작성일자
카테고리 워드프레스/플러그인

지난 8월 로이터 통신이 사용하는 워드프레스가 해킹을 당했는데 워드프레스 구버전을 사용해서 그렇다고 합니다. 워드프레스를 사용하면서 업그레이드를 하자면 백업도 해야하고 번거롭기 때문에 하지 않는 경우가 있지만 워드프레스가 업그레이드 되는 이유 중에 하나는 보안 기능까지 업그레이드 된다는 것입니다. 그러니 항상 업데이트하는 것은 내 워드프레스 사이트를 외부의 침입자로 보호하는 가장 쉬운 일입니다.


이 글에서 소개하는 플러그인은 외부의 침입자가 워드프레스 블로그에 무분별한 비밀번호를 입력해서 로그인하려는 시도를 차단하는 플러그인입니다. 정당한 사용자라면 비밀번호를 분실했을 때 이메일을 통한 비밀번호 재설정을 이용하면 되죠. 최근 2년간 업데이트되지 않았지만 인기있는 플러그인입니다. 업데이트할 이유가 없으니 안 한거겠죠.


실패한 로그인에 대해서는 시간과 IP 주소를 기록합니다. 차단되면 일정범위의 IP주소를 차단하기 때문에 일정 지역에서 IP 주소를 사용하면 해당 지역의 로그인 시도는 차단되는 것입니다.


Login LockDown

플러그인 추가하기 화면에서 위 검색어로 검색하여 설치하고 활성화합니다. 설정-->Login LockDown으로 가면 아래와 같은 화면이 나옵니다.



기본 설정은 5분 동안에 3번의 로그인 시도에 대해서 실패하면 60분 동안 차단됩니다.


Max Login Retries 는 최대 로그인 시도 횠수로 이 숫자를 초과하는 로그인 시도는 차단됩니다.


Retry Time Period Restriction은 로그인 재시도 시간 제한으로 분단위이며 비밀번호가 틀릴 경우 재시도할 수 있는 시간입니다.


Lockout Length는 차단된 후 기다려야하는 시간입니다.


Lockout Invaild Usernames는 유효하지 않은 사용자명을 입력한 경우 차단합니다.


Mask Login Errors는 워드프레스가 내보내는 메시지를 가리는 기능으로 아래에서 설명합니다.


Currently Locked Out 은 차단된 사용자 목록을 나타냅니다.



사용자명과 비밀번호를 시도했는데 둘다 틀릴 경우 워드프레스는 다음과 같이 "사용자 이름이 올바르지 않습니다." 라는 에러 메시지를 내보냅니다. 



그런데 여러번 시도하다가 사용자 명이 맞았을 경우는 다음과 같이 "사용자명의 비밀번호가 올바르지 않습니다." 라는 메시지를 내보냅니다. 이것은 사용자명은 맞다는 얘기죠. 사용자명은 맞았으니 이제 비밀번호에 대해서만 시도를 하면되는 도움을 주고 있는 상황이됩니다. 위 플러그인에서 Mask Login Errors의 Yes에 체크하면 이런 메시지를 내보내지 않도록 마스크(가림) 합니다.



수정판


오랫동안 업데이트가 안돼서 불편했는지 누군가 업데이트를 했습니다. 한글로 번역해서 언어파일을 넣었습니다.


login-lockdown.zip




Login Security Solution

비슷한 기능을 하는 플러그인입니다.


http://wordpress.org/extend/plugins/login-security-solution/      





저작자 표시 비영리 변경 금지
신고

티스토리 툴바