비밀번호가 아무리 복잡해도, 무한대로 입력할 기회를 주면 언젠가는 뚫립니다.
하지만 “3번 틀리면 1시간 동안 입력 금지” 규칙을 걸면?
해커는 포기하고 다른 쉬운 먹잇감을 찾아 떠납니다.
1. 1차 방어선: 로그인 시도 제한 (플러그인)
무료지만 가장 강력한 방패입니다.
- 설치:
플러그인→새로 추가→ Limit Login Attempts Reloaded 검색 및 설치. - 설정:
설정→Limit Login Attempts메뉴 클릭. - 조정 (Settings 탭):
- Allowed retries (허용 시도 횟수):
3회 (추천) - Lockout minutes (잠금 시간):
20분 (20분 뒤에 다시 시도 가능) - Lockout increase (잠금 시간 증가):
24시간 (여러 번 잠기면 아예 하루 동안 차단)
- Allowed retries (허용 시도 횟수):
- 저장:
Save Options클릭.
이제 누군가 비밀번호를 3번 틀리면 “너무 많은 로그인 시도가 있었습니다. 20분 후에 다시 시도하세요”라는 경고창과 함께 접속이 차단됩니다.
2. 2차 방어선: ‘admin’ 아이디 삭제
해커가 공격할 때, 아이디의 99%는 admin을 입력합니다.
즉, 내 아이디가 admin이라면 이미 대문의 절반은 열어준 셈입니다.
[해결 방법: 새 관리자 만들기]
기존 admin 아이디를 바꾸는 건 복잡하니, 새로 만들고 옛날 걸 지우는 게 빠릅니다.
- 새 사용자 추가:
사용자→새로 추가. - 정보 입력:
- 사용자명(ID): 나만 아는 영어 ID (예:
super_king_wp) - 이메일: 내 이메일
- 비밀번호: 강력하게 설정
- 권한(Role): 반드시 [관리자(Administrator)] 선택.
- 사용자명(ID): 나만 아는 영어 ID (예:
- 새 아이디로 로그인: 로그아웃 후, 방금 만든 새 ID로 로그인합니다.
- 구 아이디 삭제:
사용자→모든 사용자목록에서 기존admin계정에 마우스를 올리고 [삭제] 클릭.- 중요: “기존 글을 어떻게 할까요?”라고 묻습니다.
- [모든 콘텐츠를 다음 사용자에게 할당]을 선택하고 내 새 아이디를 고르세요. (안 그러면 글 다 날아갑니다!)
- 삭제 확정.
이제 해커는 아이디조차 맞히지 못해 쩔쩔매게 됩니다.
3. 3차 방어선: 2단계 인증 (OTP) – 선택 사항
은행처럼 로그인할 때 스마트폰 앱으로 인증번호를 받아야 접속되게 할 수 있습니다.
보안은 최강이지만, 매번 로그인할 때마다 귀찮을 수 있습니다.
정말 중요한 블로그라면 WP 2FA 플러그인을 설치해서 적용하세요.
- 추천 대상: 월 수익 100만 원 이상 나오는 고수익 블로그.
- 초보자: 위 1, 2번만 해도 충분합니다.
[Tip] 로그인 주소 숨기기 (WPS Hide Login)
워드프레스 로그인 주소는 항상 내도메인.com/wp-admin입니다.
이걸 해커들도 다 압니다.
WPS Hide Login 플러그인을 쓰면 이 주소를 바꿀 수 있습니다.
- 변경 예시:
내도메인.com/my-secret-door - 효과: 해커는 로그인 창 자체를 못 찾습니다.
📚 [관련 글 더 보기]