잠긴 집에 들어가려고 여러 개의 열쇠를 시도해 보는 도둑 이야기를 들어보셨나요? 워드프레스 웹사이트에 대한 무차별 대입 공격도 이와 비슷합니다. 공격자들은 취약한 관리자 비밀번호를 가진 사용자를 노려 무차별 대입 공격을 시도합니다. 어떻게 이런 상황에 이르게 되었는지 궁금하시다면, 자세히 설명해 드리겠습니다. 몇 버전 전의 워드프레스는 사용자에게 'admin'이라는 기본 사용자 이름을 사용했습니다. 공격자들은 이 사용자 이름에 여러 개의 다른 비밀번호를 입력하여 무차별 대입 공격을 시도하고, 접근 권한이 필요한 모든 곳에 접근하려고 했습니다.
워드프레스에 대한 무차별 대입 공격을 방지하는 방법은 무엇일까요?
- 가장 먼저 해야 할 일은 'admin'이라는 사용자 이름을 사용하고 있다면, 더 고유한 이름으로 바꾸는 것입니다. 이렇게 하면 공격자들이 자동으로 살펴보는 취약한 범주에 속할 가능성을 없앨 수 있습니다. 이는 이러한 공격으로부터 자신을 보호하기 위해 취할 수 있는 가장 강력한 조치입니다.
- 절대 취약한 비밀번호를 사용하지 마세요! '123456'처럼 기억하기 쉬운 비밀번호도 있지만, 마치 아는 도둑에게 집 열쇠를 주는 것과 같은 느낌을 줄 수 있습니다. 만약 어려운 비밀번호를 생각해낼 수 없다면, 비밀번호 생성기를 이용해 쉽게 추측할 수 없는 강력한 비밀번호를 만드세요. 워드프레스는 비밀번호 생성 시 비밀번호 강도를 보여주는 미터를 제공하여 비밀번호의 강도를 쉽게 파악할 수 있도록 도와줍니다.
- WordPress와 컴퓨터 소프트웨어 버전을 최신 상태로 유지하고, WP.com을 사용하는 경우 '2단계 인증'을 활성화하세요. 이렇게 하면 다른 기기/지역에서 접속 시도가 있을 경우 알림을 받을 수 있습니다.
- 관리자 페이지 로그인이 어려워지거나 속도가 느려진 것 같으면 호스팅 제공업체에 문의하세요. 호스팅 제공업체에서 문제 해결 방법을 안내해 줄 것입니다.
- 로그인 시도 횟수를 제한하는 추가 도구나 플러그인을 사용하세요. 웹사이트에서 여러 사용자가 로그인할 필요가 없다면, 본인 이외의 다른 사용자가 wp-admin에 접근하려는 시도를 차단하는 플러그인을 추가할 수도 있습니다.
- 만약 과거에 이와 같은 공격의 피해를 입었고, 공격이 발생하는 IP 주소나 지역 패턴을 파악했다면, 추가적인 보호 조치를 취할 수 있습니다. 해당 지역에서 웹사이트에 접속하려는 IP 주소들을 '차단 목록'에 추가하는 것입니다. 하지만 이렇게 하면 웹사이트에 접속하려는 정상적인 사용자들까지 차단하게 될 수 있다는 점을 유념해야 합니다.
