늅:인사이트

» 워드프레스 » 워드프레스 특정 IP만 로그인 허용하는 방법, 최강 보안책

워드프레스 특정 IP만 로그인 허용하는 방법, 최강 보안책

수정 2025. 04. 02. 수, 오전 9:16

입력 2025. 04. 02. 02:01:26 KST

By

라이언

워드프레스로 블로그를 운영할 때 가장 큰 어려운 점으로 다가오는 것 중의 하나가 보안이다. 사이트 운영자가 전세계의 해커들의 공격으로부터 스스로 사이트를 보호해야 하기 때문이다.

워드프레스의 보안을 강화하는 방법에는 여러가지가 있지만 그 중에서 가장 강력한 방법의 중의 하나가 특정 아이피에서만 로그인 허용하기이다.

먼저, 일반적으로 권고 되는 워드프레스 보안 강화 방법을 정리하면 아래와 같다.

보안 강화 일반적 권고 사항

  • 관리자 계정과 데이터베이스 접근 계정의 비밀번호를 대문자, 숫자, 특수문자를 결합하여 복잡하게 설정하고 2단계 인증 들을 사용하고 보안 강화
  • ‘admin’ 같은 기본 아이디 대신 고유한 사용자명을 사용하고 기본 로그인 페이지(/wp-admin, /wp-login.php)를 변경하여 무차별 대입 공격(Brute Force Attack) 차단.
  • 워드프레스 공식 마켓플레이스나 검증된 제작자의 제품 사용하고 신뢰할 수 없는 사이트에서 다운로드한 플러그인/테마 사용 금지
  • 플러그인 및 테마, 워드프레스는 항상 최신 버전을 유지하고 오래된 플러그인은 보안에 취약할 수 있으므로 제거
  • 웹 방화벽과 보안 플러그인을 설치하여 모니터링 및 외부 공격 차단

▶ 워드프레스 공식 사이트의 보안 설명 문서 참조 : 보안 – 지원 (wordpress.com)

특정 IP만 로그인 허용

보안 강화 방법 중에서 특정 아이피에서만 접근을 허용하고 나머지는 전부 차단하는 방법은 워드프레스 보안 대책 중에서 가장 강력한 방법이다.

데이터베이스 접근 차단

대부분의 웹호스팅은 자체 웹 방화벽을 운영하고 있고 FTP, SFTP, SSH의 접속 환경을 제한할 수 있는 옵션을 제공하고 있다. FTP, SFTP 접속에 많이 사용되고 있는 파일질라 사용법은 아래 링크 글 참고.

워드프레스 파일 업로드, 파일질라 filezilla FTP 사용법

카페24의 경우, 호스팅 관리» 보안관리» FTP/Shell 접속 설정에서 국내에서만 접속 제한 없음, 접속 허용, 특정 IP에서만 접속 허용을 선택할 수 있다.

카페24는 특정 IP에서만 접속 허용을 권장하고 있으며 Shell(SSH))은 30일간 미로그인 시 자동 차단되도록 운영하고 있다.

벌처(Vultr)의 방화벽은 아래 이미지와 같이 각 포터별로 접속 제한을 세분화하여 설정할 수 있다.

벌처 방화벽 설정 화면
벌처 방화벽 설정 화면

위와 같이 설정하면 자신이 지정한 아이피에서만 접근이 가능하고 나머지 아이피는 모두 접속이 제한된다. 이 블로그의 데이터베이스에는 우리 집 공유기 아이피와 랜선 아이피, 두 개에서만 접속이 가능하다.

단, HTTP와 HTTPS는 누구나 접속 가능하도록 항상 열어두어야 한다. 이걸 막으면 블로그의 접속 자체가 차단되어 볼 수 없게 된다.

참고로 8083은 헤스티아 관리자 패널의 포터이므로 접속을 위해서는 특정 아이피로 제한해서 열어두어야 한다.

워드프레스 특정 IP만 로그인 허용 방법

워드프레스 로그인도 마찬가지로 자신이 사용하고 있는 아이피에서 로그인을 허용해 두면 계정 탈취 등의 심각한 피해를 미연에 방지할 수 있다.

워드프레스의 .htaccess 파일에 아래 내용을 복사하여 맨 아래에 추가하면 특정 아이피만 접속이 허용된다.

# Deny access to everyone, except those listed here:
<Files wp-login.php>
	Order Deny,Allow
	Deny from All
	Allow from XXX.XXX.XXX. XXX.XXX.XXX.XXX
</Files>

이때 주의할 것은 “END WordPress” 사이에 위 코드를 넣으면 덮어쓰게 되므로 “END WordPress” 다음에 위 코드를 붙여 넣어야 한다.

“Allow from” 다음에 허용할 아이피를 표시하면 되고, 복수의 아이피 지정도 가능하다. 이 외의 아이피에서 로그인을 시도하면 빨강 색의 “접근 거부” 경고 표시가 뜨면서 접속이 차단된다.

위에서 살펴본 대로 보안을 강화하려면 익숙함 대신 귀찮음과 불편함이 따른다. 하지만 블로그가 해킹 당하면 방문자의 신뢰도 하락 및 트래픽 감소 뿐만 아니라 검색엔진이 위험한 사이트로 인식하여 SEO에도 치명적인 영향을 미친다.

따라서 워드프레스나 웹호스팅 회사가 제공하는 기능에만 만족하지 말고 최고 수준의 보안 대책을 스스로 마련해 두어야 한다. 검색엔진최적화(SEO)와 도메인 점수를 올리는 방법은 아래 링크 글 참조.

SEO 관련 글

댓글

최근에 올라온 글