워드프레스는 세계에서 가장 많이 사용되는 CMS이지만,
그만큼 해킹 시도도 가장 많은 플랫폼입니다.
특히 애드센스 승인용 블로그나 수익형 사이트를 운영하는 경우,
보안은 단순한 선택이 아니라 신뢰의 기반입니다.
이번 글에서는 15년간의 사이트 운영 경험을 바탕으로
워드프레스 블로그의 보안을 체계적으로 강화하는 실무 전략을 소개하겠습니다.
1. 관리자 페이지(URL) 보호
워드프레스의 기본 관리자 주소는 /wp-admin입니다.
이는 대부분의 공격자가 첫 번째로 시도하는 경로이기도 합니다.
✅ 방법: “WPS Hide Login” 플러그인을 설치해 로그인 URL을 변경하세요.
예를 들어 /myadmin-2025처럼 변경하면 자동 공격을 크게 줄일 수 있습니다.
추가로, 로그인 시도 횟수를 제한하는 “Limit Login Attempts Reloaded” 플러그인도 함께 사용하면
비밀번호 대입 공격(Brute Force Attack)을 예방할 수 있습니다.
2. SSL(HTTPS) 활성화
HTTPS는 이제 선택이 아닌 필수입니다.
구글은 HTTPS 사이트에 더 높은 신뢰 점수를 부여하며,
애드센스 승인 기준에서도 보안 연결이 되어 있지 않으면 심사 탈락 사유가 됩니다.
✅ 방법: 무료 SSL 인증서인 Let’s Encrypt를 설치하세요.
Lightsail이나 일반 호스팅 환경이라면 “Really Simple SSL” 플러그인으로 자동 적용할 수 있습니다.
적용 후에는 주소창의 자물쇠 아이콘과 “https://” 접두사가 반드시 표시되는지 확인하세요.
3. 관리자 계정 및 비밀번호 관리
보안의 기본은 계정 관리입니다.
‘admin’이라는 기본 계정명은 공격자에게 너무 익숙한 목표입니다.
✅ 권장 설정:
– 관리자 ID를 이름 또는 별칭 기반으로 변경
– 비밀번호는 12자 이상, 영문 대소문자+숫자+특수문자 조합
– 6개월 주기 변경
또한 “Two Factor Authentication(2FA)”을 설정하면
로그인 시 추가 인증 단계를 거쳐 해킹 위험을 크게 줄일 수 있습니다.
4. 플러그인 및 테마 관리
보안 사고의 절반 이상은 취약한 플러그인에서 발생합니다.
무료 플러그인이라도 개발자가 오래 업데이트하지 않았다면 즉시 비활성화해야 합니다.
✅ 관리 원칙:
1️⃣ 3개월 이상 업데이트가 없는 플러그인은 삭제
2️⃣ 사용하지 않는 테마와 샘플 파일 제거
3️⃣ 정기적으로 “Wordfence” 또는 “iThemes Security”로 악성 코드 스캔
플러그인은 기능이 아니라 ‘보안 리스크’라는 관점에서 관리해야 합니다.
5. 백업 전략 수립
어떤 보안도 100% 완벽할 수 없습니다.
따라서 백업은 ‘사고 후 복구’의 마지막 방어선입니다.
✅ 추천 도구: UpdraftPlus, All-in-One WP Migration
이 플러그인들은 자동 백업 일정 설정이 가능하며,
Dropbox나 Google Drive에 파일을 보관할 수 있습니다.
백업 주기는 최소 주 1회, 수익형 블로그는 3일 간격으로 설정하는 것이 안전합니다.
6. 서버 및 파일 권한 설정
서버 측 보안도 잊지 말아야 합니다.
특히 wp-config.php와 uploads 폴더의 권한 설정은 매우 중요합니다.
✅ 권장 설정:
– wp-config.php → 400 또는 440
– /wp-content/uploads → 755
이 권한은 해커가 임의로 파일을 수정하거나 스크립트를 업로드하는 것을 방지합니다.
마무리
워드프레스 보안은 단순히 기술적인 문제를 넘어,
사이트 신뢰성과 브랜드 평판을 지키는 일입니다.
한 번 침해된 사이트는 트래픽이 급감하고, 애드센스 수익도 떨어집니다.
따라서 ‘보안 점검’을 글쓰기 루틴의 일부로 만드는 것이 가장 현명한 전략입니다.
안정적인 사이트는 곧 신뢰를 의미하고, 신뢰는 결국 수익으로 돌아옵니다.
