워드프레스 Login LockDown

[워드프레스 보안 플러그인]Login LockDown

83
0

LoginLockDown08

워드프레스는 사용자가 직접 설치하고 관리하는 CMS이다 보니 보안이 중요 합니다. [워드프레스 보안 플러그인]Login LockDown은 brute force attack을 막기 위한 플러그인입니다.

[워드프레스 보안 플러그인]Login LockDown을 소개하겠습니다.

[워드프레스 보안 플러그인]Login LockDown 다운로드

https://wordpress.org/plugins/login-lockdown/

 

LoginLockDown09

예전에 밤사이에 진행된 brute force attack의 피해입니다.  하나의 팁이 있다면 어드민 아이디는 admin으로 하시면 안되고, 외부에 노출되지 않은 아이디로 어드민 아이디를 만드셔야 됩니다.

어드민 아이디가 노출되어 있고, brute force attack에 대비할 방법을 만들어 놓지 않았다면 뚫리는 것은 시간 문제입니다. brute force attack을 막기 위한 플러그인이 Login LockDown입니다.

 

LoginLockDown01

워드프레스 공식사이트 에서의 [워드프레스 보안 플러그인]Login LockDown

 

LoginLockDown02

설치를 하시면 환경설정을 해야 되는데요.

환경설정은 대쉬보드=> Settings=> Login LockDown에서 하시면 됩니다.

 

Login LockDown Options 설정

LoginLockDown03

  • Max Login Retries: 로그인 시도회수 제한 입니다.  강력하게 설정하려면 1번을 추천해 드립니다.
  • Retry Time Period Restriction(minutes): 로그인 재시도 시간설정입니다. 만약 max login retries를 3번으로 설정하였다면 3번의 로그인 시도가 실패하였다면 여기에서 설정한 시간이후로 로그인이 가능합니다. 5라고 설정한다면 5분후에 로그인을 다시할 수 있습니다.
  • Lockout Length(minutes): 차단된 아이피 보관기간 입니다.
  • Lockout Invalid Usernames?: 로그인 실패한 유저 아이디를 보관할것인가 물어보는 것입니다.
  • Mask Login Errors?
  • Show Credit Link?: 로그인 락다운에 의해서 보호되고 있다는 크레딧 링크를 보여줄것인가?

 

LoginLockDown07

데이터 베이스에 보관된 차단된 아이피들 입니다. 환경설정 창에서 로그인 차단을 해제해 줄 수 있습니다. 나같은 경우는 회원을 전혀 받지 않는 블로그이기에 사용할 일이 없습니다.

LoginLockDown04

기본적인 로그인 락다운 플러그인을 적용하였을 때의 로그인 창 모습입니다. 로그인에 실패하였다면 환경설정 창에서 설치한 에러메세지가 나오고, 크레딧 링크 또한 다음과 같이 나오게 됩니다.

 

LoginLockDown05

[워드프레스 보안 플러그인]Login LockDown을 설치하면 기본적으로 생성되는 테이블

 

LoginLockDown06

[워드프레스 보안 플러그인]Login LockDown의 테이블에 생성된 데이터들입니다.

이 테이블의 데이터를 보면 플러그인 환경 설정창을 쉽게 이해할 수 있습니다.

 

만약에 나와같이 로그인 시도 회수를 1회로 제한하고 다시 시도가능한 시간을 한달 정도로 설정하여 본인의 아이피로 워드프레스 로그인이 불가능 할때는 lockdowns Table에서 자신의 아이피를 삭제해주면 로그인을 다시 시도할 수 있습니다.

워드프레스는 사용자가 직접 모든 것을 관리해야 되는 CMS이고, brute force attack에 대비도 해야 되는데 그럴때 무료로 손쉽게 이용할 수 있는 Login LockDown이었습니다.