오늘따라 블로그의 관리자페이지 로그인 시도 실패 메일이 여러건 날아왔다. 약 1시간 전부터 2~3분 단위 짧게는 1분에도 여러건 접속 시도가 있었다. 로그를 살펴보니 그제까지는 조용하던 로그가 어제 약 170여회, 오늘 낮12시 현재 100여회 공격 시도가 기록되어 있었다.
여태까지 설치해둔 보안 대책은 Easy Username Updater과 Limit Login Attempts Reloaded 다. Easy Username Updater 은 사용자 이름을 변경해주는 플러그인이다. 이것으로 관리자 계정 이름을 admin에서 무의미한 영문과 숫자 혼합 문자열로 바꾸어서 쓰고 있다. 99.9%의 로그인 시도는 다 admin 이라는 아이디로 들어오려고 하는데 이 워드프레스에는 admin이라는 이름의 계정은 없으니 사용자 이름에 admin을 넣는건 소용없는 일이다.
한 아이피에서 2회 이상 로그인을 실패하면 Limit Login Attempts Reloaded 를 이용해서 4시간 접속 차단되도록 해 두었는데 아까 로그인 시도 실패 러쉬 때에는 24시간으로 변경했다.
사실상 아이디와 비밀번호 난도가 극악하게 높다보니 무작위 대입법을 통해 로그인을 탈취할 수는 없을것이라고 생각은 하지만, 로그인 실패시마다 메일로 알림이 오는 것은 번거로운 일이다.
조금 더 문턱을 높일 수 있는 방법을 찾다보니 WPS Hide Login 이 있다. 이 플러그인으로 로그인 경로를 바꿔버릴 수 있다. 워드프레스는 홈디렉토리 아래 /wp-admin/ 디렉토리가 있고 그 안에 있는 wp-login.php 파일을 통해 로그인을 하게 되는데 이 파일을 내가 지정한 이름으로 바꿔버리는 것이다. 경로명은 좋아하는 책 제목에서 일부를 따 와오고 일부 철자를 Leet로 변경했다. 바꾼 주소로 들어가보니 잘 들어가지고 원래 경로로 접근해보니 404 에러가 나온다. 여태 로그인은 블로그 사이드바에 있는 meta 위젯에 포함된 login 링크로 들어갔었는데 거기에는 새로운 URL이 반영되어있었다. 그건 그대로 둔걸 보니 공격자가 굳이 그것까지 찾아서 새로운 경로로 공격시도를 하느니 다른 사이트의 전형적인 URL (/wp-admin/wp-login.php)로 공격시도를 하는게 가성비가 좋을 것이기 때문인 것 같았다. 그럼에도 이왕하는 거 로그인 링크가 있는 메타 위젯을 제거했다. 새로운 로그인 URL로 들어가는 경로가 없어졌으니 잊지 않기 위해 사용하는 브라우저의 북마크에 추가해두었다. 나만 입다물고 있으면(…) 로그인 시도 자체를 차단할 수 있는 방법이다. 혹시 소스나 스크립트 어디 깊숙한 곳에 접속 경로로 가는 흔적이 남아있을지는 모르겠다.
아울러 원격 글쓰기 등에 사용되는 XMLRPC 역시 사용할 일이 없기 때문에 Disable XML-RPC로 비활성화 시켰다. 로긴 시도 실패 로그에서 간간히 보이던 경로이기 때문이다.
OS나 워드프레스 자체의 취약점 공격을 막는건 내 능력 밖이지만 (먼산) 무차별 로그인 시도에 대해서는 이 정도면 할만큼 한게 아닌가 싶다.