워드프레스로 블로그를 해야겠다고 마음을 먹었을 때, 도메인을 구입하고 호스팅 업체를 구해서 내 블로그를 서버에 올리기만 하면 되는 줄 알았다. 그다음부터는 티스토리처럼 마음에 드는 스킨(테마) 하나를 골라서 글을 쓰면 끝나는 줄 알았다. 그러나 그게 아니었다.
도메인은 호스팅케이알을 통해서 구매했고, 웹호스팅은 카페24를 통해서 했다.(참고 : 워드프레스 카페24 웹호스팅 방법과 총비용) 그런데 내 도메인에 접속해서 들어가 보니 워드프레스 알림 창에 SSL 관련 벌겋게 보안 경고가 뜨는 게 아닌가. 3개의 중요한 문제와 5개의 개선사항. 심장이 졸아들었다. 보안 경고 내용은 이랬다.
SSL 인증서 설치 후 보안 경고 내용
첫째, 중요한 문제로써 “이 사이트에서는 SSL이 비활성화되어 있으며, 서버에서 자동인증서 검색이 불가능하다.” 아니, 카페24 매니지드 워드프레스 상품은 SSL을 무료로 설치해 준다고 했는데, SSL이 검색 불가능하다니?
둘째, 개선 사항으로 최적의 성능과 보안상의 이유로 MariaDB의 10.3 버전 또는 그 이상을 실행할 것, 워드프레스가 사이트의 콘텐츠와 설정을 더 빠르게 가져올 수 있도록 지속적인 객체 캐시를 사용해라, 귀하의 웹사이트는 모든 권장 보안 헤더가 설치되지는 않았다 기타 등등.
SSL 인증서란
SSL(Secure Sockets Layer)이란 보안 소켓 계층의 약자로, 서버와 브라우저 사이의(또는 두 서버 사이)에 전송되는 데이터를 암호화하여 인터넷 연결을 보호하기 위한 인터넷 통신규약을 말한다.
우리가 어떤 사이트에 접속할 때 자물쇠 그림과 함께 `https`로 주소가 시작하면 보안 프로토콜이 적용되었다고 생각하면 된다. 반면 `http`로 시작하는 경우에는 주소창의 왼쪽에 “주의 요함” 또는 “안전하지 않음” 등이 표시된다.
크롬 등 거의 모든 검색 포털 브라우저는 https 프로토콜 사용을 의무화하고 있다. 티스토리는 2018년 8월 https를 도입했고, 2019년 1월부터 모든 블로그에 전면 적용한 것으로 기억된다. https 프로토콜을 사용하기 위해선 서버에 별도의 SSL인증서를 설치해야 한다.
카페 24 매니지드 워드프레스 서비스는 연결된 도메인에 기본적으로 Really Simple SSL(카페 24는 R3 무료 인증서라고 부르더라)를 제공하고 있으나, 이를 활성화 시키기 위해서는 워드프레스 관리자 패널에서 RSSS 플러그인을 설정해 줘야 한다는 걸 나는 전혀 모르고 있었다.
카페24 문의 및 조치사항
카페24 문의 내용
전화를 하려다가 거기도 바쁘겠다 싶어 메일을 보냈다. 내 워드프레스에서 SSL 인증서를 찾을 수 없다, MariaDB의 10.3 버전 또는 그 이상을 실행하고 지속적인 객체 캐시를 사용해라, 권장 보안 헤더가 설치되지 않았다더라. 또, www에 대해서도 SSL을 설치해 주시라.
카페24 조치 내용
카페24는 제일 마지막 문의 내용부터 답을 했다. “기존의 www/. htaccess 파일을 www/.htaccess_bak 파일로 백업하고, www/.htaccess 파일에 아래 구문을 추가하여 리다이렉션 되도록 처리했다.”라는 내용이었다.
#<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{ENV:HTTPS} !=on
RewriteRule ^.*$ https://%{SERVER_NAME}%{REQUEST_URI} [R,L]
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
#</IfModule>
그러니까 www/.htaccess를 편집할 수 있었으면 자력으로 해결할 수 있었던 문제였다. 엄밀하게 말하면 카페 24는 웹호스팅 업체니까 리디렉션 문제는 사용자가 할 일이겠다 싶었다. 그래도 매니지드 워드프레스 서비스라면 그 정도는 미리 처리해 주었으면 했다.
중요한 문제로 지적된 SSR 인증서 이슈는 이미 내 블로그 도메인에 인증서가 발급/설치되어 있으니까 REALLY SIMPLE SSL 플러그인을 아래 URL을 참고하여 설정을 해 주면 된다고 안내했다.
URL : https://cafe24.zendesk.com/hc/ko/articles/7895686083993
위 링크를 타고 가니까 카페24의 문의게시판(Help Center)의 자주묻는질문 FAQ>매니지드워드프레스에 연결되었다. 그 글을 보고 REALLY SIMPLE SSL 플러그인을 활성화 시키니까 되더라. 이 게시판의 존재를 진즉에 알았더라면 좋았을 것을.
개선 사항으로 지적된 MariaDB 버전의 경우에는 10.1.13이 설치되어 있는데, 해당 10.3 버전을 꼭 이용하셔야 한다면, 개별 서버 호스팅을 신청하시어 해당 OS 및 DB 버전을 직접 설치/운용해야 한다고 했다. 이 문제는 장기 과제로 넘겼다.
캐시의 경우에도 WP-SUPER-CACHE 플러그인이 기본 설치 되어 있으니 문의 게시판의 글을 보고 설정해서 사용하면 된다고 했다. 그 글을 보고 하나하나 설정했는데도 워드프레스 사이트 건강 상태에서 지속적인 객체 캐시 문제는 사라지지 않았다. 이것도 장기 과제. ㅠ
SSL 인증서 무료설치 활성화 적용
이렇게 해서 워드프레스 SSL 인증서를 설치하고 활성화/적용 시키는 것은 일단락 되었다. 워드프레스 알림창에서 중요한 문제도 사라졌다. 하지만 오래된 SQL 서버, 지속적인 객체 캐쉬 사용 권장 개선 사항은 여전히 해결되지 않았다. 완벽하게 해결하기까지는 시간이 오래 걸릴 것 같다.
이로써 워드프레스 설치는 일단 마무리하기로 하고 이제 본격적으로 글을 써나가는 일이 남았다. 네 개째 글을 쓰고 있지만 워드프레스 글쓰기가 익숙하지 않다. 관련 기능들을 또 하나하나 배워나가야겠다.
답글 남기기