워드프레스 보안 점검 체크리스트

요약:
보안은 워드프레스 운영의 기본이다.
이 글에서는 2025년 기준으로 점검해야 할 주요 보안 항목과
플러그인, 서버 설정까지 포함한 실전 체크리스트를 제공한다.

1. wp-config.php 강화

• 데이터베이스 접근 정보 보호

• DISALLOW_FILE_EDIT 설정으로 관리자 코드 편집 비활성화

• AUTH_KEY, SECURE_AUTH_KEY 등 보안 키 주기적 갱신

TIP:
wp-config.php는 사이트 루트 상위 경로로 옮겨도 동작한다.
직접 접근 차단을 위해 .htaccess 규칙 추가 권장.

2. 관리자 로그인 보호

• 로그인 URL 변경: /wp-login.php → /admin-panel 등으로 변경

• 2단계 인증(2FA) 적용

• 로그인 시도 제한: 5회 초과 시 차단

추천 플러그인: WPS Hide Login, Limit Login Attempts Reloaded, Wordfence

3. XML-RPC 비활성화

외부 공격의 주요 진입점인 XML-RPC를 비활성화한다.

주의:
Jetpack이나 일부 API 플러그인은 XML-RPC가 필요할 수 있다.
사용하지 않을 때만 비활성화하자.

4. 파일 권한 관리

• wp-content/uploads 폴더: 755

• wp-config.php: 400 또는 440

• 디렉토리 인덱싱 금지 (Options -Indexes)

5. 백업 및 자동 점검

• 백업 주기: 최소 주 1회

• 플러그인: UpdraftPlus, All-in-One WP Migration

• 변경 파일 자동 탐지: Wordfence, Sucuri Security

POINT:
백업은 보안의 마지막 방어선이다.
외부 스토리지(Google Drive, S3)에 자동 저장하도록 설정하자.

결론

보안은 “설정해두고 끝”이 아니라 “관리의 루틴”이다.
한 달에 한 번만이라도 위의 체크리스트를 따라 점검하면,
워드프레스 사이트의 90% 보안 문제는 사전에 차단할 수 있다.