워드프레스 어드민 무차별 대입공격 막기

워드프레스로 만든 사이트에 어드민 계정을 탈취하기 위해 아이디와 비밀번호를 무차별로 입력하는 해킹 시도가 있었다. 무차별 대입 공격을 막는 여러가지 방법을 써 보았는데 xmlrpc를 막는게 가장 효과적이었다.

무차별 대입 공격이란

무차별 대입 공격이란 사이트의 관리자 계정을 탈취하기 위해 아이디와 비밀번호를 바꿔가면서 로그인을 시도하는 것을 말한다.

워드프레스로 만든 사이트의 어드민 로그인 주소는 정해져있다. /wp-login.php 나 /wp-admin/ 이다.

관리자 계정을 탈취당하지 않아야 하기도 하지만, 이렇게 무차별로 로그인 페이지를 접속하게 되면 웹서버와 워드프레스 프로그램이 실행하니 CPU 사용이 높아져서 사이트가 느려진다.

무차별 대입 공격을 막는 방법

무차별대입 공격을 막는 방법은 여러가지가 있다. 이번에 우분투에 LEMP 스택으로 서버를 이상했다. 한 사이트에 무차별대입 공격이 심했다.

아래 정리한 방법을 다 해봤는데 다 뚫렸다. 로그인 공격을 멈추게 한 것은 xmlrpc 차단이었다. xmlrpc를 이용하지 않고 무식하게 웹 페이지에서 대입하는 공격도 있을 수 있으니 아래 방법도 다 켜놓았다.

xmlrpc 막기

xmlrpc 차단은 웹 서버, .htaccess, 테마, 플러그인으로 막는 방법이 있다. xmlrpc 차단은 워드프레스 xmlrpc.php 공격 차단하는 방법 에 정리해 놓았다.

가장 효과적인 차단 방법인 웹 서버에서 막았다.

로그인 시도 계정 잠기기

All In One WP Security 워드프레스 플러그인으로 사용자 로그인 잠금 옵션을 켰다. 최대 로그인 시도와 로그인 재시도 기간과 잠금 시간을 준다. 특정 사용자 이름도 즉시 잠그게 한다.

아래 이미지는 로그인을 실패하면 해당 IP로 로그인을 못하게 잠근 IP 목록이다.

로그인 창에 구글 캡차 넣기

All In One WP Security 워드프레스 플러그인으로 로그인 창에 구글 캡차를 넣고 있다 그래도 뚫였다. 캡처 V2를 지원해서 그런가 싶었는데 그게 아니라 xmlrpc로 공격해서같다.

워드프레스 어드민 페이지 바꾸기

All In One WP Security 워드프레스 플러그인으로 로그인 페이지 주소를 바꿔서 사용한다. 무차별 대입공격 메뉴에서 할 수 있다.

뚫렸다. 쿠키 기반으로 바꿨다. 그래도 뚫렸다. 허니팟도 켰는데 그래도 뚫렸다. xmlrpc로 들어오는 거였다. xmlrpc는 로그인창 입력과 상관 없는 모양이다.

웹 서버에서 IP 차단

로그인 시도를 차단한 ip를 차단했다. 보안 플러그인으로 하지 않고 일일이 웹 서버에서 막아 보았다. 라우트에서 하면 좋겠는데 아직 ip목록으로 라우트에서 하는 방법을 못 찾았다. 이건 아무리 ip 대역으로 막아도 끝이 안난다. 한국과 미국(구글 때문에) 빼고 다 막을까 했는데 xmlrpc 를 차단해서 일단 해결해서 나중에 해야겠다.

관리자 아이디 변경

관리자 아이디가 admin 이나 user, 또는 도메인 이름이면 당장 바꿔야한다.

어드민 아이디도 admin 인 경우가 많다. 왜냐하면 워드프레스를 설치할 때 디폴트로 아이디를 admin 으로 하기 때문이다 또는 해당 사이트 도메인 이름으로 하는 경우도 많다. 아마존 라이트세일 워드프레스 이미지로 설치하면 관리자 계정 아이디를 user 로 만든다. 그러니 워드프레스 설치 후에 관리자 계정을 새로 만들어서 바꾸는 것이 좋다.

All In One WP Security 플러그인으로 로그인 시도 로깅한 걸 보면 admin 과 도메인 이름인 공통이다. 글쓴이 아이디를 찾아서 이걸로 공격한다. 그래서 최근에 공격당한 아이디를 변경했다.

비밀번호

비밀번호가 길면 나도 불편하지만 특수문자를 포함해서 길게 만들어야한다.

마치며

무차별 대입공격은 xmlrpc 차단으로 일단 막은 것 같다. xmlrpc를 실행만 못한게 한거지 접속은 계속되고 있다. 라우트 레벨에서 ip를 막아야 웹 서버 까지 안간다. 근데 ip 대역으로 막거나 블랙 ip를 구해도 이게 vpn을 타고 올 수도 있어서 쉽제 않은 것 같다. 방화벽이 이래서 필요한 모양이다. 고민해봐야겠다.