콘텐츠
워드프레스를 운영하다 보면 생각보다 신경 써야 할 것이 꽤 많다. 처음에는 글만 잘 쓰면 되는 줄 알았는데, 조금 운영하다 보니 속도, SEO, 백업, 그리고 무엇보다 보안이 굉장히 중요하다는 걸 점점 느끼게 된다. 특히 워드프레스는 전 세계적으로 가장 많이 사용하는 CMS라서 그런지 해킹 시도도 정말 많다고 한다.
나도 처음에는 관리자 비밀번호만 복잡하게 설정해 두면 괜찮겠지라고 생각했는데, 어느 날 로그인 시도 횟수 제한 플러그인을 설치하고 로그를 보니 해외 IP에서 로그인 시도가 계속 찍히는 것을 보고 생각이 조금 바뀌었다. 그때부터 로그인 보안을 조금 더 강화해야겠다는 생각이 들었고, 그래서 알아보다가 Two Factor, 즉 2단계 인증 플러그인을 설정하게 되었다.
이번 글에서는 워드프레스 로그인 보안을 위해 Two Factor 플러그인을 설정한 이유와 실제로 사용해 보면서 느낀 점들을 정리해 보려고 한다. 처음 설정하는 사람 입장에서 최대한 쉽게 정리해 보겠다.
Two Factor 2단계 인증(2FA)이란?
Two Factor, 즉 2단계 인증은 말 그대로 로그인을 할 때 두 번 확인을 거치는 방식의 로그인 보안 방법이다. 보통 우리는 아이디와 비밀번호만 입력하면 로그인이 되는데, 2단계 인증을 사용하면 여기에 한 단계가 더 추가된다. 비밀번호까지 맞게 입력하더라도 휴대폰 인증 앱에서 생성된 인증 코드나 이메일로 받은 인증 번호를 한 번 더 입력해야 최종 로그인이 되는 방식이다.
이 방식의 장점은 비밀번호가 외부에 유출되더라도 계정이 바로 털리지 않는다는 점이다. 예를 들어 누군가 내 워드프레스 관리자 비밀번호를 알게 되었다고 하더라도, 내 휴대폰에 있는 인증 앱까지 동시에 가지고 있지 않는 이상 로그인을 할 수 없다. 그래서 요즘은 구글, 네이버, 은행, 클라우드 서비스 등 거의 대부분의 서비스에서 2단계 인증을 기본 보안 기능처럼 사용하고 있다.
워드프레스도 관리자 계정이 해킹당하면 글이 삭제되거나 이상한 광고 글이 올라오거나, 심하면 사이트 전체가 악성코드 사이트로 바뀌는 경우도 있기 때문에 관리자 계정에는 가능하면 2단계 인증을 설정해 두는 것이 안전하다. 그래서 워드프레스 보안 설정을 한다면 로그인 시도 제한과 함께 Two Factor 2단계 인증은 거의 필수 설정이라고 보면 된다.
자주 사용 되는 인증 방식
2단계 인증 방식에는 여러 가지가 있지만, 그중에서 가장 많이 사용되는 방식이 OTP 방식이다.
OTP는 One Time Password의 약자로, 말 그대로 한 번만 사용할 수 있는 일회용 비밀번호를 의미한다. 보통 Microsoft Authenticator 같은 인증 앱을 휴대폰에 설치하면 30초마다 새로운 숫자 코드가 생성되는데, 로그인할 때 비밀번호를 입력한 후 이 숫자 코드를 한 번 더 입력해야 로그인이 완료되는 방식이다.
이 방식의 장점은 문자나 이메일보다 보안성이 높다는 점이다. 인증 코드는 휴대폰 앱 안에서만 생성되기 때문에, 비밀번호가 유출되더라도 휴대폰이 없으면 로그인을 할 수 없다. 그래서 워드프레스 Two Factor 플러그인에서도 가장 많이 사용하는 방식이 바로 OTP 인증 방식이다.
워드프레스 2단계 인증(2FA) 대표 플러그인
워드프레스에서 2단계 인증(2FA) 관련 플러그인은 꽤 여러 개가 있는데, 실제 사용량, 안정성, 업데이트, 보안 기능까지 전체적으로 봤을 때 보통 아래 플러그인들이 많이 사용된다.
Wordfence Security
Wordfence Security 플러그인은 2단계 인증 플러그인이 아니라 워드프레스 보안 플러그인 중에서 거의 가장 유명한 플러그인이라고 보면 된다. 방화벽, 로그인 보호, 악성코드 스캔, 2단계 인증까지 전부 들어 있어서 보안 플러그인을 하나만 쓴다면 이걸 많이 쓴다. 대신 기능이 많아서 조금 무거운 편이다.
Two Factor – ⭐ 추천
Two Factor 플러그인 WordPress.org 공식팀에서 만든 플러그인이라서 안정성이 좋은 편이고, 이메일 인증, OTP 인증 등 여러 방식의 2단계 인증을 지원한다. 기능은 단순하지만 공식 플러그인이라는 점 때문에 안정성 위주로 쓰는 사람들이 많다.
이 플러그인은 스마트폰에 설치한 이 플러그인은 스마트폰에 설치한 Google Authenticator 또는 Microsoft Authenticator 앱과 연동하여 OTP(일회용 비밀번호) 방식으로 로그인할 수 있다. 워드프레스에서 QR코드를 생성하면, 휴대폰 인증 앱으로 해당 QR코드를 스캔하여 계정을 연결하고 이후 로그인 시 비밀번호 입력 후 휴대폰에서 생성되는 6자리 인증 코드를 한 번 더 입력하는 방식으로 보안을 강화할 수 있다.
복잡한 설정 없이 비교적 간단하게 2단계 인증을 적용할 수 있어서, 개인 블로그나 소규모 워드프레스 사이트에서 로그인 보안을 강화할 때 사용하기 좋은 플러그인이라고 볼 수 있다.
WP 2FA
WP 2FA 플러그인은 Melapress에서 만든 워드프레스 2단계 인증 전용 보안 플러그인이다. 이름 그대로 WordPress Two Factor Authentication을 줄여서 WP 2FA라고 부른다. 이 플러그인은 워드프레스 로그인 보안을 강화하기 위해 OTP 인증, 이메일 인증 등 다양한 2단계 인증 방식을 제공하는 것이 특징이다.
특히 이 플러그인의 특징은 단순히 OTP만 설정하는 것이 아니라, 사용자에게 2단계 인증 설정을 강제할 수 있다는 점이다. 예를 들어 관리자 계정은 반드시 2단계 인증을 사용하도록 설정하거나, 특정 기간 안에 2단계 인증을 설정하지 않으면 로그인을 제한하는 기능도 있다. 그래서 개인 블로그보다는 회사 홈페이지나 여러 명이 함께 사용하는 워드프레스 사이트에서 많이 사용하는 플러그인이다.
Really Simple Security
이 플러그인은 SSL 설정으로 유명한 Really Simple SSL에서 만든 보안 플러그인인데, 최근에는 로그인 보호, 취약점 검사, 2단계 인증 기능까지 같이 들어 있어서 통합 보안 플러그인 느낌으로 사용한다. 이미 이 플러그인을 쓰고 있다면 굳이 Two Factor 플러그인을 따로 설치 안 해도 되는 경우가 많다.
Two Factor 플러그인 사용
워드프레스 보안 플러그인을 확인해 보니 Really Simple Security 플러그인과 Two Factor 플러그인이 모두 설치되어 있는 상태였다. Really Simple Security 플러그인에도 2단계 인증 기능이 포함되어 있었지만, 설정이 조금 복잡하게 느껴졌고 2단계 인증 기능만 단순하게 사용하고 싶어서 이번에는 Two Factor 플러그인을 사용해 2단계 인증을 설정하기로 했다.
보안 플러그인은 여러 개를 동시에 사용하는 경우가 많은데, 로그인 보안이나 2단계 인증처럼 기능이 겹치는 경우에는 어떤 플러그인을 기준으로 사용할지 정해 두는 것이 좋다. 나는 보안 전반적인 설정은 Really Simple Security 플러그인을 사용하고, 로그인 2단계 인증 기능은 Two Factor 플러그인을 사용하는 방식으로 설정을 진행했다.
이중 인증 사용 옵션
최근 업데이트 이후로 플러그인에 한글 번역이 적용된 것 같다. 워드프레스 관리자 메뉴에서 설정 → 이중 인증을 접속하면 Enabled Providers 옵션 설정 화면이 보인다. 이곳에서 사용할 2단계 인증 옵션을 설정한다.
2단계 인증 설정하기
그 후 사용자 설정 화면에 들어가면 옵션에 이중 인증 설정 필드가 표시된다. 내 관리자 계정엔 현재 이중 인증이 설정 되어 있지 않아 비활성화됨으로 표시됨을 확인할 수 있다.
사용자 편집 화면에 접근하면 하단의 이중 인증 옵션 영역이 표시되어 있다. 미리 설치 해 둔 OTP 앱을 이용해 QR 코드 스캔 혹은 하단의 CODE 를 입력하여 옵션 설정을 진행한다. 나는 Microsoft Authenticator 앱과 인증기 앱을 연결하였다. 앱으로 QR 코드를 스캔하면 블로그 이름과 함께 OTP 생성이 가능하다. 이 번호를 입력하고 확인(Verify)을 진행한다.
설정을 완료하면 다음과 같이 현재 인증기 앱이 설정되어 있습니다. 초기화할 경우 모든 기기에서 QR 코드를 다시 스캔해야 합니다. 메시지가 표시 된다.
복구 코드 / 이메일 활성화
혹시 모를 OTP 문제 발생을 대비 하여 나머지 두 옵션도 활성화 할 수 있다. (새 복구 코드 생성은 하기 목차의 2단계 인증(2FA) OTP 설정 확인 이 먼저 선행 되어야 진행되었다.)
2단계 인증(2FA) OTP 설정 확인
프로필 업데이트를 누르니 Two-Factor 옵션을 업데이트하려면 먼저 세션을 다시 유효화해야 합니다. 메시지와 함께 지금 재검증하기 버튼이 활성화된다. 선택을 하게 되면 OTP 입력 화면으로 이동을 하게 되고 아까 사용한 앱을 통해 생성된 OTP 를 입력하여 검증를 해본다.
마무리
처음에는 2단계 인증까지 꼭 해야 하나 싶었지만, 실제로 설정해 보니 생각보다 어렵지 않았고 한 번 설정해 두면 로그인 보안이 확실히 강화된다는 점에서 꽤 만족스러웠다. 특히 워드프레스는 관리자 계정 하나만 뚫려도 사이트 전체가 위험해질 수 있기 때문에, 로그인 시도 제한 플러그인과 함께 2단계 인증까지 설정해 두는 것이 가장 기본적인 보안 설정이 아닐까 싶다.
워드프레스를 개인 블로그 용도로 운영하더라도 관리자 계정에는 2단계 인증을 설정해 두는 것을 추천하고 싶다. 설정하는 데는 10분 정도밖에 걸리지 않지만, 계정 보안 수준은 훨씬 올라간다. 앞으로 워드프레스를 새로 설치하거나 블로그를 새로 만든다면, 플러그인 설치 후 가장 먼저 해야 할 작업 중 하나가 바로 2단계 인증 설정이라고 생각한다.
