워드프레스 보안 – 주기적인 인증키와 솔트(Salt) 값 변경을 위한 무료 플러그인 추천

2

워드프레스 사이트, 블로그 보안강화를 위한 워드프레스 무료 플러그인을 하나 추천하는 김에 워드프레스 로그인 인증키와 솔트 값에 대해 알아보려고 합니다.

워드프레스 설치할 때 필수적으로 세팅했던 WordPress 설정 파일인 wp-config.php의 값중엔 인증 Key 와 Salt라는 hash(해쉬)값이 있습니다(Authentication Unique Keys and Salts). 이 값을은 웹브라우저의 쿠키, 세션에 저장되어 암호화에 사용된다고 해요.

이 값들은 랜덤문자인데 워드프레스는 이 랜덤문자를 기반으로 임시적인 암호키를 발행해주고, 그 암호화 알고리듬은 로그인할 때, 세션 보안, 폼 양식(Form)을 제출할 때 그 정보들을 암호화하기위해 사용됩니다.

워드프레스를 수동으로 설치한다면 설정파일에서 이 값들엔  ‘put your unique phrase here’(유일한 문구를 넣어주세요)라는 값이 들어있습니다.

wp-config 의 Key 값과 Salt 값들
wp-config php 디폴트 파일에 설정되는 워드프레스 인증 암호화 키 값과 암호 솔트값

공식 설치파일에 디폴트로 써있는 값이다 보니 제가 해커라면 저 값부터 유추해 볼 것같습니다. 이건 마치 비밀번호를 누구나 생각해볼 수 있는 ‘password’라고 저장한 것과 마찬가지입니다.

왜 Salt 키를 바꾸어 줘야하는가?

 웹사이트 크래킹(해킹공격)은 해커가 암호화를 푸는데 사용되는 컴퓨팅 파워와 시간에 관한 문제입니다. 특히나 오픈소스라서 어떤 알고리듬이 쓰이는지 잘알려진 워드프레스의 경우 더욱 그렇죠. 수많은 경우의 수 속에서 결국 찾아낼 테니까요.

뚫기 힘들도록 검증된 암호화 알고리듬과 암호키를 사용한다고 해도 해커에게 무한한 시간이 주어지면 결국 뚫게 되어있다는 것이죠. 무한 원숭이를 이용한 개념에 따르면 무한한 시간과 원숭이(자원)만 있으면 언젠가 원숭이도 셰익스피어의 책을 똑같이 쓸 수 있다고 하니까요.

워드프레스 인증 키값과 암호 솔트값 입력 완료
wp-config php 파일에 설정되는 워드프레스 인증 암호화 키 값과 암호 솔트값

wp-congig.php 파일 인증키와 솔트키 값 변경하기

그래서 우리가 할 일은 wp-config.php 파일에 작성한 솔트키를 자주 바꿔주는 겁니다. 플러그인을 좋아하지 않는 사람은 스스로가 수동으로 변경해줘야 합니다.

수동으로 인증키, 솔트 값 변경하기

이 값을 수동으로 변경하려면 지난 블로그글을 참고하세요. 랜덤값을 생성할 수 있는 간편한 방법이 소개되어있습니다.

Salt Shaker – wp-config.php 암호화 인증키 솔트 값을 주기적으로 변경해주는 자동 플러그인

가끔씩이라고해도 매번 CLI나 FTP 프로그램으로 접속해서 솔트키를 바꿔주는 것은 생각보다 귀찮은 일이 아닐 수 없습니다. 이를 자동으로 해결해주는 워드프레스 무료 플러그인 Salt Shaker(솔트 쉐이커)를 추천합니다.

wordpress.org 공홈 디렉토리에 있는 Salt Shaker 플러그인 소개 페이지 이미지

워드프레스 설정파일 솔트키 값 자동수정 스케줄러 salt shaker

설치하고 나면 워드프레스 관리자화면 도구메뉴에서 Salt Shaker 세팅 페이지를 볼 수 있습니다. 아래처럼 생겼어요. 

몇가지 영어로된 안내사항과 자동스케줄 또는 지금 바꾸기 버튼이 보인다
salt shaker 플러그인 설정 페이지

위 그림에서 1번 Change Now 버튼은 지금 바로 솔트값을 바꾸는 버튼이예요. 언제든 솔트값이 바뀌면 현재 로그인한 모든 사용자가 로그아웃되니 재 로그인해야합니다.

자동으로, 주기적으로 바꾸도록 설정하려면 2번에 Change WP Keys and Salts… 항목에서 주기를 선택 후 앞에 체크마크를 클릭해 체크 해주면됩니다. 그럼 3번 처럼 다음에 언제 바뀔지 날짜가 나와요. 선택할 수 있는 변경 스케줄 주기는 아래와 같아요.

  • Daily: 매일
  • Weekly: 매주
  • Monthly: 매달
  • Quarterly: 분기마다(네 달에 한번)
  • Biannually: 반년마다(6개월)

사용방법도 간단하죠?

Salt Shaker 워드프레스 플러그인 다운로드

관리자 페이지의 플러그인 새로 추가하기에서 Salt Shaker를 검색해 설치하거나 아래 링크를 통해 .zip파일을 다운로드 후 설치하면 됩니다. 플러그인 설치방법을 참고하세요.

Salt Shaker

2 댓글

  1. 유용한 플러그인이네요.
    감사합니다.

    언젠가, 우분투 서버 보안의 관한 포스트도 부탁드립니다. 🙂

댓글은 익명이나 SNS, wordpress.com 로그인 지원). 마크다운 문법 사용가능(Shift+~ 키로 특정문구 혹은 위아래 ~~~으로감싸서 여러줄을 코드블락으로 작성)