워드프레스에서 XML-RPC 기능을 사용하지 않는다면 이 기능을 비활성화해주는 것이 보안에 좋습니다.

XML-RPC를 비활성화하는 방법에는 여러 가지가 있습니다.

  • .htaccess에 코드를 추가
  • XML-RPC 파일 삭제
  • 플러그인 사용
  • 웹호스팅 서버에서 XML-RPC 익스텐션 삭제

XML-RPC 파일을 삭제하더라도 워드프레스가 업데이트되면 또 파일을 삭제해야 하므로 번거롭습니다. FTP에 접속할 수 있다면 .htaccess 파일에 다음 라인을 추가하면 쉽게 XML-RPC를 사용하지 않도록 설정할 수 있습니다.

# BEGIN protect xmlrpc.php
<files xmlrpc.php>
order allow,deny
deny from all
</files>
# END protect xmlrpc.php

FTP에서 작업하는 것이 부담이 된다면 간단히 다음과 같은 플러그인을 하나 설치하면 됩니다.

플러그인을 많이 설치하는 것은 별로 바람직하지 않지만 이 플러그인은 간단한 기능을 하는 플러그인이기 때문에 사이트에 그다지 부담은 없을 것 같습니다.

XML-RPC를 비활성화하면 DDoS(디도스) 공격 등 외부 공격으로부터 사이트를 보호하는 데 도움이 됩니다.

워드프레스 사이트를 안전하게 운영하기 위해서는 다음과 같은 기본적인 수칙만 지켜도 보안에 도움이 되고 긴급 상황 시에 사이트를 쉽게 복구할 수 있습니다.

  • 워드프레스 코어 파일, 테마, 플러그인을 항상 최신 버전 유지
  • 보안 플러그인 설치
  • 정기적인 백업

백업은 가급적 하드 디스크나 클라우드에 백업을 받아놓도록 하시기 바랍니다. 간혹 웹호스팅 업체에서 제공하는 백업 기능을 맹신하여 하드 디스크 등에 별도의 백업을 하지 않아서 낭패를 당하는 분을 목격하기도 합니다. 어제 어떤 분이 Hostigator에서 운영되는 사이트가 열리지 않는다고 연락왔는데, Hostigator에서 백업을 제공하기 때문에 별도의 백업을 받아 놓은 것이 없다고 하네요. (Hostigator블루호스트, 고대디와 비슷한 레벨의 웹호스팅 업체라고 합니다.)

참고: