하도 오래전이라 워드프레스 처음 설치할 때 최초 관리자의 계정이름을 admin으로 내가 지정했는지 아니면 기본값이 admin이었는지 기억은 안난다. 지금 살펴보니 user라는 계정명도 하나 있던데 글 작성에 사용하진 않았던지라 삭제하였다. admin 계정의 비밀번호야 bitwarden으로 생성한 비밀번호(예를 들자면 Dk3Qjcjcw(!x@같은…)를 사용하고 있으니 무작위 대입법으로 뚫릴 걱정은 안하고 있다. 그래도 관리자의 아이디가 흔하디 흔한 아이디이므로 이 아이디에 계속 다른 비번을 써 넣어보는 시도를 해볼 것 같아 관리자 계정명을 변경하기로 했다.
어차피 관리자 아이디를 변경하더라도 화면에 글쓴이의 이름은 그대로 표시되니 내가 쓸 때나 방문자가 볼 때 문제는 없다. phpmyadmin 깔아서 해야하나 싶었는데 필요한 플러그인들이란 대부분 있는 워드프레스답게 사용자 이름 변경 플러그인도 있었다. 관리자 아이디를 무엇으로 할까, 처음에는 wpmaster(…)라는 이름으로 만들었는데 어쩌면 이 이름도 관리자이름 대입 사전이 있다면 거기에 등재되어 있을 법한 아이디다. bitwarden에서 무작위로 생성해주는 아이디를 사용하기로 했다.
뭐 당연하겠지만 상상할 수도 없는 아이디가 만들어졌고 몇번 재생성 버튼을 눌러 그나마 마음에 드는 아이디로 선택했다. admin 아이디를 Easy Username Update 플러그인을 이용해서 이 아이디로 변경해주었다.
변경 후에는 기존 로그인이 풀렸고 방금 바꾼 새 아이디를 이용해서 로그인해야 했다.
취약점을 이용한 해킹에 대한 대응이라기보다는 사전이나 무작위 대입법에 대한 대응책이 한층 강화했다는데 의미가 있고, 비빌번호가 틀렸다는 에러메세지가 아니라 사용자 이름부터 (무슨 수를 써도) 안맞는다는 에러메세지를 낸다는 점에서 좀 더 앞단에서 막아준다는 든든함이 있다.
[업데이트]@10/2 19:00
어드민 아이디를 변경하면서 로그인 실패 기록을 남기는 Limit Login Attempts Reloaded 플러그인도 함께 설치했다. 실패 기록을 보니 웬걸. admin 계정 로그인 실패 기록이 이어지다가 새 아이디 로그인 실패가 눈에 띄었다. 밖에서 볼 때는 어드민 계정을 알 수 없을 것 같았는데 알 수 있는 방법이 있나보다. 이 플러그인은 아울러 지난 24시간 동안 약 300회의 로그인 실패가 있었던 것도 알려주었다. 접속 실패 아이디를 검사해보니 모두 해외 아이피여서 추가적으로 Login IP & Country Restriction 플러그인을 설치하여 해외에서는 로그인하지 못하도록 설정하였다.