WordPress 사이트 보안 점검 5단계 — 침해 사고 예방을 위한 실전 가이드
WordPress는 2026년 기준 전 세계 웹사이트의 43%를 차지하는 가장 큰 CMS입니다. 시장 점유율이 큰 만큼 자동화된 공격의 표적이 되기도 쉽습니다. Sucuri의 2025 Website Threat Report에 따르면 침해 사고의 96%가 WordPress 사이트에서 발생했습니다.
다행히 침해의 대부분은 기본 보안 점검을 지키지 않은 사이트에서 발생합니다. 다음 다섯 가지 항목만 유지해도 자동화된 공격의 90% 이상을 차단할 수 있습니다.
1. 코어·플러그인·테마 최신 유지
2025년 침해 사고의 52%는 알려진 취약점이 있는 구버전 플러그인 때문에 발생했습니다. 가장 단순하면서 가장 효과적인 방어는 업데이트 누락을 막는 것입니다.
- 코어 마이너 업데이트는 자동 적용 (기본 설정)
- 주요 플러그인은 주 1회 점검, 보안 패치는 즉시 적용
- 사용하지 않는 플러그인·테마는 비활성화가 아닌 완전 삭제
2. 관리자 계정 강화
“admin”이라는 사용자명은 무차별 대입 공격(brute force)의 1순위 타겟입니다. 사용자명을 변경하고, 강력한 비밀번호 + 2단계 인증(2FA)을 적용하세요.
“2FA를 활성화한 계정은 비활성 계정 대비 침해 가능성이 99.9% 낮았습니다.” — Microsoft Digital Defense Report 2024
- 관리자 사용자명에 “admin”, “root”, 도메인명 사용 금지
- 비밀번호 16자 이상, 영문 + 숫자 + 특수문자 조합
- Wordfence·iThemes Security·Two Factor 등 2FA 플러그인 적용
3. 정기 백업
완벽한 예방은 불가능합니다. 침해가 발생했을 때 복구 가능성은 백업 상태에 달려 있습니다. 다음 세 가지 원칙을 권장합니다.
- 3-2-1 규칙 — 백업본 3개, 미디어 2종, 오프사이트 1개
- 주기 — 콘텐츠 갱신이 잦으면 일 단위, 그렇지 않으면 주 단위
- 복원 테스트 — 3개월에 한 번은 실제 복원이 되는지 검증
UpdraftPlus, BackupBuddy, Jetpack VaultPress 등이 대표적인 백업 솔루션입니다. 호스팅사가 제공하는 백업은 보조 수단으로만 활용하고, 별도 오프사이트 백업을 반드시 함께 두세요.
4. SSL 인증서 · HTTPS 강제
SSL은 단순히 “자물쇠 아이콘”이 아니라 통신 중간자 공격을 차단하는 기본 방어선입니다. 2026년 기준 Chrome·Safari·Firefox 모두 비-HTTPS 사이트에 “안전하지 않음” 경고를 표시합니다.
- Let’s Encrypt 무료 인증서 활용 (대부분 호스팅사가 자동 발급)
- wp-config.php에 FORCE_SSL_ADMIN 설정으로 관리자 페이지 HTTPS 강제
- http → https 영구 리다이렉트(.htaccess)
5. 보안 플러그인 + 모니터링
마지막은 능동적 방어 + 모니터링입니다. Wordfence Free, Sucuri Free 같은 보안 플러그인은 무료 버전만으로도 자동화된 공격의 상당수를 차단합니다.
- 방화벽(WAF) 활성화
- 로그인 시도 횟수 제한 (5회 이상 시 IP 차단)
- 파일 변경 알림 — 핵심 파일이 외부에서 변경되면 즉시 이메일 알림
정리
보안은 한 번 세팅하고 끝나는 작업이 아니라 주기적인 점검 루틴입니다. 위 다섯 항목을 분기에 한 번씩만 검토해도 일반적인 침해 위험은 크게 줄어듭니다. 운영 리소스가 부족하다면 월 단위 유지보수 서비스에서 보안 점검도 함께 진행할 수 있습니다.