치

 

http://ssamture.net/archives/1862

 

mh-han2eng.1.0.zip

 

워드프레스는 알파벳 베이스에서 제작된 친구라서, 한글 파일 업로드 하면, 문서가 손상됩니다.

그래서 상기 파일을 적용해 주면 바로 한글파일 업로드가 됩니다. 원작자님께 감사드립니다.

 

나. 부정 로그인 방지 플러그인

 

고민이 좀 된 분야이긴 한데요, 패스워드 대입 공격을 받지 않기 위해서 부정 로그인 방지를 하는데, 기능이 잘 되면서 오류가 없는 것 찾으려고 고생을 좀 하기는 했습니다.

 

여러개 중에서 "Login Security Solution"이 평도 좋은 편이고, 기능도 여러가지 많이 있는 것 같더라구요.

그리고, 패스워드 변경 룰을 강력하게 설정하도록 유도하니 괜찮을 것 같아서 설치했습니다.

 

다. 로그인 창 URL 변경 플러그인

 

좀 찾다보니, 기계적인 URL 공격에 대응하려면, 로그인 창을 변경하는 것이 좋다고 하네요.

URL 모르는 사람들은 아예 들어오지도 못하게 할 수 있겠더군요.

Rename wp-login.php 플러그인인데, 더이상 업데이트는 안되는 것 같은데, 그냥 쓸만합니다. 여러가지가 있는데,

설정이 전혀 필요 없이 이름 변경 하나로 다 끝이 납니다.

 

라. 로그인 된 사용자만 사이트에 억세스 할 수 있는 플러그인

 

폐쇄 블로그를 만드는데 꼭 필요한 플러그인 같습니다. 워드프레스는 기본적으로 첫 오픈시 모든 글이 다 오픈되어 있습니다.

폐쇄 블로그를 만들 수 없죠. 그럴 때 스면 됩니다.

 

Restricted Site Access가 그 중에 가장 기능이 많고 막강합니다.

이런 비슷한 플러그인들 대부분은 검색 엔진에서 뚫고 들어와 버립니다.

그런데, 이 플러그인은 여러 방법으로도 뚫지 못한다고 합니다.

그래서 선정했습니다.

 

* 사이트 가시성   -   1. 검색 엔진이 이 사이트 검색을 허용하기                            2.  검색 엔진이 이 사이트 검색 차단하기 * 주의: 위 두 개의 옵션은 어느것도 사이트를 차단하지 못합니다 — 요청을 존중할지는 검색엔진에 달려있습니다.                            3.  Restrict site access to visitors who are logged in or allowed by IP address

 

설정 잘 하고 잘 쓰는데, RSS feed만 외부로 허용하려고 하니 잘 되지 않는 것이었습니다.

 

그래서 찾아보니, "편집"에서 다음과 같은 글이 있더라구요. 

RSS feed의 경우 예외로 설정하는 방법이 있는가 했더니, 이렇게 글이 나와 있었습니다.
 

For instance, to unblock an RSS feed, place the following PHP code in the theme's functions.php file or in a simple plug-in: `add_filter( 'restricted_site_access_is_restricted', 'my_rsa_feed_override’, 10, 2 ); function my_rsa_feed_override( $is_restricted, $wp ) {  // check query variables to see if this is the feed  if ( ! empty( $wp->query_vars['feed'] ) ) {   $is_restricted = false;  }  return $is_restricted; }`

 

function.php에 코드를 넣어라! 라고 되어 있었는데, 잘 안되는 것이었습니다.

보니 코드에 ' 대신 `이 들어가 있는 것이 확인되었습니다. 그래서, 고쳐서

 

add_filter( 'restricted_site_access_is_restricted', 'my_rsa_feed_override', 10, 2 ); function my_rsa_feed_override( $is_restricted, $wp ) {  // check query variables to see if this is the feed  if ( ! empty( $wp->query_vars['feed'] ) ) {   $is_restricted = false;  }  return $is_restricted; }

 

상기 코드를 만들어서 하니 잘 되는 것이었습니다.

 

그런데, 혹시 해서 코드를 자세히 들여다 보니, rss에 로그인 관련한 내용은 없더라구요.

그래서, rss feed는 로그인을 안해도 데이터를 긁어올 수 있지 않을까 하고 URL을 쳐 보니... 긁어지네요.

좀 더 연구를 해 봐야 겠습니다. 어찌되었건, 이 정도만 해도 어느 정도 보안은 된 것 같습니다.

 

좀 더 연구해서 성공하면 다시 포스팅 하죠.