이것보시게. 내 블로그는 털어갈 것도 없어.. 왜 이렇게 어택이 들어오는 것이야..

웹호스팅이었으면 잘 몰랐겠으나, VPS를 하는 입장에서는 가끔씩 access_log를 봐 줄 필요가 있다. 최근에 불특정한 IP들이 wp-login.php를 access하는 것을 확인하였다.

워드프레스의 wp-login.php는 사용자 로그인을 하는 php 파일로, 이 파일이 눈에 띈다는 것은 누군가가 login을 시도한다는 것을 알 수 있다.

내 블로그는 나 외에 다른 계정이 존재하지 않으며(계정을 만들어줄 생각도 없고), login할 수 있는 페이지 주소도 워드프레스 블로그 외부에선 보이지 않는다. 그런데 주소를 정확히 확인하고 접속했다는 것은 해킹 코드가 들어간 addon이 있지 않았나하는 의심을 해본다.

어쨌든, 보통 이런 경우 워드프레스 애드온으로 로그인 몇번 실패 시 ban 시키는 류의 것들을 설치해보려고 할텐데 소용없음을 말해주고 싶다. 왜냐하면 access_log를 토대로 확인한 결과 단 하루동안 70여개의 IP에서 단 한번씩만 로그인 시도를 했다. 즉, 전문 해커들은 수많은 서버를 이용해서 해킹 시도를 하기 때문에 이런류의 애드온은 아무 도움이 되지 않는다. (정말로 내 블로그는 털어갈 것이 없으니 이정도만 시도해 보는 것이리라. 구글 검색 시 brutal wp-login.php attack를 받는다는 글이 무지 많았다. 하루에 몇만건이 쏟아진다고 한다.)

여기에 대한 대응책은 다음과 같다.
1. admin 계정을 admin으로 하지않는다.
이전에 워드프레스 설치에서 잠깐 언급했지만, 절대로 워드프레스의 admin 계정을 admin으로 하지 말아야한다. 이것만 admin이 아닌 이상한 이름이기만 해도 로그인 시도는 상당 수 실패할 것이다.

2. wp-login.php를 다른 이름으로 변경한다.
rename-wp-login 플러그인을 설치하면 wp-login.php 파일을 다른 이름으로 변경할 수 있다.

가령 아래처럼 wp-login.php를 thankyou란 이름으로 변경하면 이후에는 www.jaehak0123.com/thankyou 가 login 페이지의 주소가 된다.

그외 나같은 경우는 어택을 시도한 user agent string이 모두 동일하여 해당 user agent string을 .htaccess에서 차단시켜버렸다.(정확히 말하면 우회..) 그외 blank user agent등도 막는 게 좋을 것 같다. .htaccess를 다루는 것은 나도 정확히 모르므로 다른 곳을 검색해보시길…