며칠 전 보안을 위해 워드프레스에서 사용하는 관리자 계정의 아이디를 admin에서 다른 아이디로 변경했다. 변경하면서 로그인 실패 기록을 남기는 플러그인을 설치해서 로그를 봤는데, 방금 전 변경한 아이디의 로그인 실패기록이 있어서 깜놀한 적이 있었다. 대체 바뀐 아이디를 어떻게 알아낸 것인지 궁금했는데, 알고보니 내가 널리 알렸던 것이다. ㅎ…
워드프레스 게시물마다 작성자 이름을 로그인한 아이디로 표시할 것인지, 닉네임을 표시할 것인지를 설정하는 메뉴가 users → 사용자 항목 → profile 에 있다. “Display name publicly as” 항목에 들어가면 닉네임과 아이디 중에 선택할 수 있는데, 선택한 대로 개별글마다 작성자로 표시된다. 여기에 아이디로 지정되어 있었으니 개별 글마다 바꾼 아이디가 글 작성자로 표시되었고 침입을 시도하는 스크립트는 이 정보를 긁어가서 로그인을 시도한 것이다. 마치 번호자물쇠 번호를 변경하고 바뀐 번호를 자물쇠에 써 놓은 격.
다시 새로운 아이디로 변경했고, 화면에 표시되는 이름을 아이디에서 닉네임으로 변경 지정했다.