워드프레스 관리자 로그인 페이지 변경 방법은 여러가지가 있습니다.
다른 사람의 블로그가 워드프레스 인지 티스토리 인지 어떻게 구별할 수 있을까요? 대부분의 경우 워드프레스 사이트의 관리자 페이지는 wp-admin 으로 끝나기 때문에 주소 뒤에 wp-admin 을 붙여보는 것만으로 쉽게 확인이 가능합니다.
누군가 어느 블로그 타입인지만 구분하기 위해서 해당 페이지를 접근한다면 상관이 없지만, 로그인 아이디와 비밀번호를 유추하기 위해서 임의로 아이디와 비밀번호를 입력하거나 디도스 공격을 한다면 서버 보안에 치명적일 수 있습니다.
다행히도 우리는 워드프레스 관리자 페이지인 wp-admin 주소를 여러가지 방면으로 변경할 수 있습니다.
안전한 IP 만 접근 가능하도록 변경
가장 최선의 방법은 안전한 IP 만 접근 가능하도록 서버 설정을 바꾸는 것입니다. 이 방법을 적용하면 외부의 다른 IP 에서는 관리자 페이지를 로드할 수 없게 되므로 보안을 유지하고 관리하기 쉬워집니다.
설정하는 방법은 FTP 서비스나, WP 파일 관리자와 같은 플러그인으로 서버 파일 경로로 접근하여 .htaccess 파일을 수정하는 방법이 있습니다. 파일질라 같은 FTP 프로그램을 사용해도 좋지만 플러그인으로 더 간편하게 파일에 접근할 수 있으니 참고하세요.
접근했다면 최상위 경로 영역에 .htaccess 를 찾아주세요. 없으면 생성해주세요. 이때 .htaccess 는 wp-config.php 아니면 wp-login.php 파일과 함께 위치해야 하므로 해당 파일이 존재하는지도 확인해주세요.
<FilesMatch "(\.htaccess)">
Order deny,allow
Deny from all
</FilesMatch>위 코드를 .htaccess 에 기입해주세요. (이미 기입되어 있으면 이 단계를 건너뛰세요) 해당 코드는 .htaccess 파일을 외부인이 직접적으로 접근할 수 없게 막아주는 코드입니다.
다음으로 아래 코드를 추가하겠습니다.
<Files wp-login.php>
Order Deny,Allow
Deny from all
Allow from 193.169.###.###
</Files>wp-login 에 대하여 특정 ip 에서만 접근 가능하게 만들어주는 코드입니다. Allow from 이후 부분의 IP 를 허용할 IP 로 대체해주세요. 이제 워드프레스 관리자 페이지는 설정해준 IP 에서만 접근할 수 있으므로 안전해집니다.
테마 파일 에서 변경하기
이번에는 테마 파일을 이용한 방법을 알아봅니다. 테마 파일을 통해서 간단하게 파일 명만 바꿔주면 되는 방법으로 첫 번째 방법 보다는 좀 더 적용하기 쉬운 보안 조치 방법입니다.
마찬가지로 FTP 또는 SFTP 등을 이용해서 서버 경로에 탐색기로 접근한 뒤 wp-admin.php 또는 wp-login.php 등의 파일 명을 바꿔주면 됩니다. 예를 들어서 my-admin.php 등으로 변경하는 방법이 있습니다.
이 방법은 로그인 페이지의 고유주소를 아는 사람만 로그인 어드민 페이지에 접근할 수 있으므로 안전하지만 로그인 페이지의 고유 주소를 아는 다른 모든 사람이 접근할 수 있기 때문에 취약할 수 있습니다.
또한 일부 플러그인이나 알림에서 wp-admin.php 파일이 없는 것을 알아차리고 경고 알림을 보낼 수 있습니다. 이는 워드프레스 상태에 문제가 생겼다고 오판단하여 생기는 문제이며 상당히 거슬릴 수 있습니다.
플러그인 사용하기 : WPS Hide Login
위 방법들은 사실 블로그 속도를 위해서는 좋지만 번거롭고 향후 계속 수정해주어야 하는 번거로움이 있다. 물론 플러그인을 추가하는 경우 블로그 로드 속도가 느려질 수 있다고 하지만, 간단한 플러그인의 경우 최적화가 잘 되어있는 편이다.
플러그인 탭의 새 플러그인 추가에서 WPS Hide Login 플러그인을 검색한뒤 지금 설치 버튼을 눌러 워드프레스에 플러그인으로 추가하세요.
설치가 완료되면 지금 설치 부분이 활성화 버튼으로 바뀌므로 바로 활성화 할 수 있습니다. 활성화 버튼을 눌러서 WPS Hide Login 플러그인을 활성화 해주세요.
이후 관리자 메뉴의 설정 탭에 WPS Hide Login 이 추가 되었다면 정상적으로 활성화 된 것이다. 마찬 가지로 눌러서 설정 창으로 들어가준다.
Login url 옵션에서 주소를 설정할 수 있으며 기본은 login 으로 이미 바뀌어 있는 것을 알 수 있다. (wp-admin 이 login 으로 변경된 것이다.) 즉 이제 외부인이 블로그주소 끝에 wp-admin 으로 관리자 로그인 페이지에 접속할 수 없다.Redirection url 은 누군가가 wp-login 주소로 접근하는 경우 어느 페이지를 보여줄지에 대한 설정으로 기본적으로 404 페이지를 보여주도록 되어있다. 적당한 설정이므로 웬만해선 건들지 말자.
결론
워드프레스 관리자 로그인 페이지 변경 결론은!
wp-admin 으로 접근하면 기본적인 404 페이지가 보여지고 외부인은 로그인 페이지에 접근할 수 없게 되었다.워드프레스 사이트의 특징은 블로그 주소 뒤에 wp-admin 을 붙이면 관리자 로그인 페이지로 넘어갈 수 있고 해커가 로그인 아이디와 비밀번호를 알아내면 보안에 취약하다.
때문에 서버 단에서 파일을 직접 수정하여 특정 IP 만 접근할 수 있게 하거나 테마 파일을 이용한 파일명 변경으로 이 주소를 변경할 수 있다. 그러나 플러그인을 사용하면 이를 더 간단하게 적용할 수 있다.