WordPress 보안 가이드 — 해킹·멀웨어·관리자 탈취 방지 완벽

WordPress 사이트 43%가 해킹 시도를 받습니다. 25년 운영 경험으로 5단계 보안 핵심을 정리합니다.

1단계 — 코어·플러그인·테마

• WordPress 코어 자동 업데이트 활성
• 플러그인·테마 분기 1회 업데이트
• 비활성 플러그인·테마 즉시 삭제
• nulled (불법 복제) 절대 금지

2단계 — 관리자 접근 통제

• 관리자 ID “admin” 절대 금지
• 강력한 비밀번호 (16자+)
• 2단계 인증 (Authy·Google Authenticator)
• 관리자 IP 화이트리스트
• 로그인 시도 제한 (Limit Login Attempts)

3단계 — 방화벽·악성 차단

• NinjaFirewall 또는 Wordfence
• 봇·스캐너 차단 (User-Agent 패턴)
• 국가 차단 (필요 시)
• WAF (Cloudflare 등)

4단계 — 파일·DB

• wp-config.php 권한 600
• uploads 디렉터리 PHP 실행 차단
• DB prefix 변경 (wp_ → 임의 4자)
• 일일 자동 백업 (오프사이트)

5단계 — 모니터링

• 관리자 활동 로그 (WP Activity Log)
• 파일 무결성 검사 (NinjaScanner)
• 주간 취약점 리포트

해킹 시 즉시 조치

1. 관리자 비밀번호 전체 재설정
2. 최근 백업으로 복원
3. 모든 플러그인·테마 다시 설치
4. wp-config.php SECRET_KEY 재발급
5. 호스팅사 보안 점검 요청

WordPress 사이트 보안 진단 무료. 상담 신청.