목차
- 워드프레스 공격 유형, 왜 먼저 알아야 할까?
- 주요 워드프레스 공격 유형 7가지
- 공격 징후를 빠르게 확인하는 방법
- 워드프레스 공격 유형별 보안 대응 전략
- 실무용 보안 체크리스트
- 추천 보안 플러그인과 참고 자료
워드프레스 공격 유형, 왜 먼저 알아야 할까?
워드프레스 공격 유형을 모르면 문제를 발견해도 어디서부터 막아야 할지 막막해집니다. 특히 소규모 비즈니스나 1인 운영 블로그는 보안 담당자가 없어, 실제 공격이 들어온 뒤에야 심각성을 깨닫는 경우가 많습니다.
공격 자체를 0으로 만드는 것은 불가능하지만, 어떤 워드프레스 공격 유형이 자주 발생하는지 알고 대비하면 피해 규모를 크게 줄일 수 있습니다. 이 글은 개발자가 아니어도 이해할 수 있도록, 공격 방식과 실무 대응을 함께 정리했습니다.
주요 워드프레스 공격 유형 7가지
1. 브루트 포스 공격(무차별 대입 로그인 시도)
가장 흔한 워드프레스 공격 유형입니다. 공격자가 자동화 봇으로 /wp-login.php 또는 /xmlrpc.php 경로에 수천~수만 번 아이디와 비밀번호를 대입해 로그인에 성공하려는 방식입니다.
비밀번호가 단순하거나, 관리자 계정 ID가 admin이면 성공 확률이 크게 올라갑니다. 이 공격은 서버 자원도 많이 소모시켜 느린 DDoS처럼 보이기도 합니다.
2. 취약한 플러그인·테마를 통한 취약점 악용
워드프레스 공격 유형 중 실제 해킹 피해로 가장 많이 이어지는 방식입니다. 오래된 플러그인이나 더 이상 유지보수되지 않는 테마의 코드 취약점을 파고듭니다.
공격자는 알려진 취약점(CVE)을 검색해 버전 정보를 수집한 뒤, 특정 플러그인·테마를 사용하는 사이트만 자동으로 골라 공격합니다. 관리자 권한 탈취나 악성 코드 삽입으로 이어질 수 있어 특히 위험합니다.
3. SQL 인젝션(SQL Injection)
입력 폼이나 URL 파라미터에 악성 SQL 쿼리를 심어 데이터베이스를 조작하는 워드프레스 공격 유형입니다. 사용자의 개인정보나 관리자 계정 정보(해시된 비밀번호 포함)를 탈취할 수 있습니다.
워드프레스 코어는 비교적 안전하지만, 일부 플러그인이 입력값을 제대로 필터링하지 않을 때 SQL 인젝션 취약점이 생깁니다.
4. XSS(교차 사이트 스크립팅)
XSS는 공격자가 악성 자바스크립트 코드를 페이지에 삽입해, 방문자의 브라우저에서 실행되게 하는 공격입니다. 대표적인 워드프레스 공격 유형으로, 댓글·폼·검색창·위젯 등이 주요 경로가 됩니다.
악성 스크립트는 관리자 세션을 탈취해서 계정을 가로채거나, 방문자를 피싱 사이트로 강제 이동시키는 등 다양한 공격에 활용됩니다.
5. 파일 업로드 취약점(웹셸 업로드)
이미지·문서 업로드 기능을 악용해 PHP 등 실행 가능한 파일을 서버에 올리는 방식의 워드프레스 공격 유형입니다. 업로드된 악성 파일(웹셸)을 통해 공격자는 서버에서 명령을 실행하고, 파일을 수정·삭제할 수 있습니다.
파일 확장자 검증이 허술하거나, 업로드 디렉터리에 실행 권한이 남아 있을 때 쉽게 악용됩니다.
6. 악성 코드 삽입(백도어·SEO 스팸)
테마 파일(functions.php, header.php 등)이나 플러그인 파일, wp-config.php 등 핵심 파일에 악성 코드가 숨어드는 워드프레스 공격 유형입니다. 대부분 다른 취약점을 통해 최초 침투에 성공한 뒤, 재침입을 위한 백도어를 심습니다.
이때 검색엔진 결과에 도박·성인·가짜 쇼핑몰 페이지가 함께 노출되는 SEO 스팸 공격으로 이어질 수 있어, 브랜드 이미지에도 심각한 타격을 줍니다.
7. DDoS·리소스 소모형 공격
짧은 시간에 많은 요청을 보내 서버 자원을 고갈시키는 워드프레스 공격 유형입니다. 단순 HTTP 요청 폭주부터, wp-cron을 악용하거나 검색 쿼리를 반복 호출해 DB 부하를 일으키는 등 여러 변형이 있습니다.
완전히 막기는 어렵지만, CDN·캐시·웹방화벽을 통해 많은 트래픽을 앞단에서 걸러낼 수 있습니다.
워드프레스 공격 징후를 빠르게 확인하는 방법
워드프레스 공격 유형을 알아도, 징후를 놓치면 대응 타이밍을 잃게 됩니다. 다음 신호가 반복되면 즉시 점검이 필요합니다.
- 갑자기 관리자 로그인 실패 알림이 급증
- 서버 리소스(CPU, 메모리) 사용량이 평소보다 지속적으로 높음
- 검색 결과에 이상한 페이지나 일본어·영문 스팸 제목 노출
- 알 수 없는 관리자 계정 생성, 사용자 권한 임의 변경
- 파일 변경 알림(보안 플러그인)이나 예상치 못한 파일 생성
가능하다면 웹호스팅의 접속 로그, 워드프레스 보안 플러그인의 활동 로그를 주 1회 이상 확인하는 습관을 들이는 것이 좋습니다.
워드프레스 공격 유형별 보안 대응 전략
1) 브루트 포스 공격 방어
- 관리자 계정명 변경:
admin계정 사용 금지, 고유한 ID 사용 - 강력한 비밀번호: 최소 12자 이상, 대소문자+숫자+특수문자 조합
- 로그인 시도 제한: 5회 이상 실패 시 일정 시간 IP 차단
- 2단계 인증(OTP): 관리자·편집자 계정에는 필수 적용
2) 플러그인·테마 취약점 대응
- 사용하지 않는 플러그인·테마는 비활성화가 아니라 완전 삭제
- 공식 디렉터리·신뢰 가능한 마켓에서만 다운로드
- 최소 월 1회 플러그인·테마 업데이트 점검
- 유료 테마·플러그인은 정품 라이선스로 업데이트 유지
3) SQL 인젝션·XSS 방어
- 워드프레스 코어를 항상 최신 버전으로 유지
- 폼·댓글·검색 기능은 검증된 플러그인 사용
- 입력값 필터링 옵션(HTML 허용 범위, 스팸 필터) 적극 설정
- 웹방화벽(WAF)에서 SQLi/XSS 룰 활성화
4) 파일 업로드·악성 코드 삽입 방어
- 업로드 허용 확장자 최소화(JPG, PNG, PDF 정도로 제한)
- 업로드 디렉터리에 PHP 실행 금지(.htaccess 또는 서버 설정)
- 정기 악성 코드 스캔(최소 주 1회 자동 스캔 권장)
- FTP/SSH 계정 비밀번호 강화 및 불필요한 계정 삭제
5) DDoS 및 리소스 공격 완화
- CDN(Cloudflare 등) 사용으로 트래픽 앞단 분산
- 페이지·DB 캐시 활성화로 요청 처리 효율 개선
- REST API·XML-RPC 사용 여부 점검 후 불필요한 기능 비활성화
- 트래픽 급증 시 호스팅 업체에 DDoS 대응 정책 문의
실무용 워드프레스 보안 체크리스트
아래 체크리스트는 대부분의 워드프레스 공격 유형에 공통으로 효과가 있는 기본 방어선입니다. 월 1회 점검용 템플릿으로 활용해도 좋습니다.
| 항목 | 권장 설정 |
|---|---|
| 워드프레스 코어 | 최신 버전 유지, 자동 업데이트 권장 |
| 플러그인·테마 | 사용 중인 것만 유지, 나머지는 삭제 |
| 관리자 계정 | 고유한 ID, 강력한 비밀번호, 2단계 인증 |
| 백업 | 최소 주 1회 전체 백업, 원격지 저장 |
| 보안 플러그인 | 웹방화벽·로그 모니터링·파일 변경 감지 사용 |
| 서버 접근 | 불필요한 FTP/SSH 계정 삭제, SFTP 사용 |
이 체크리스트를 기준으로 현재 사이트 상태를 점검해 보면, 어떤 워드프레스 공격 유형에 취약한지 대략적인 감을 잡을 수 있습니다.
추천 보안 플러그인과 참고 자료
보안 플러그인 예시
- Wordfence Security – 방화벽, 로그인 시도 제한, 파일 변경 감지
- Sucuri Security – 악성 코드 스캔, 무결성 검사, 감사 로그
- iThemes Security – 기본 보안 하드닝, 로그인 보호, 파일 권한 점검
국내 운영 시에는 호스팅사가 제공하는 기본 보안 옵션(웹방화벽, 백업, SSL)을 워드프레스 공격 유형에 맞춰 함께 사용하는 것이 가장 비용 대비 효율이 좋습니다.
참고할 만한 자료
- 워드프레스 공식 보안 핸드북: Security | WordPress Developer Resources
- 관련 내부 가이드: 워드프레스 보안 기본 설정 체크리스트
마무리: 보안은 ‘완벽’보다 ‘지속’이 중요하다
워드프레스 공격 유형은 계속해서 진화하지만, 기본 보안 습관과 정기 점검만으로도 위험을 크게 줄일 수 있습니다. 완벽한 방어를 목표로 하기보다는, 월 1회라도 체크리스트를 돌리고 로그를 확인하는 ‘지속 가능한 보안’을 만드는 것이 현실적인 해답입니다.
지금 바로 관리자 계정 보안과 플러그인 목록을 점검해 보세요. 작은 조치 하나가 향후 몇 년간의 침해 사고를 막아 줄 수 있습니다.