대기업 보안점검도 통과한 워드프레스 웹사이트

최근 대기업 자회사의 웹사이트를 워드프레스로 제작하였습니다. 이 프로젝트의 가장 큰 이슈는 “보안”이었는데요
아시다시피 워드프레스는 보안에 취약하다는 루머가 있기 때문에 우리는 이 프로젝트를 통해서 워드프레스가 보안에 강하다는 것을 보여주고 싶었습니다.

대부분의 기업들은 웹사이트 제작 시 자체 보안점검을 실시합니다. 아무래도 큰 회사에서는 보안에 많은 cost를 사용하기 때문에 보안점검이 까다로울 수 밖에 없습니다.
우리는 이 까다로운 보안테스트를 통과하기 위해서 다양한 방법으로 개발을 시도했습니다. 결국 우리가 제작한 사이트가 S사의 보안점검을 당당히 통과했고 현재 안정적으로 운영되고 있습니다.

보안점검은 대략 40~50개의 항목을 평가 받는데 워드프레스는 기본적으로 보안이 잘 되어 있는 저작툴이기 때문에 기본적인 항목은 모두 무사히 통과가 됩니다.
하지만 비밀번호암호화 및 기간갱신, 관리자IP접근보안, 메뉴접근권한, 관리자활동이력저장, 파일다운로드경로 노출금지, 업로드허용확장자관리 등은 새롭게 개발하거나 커스텀제작을 해야 했습니다

참고로 워드프레스의 해킹사례를 보면 70% 이상이 관리자 계정의 비밀번호 허술함에서 발생합니다.
워드프레스는 오픈소스의 단점으로 인해 구조와 기능이 모두 노출되어 있기 때문에 해커들은 손쉽게 로그인 시도를 할 수 있습니다.
매번 새로운 아이디와 비밀번호로 로그인을 시도함으로써 계정을 탈취하기 때문에 관리자의 아이디와 비밀번호 관리는 가장 중요한 해킹 예방방법입니다.

또 다른 방법은 상용테마나 플러그인의 취약점을 통해 해킹을 당하기도 합니다.
테마나 플러그인 또는 오픈소스이기 때문에 취약점이 있다면 해커들은 이를 통해 시스템에 침투하게 되는데요
이러한 이유 때문에 우리는 외부의 테마나 플러그인을 사용하지 않고 직접 모든 것을 개발, 제작하여 워드프레스의 단점을 극복하고 있습니다
이번 프로젝트도 이러한 단점을 보완하기 위해 대부분의 기능은 직접 개발, 제작한 기능과 플러그인을 사용했습니다

제이브릭스는 약 200여개의 워드프레스 웹사이트를 자체 서버를 통해 직접 운영,관리하고 있습니다.
지금도 많은 해킹시도를 받고 있으며 이를 막기 위해 서버보안기술, 운영노하우가 축적되어 있고 이러한 경험이 이번 프로젝트에 많은 도움이 되어 무사히 보안점검을 마치게 되었던 것 같습니다