/
워드프레스 로그인 페이지, 관리자 페이지등 민감한 페이지에 접근 제어 걸기
워드프레스 로그인 페이지, 관리자 페이지등 민감한 페이지에 접근 제어 걸기
- 정광섭
Owned by 정광섭
누구나 접근할 수 있는 공개된 장소에 웹서비스를 올리고 웹서버 로그를 보면 다양한 곳에서 취약점이 있는지 확인하는 스캐닝이 들어오는 것을 알수 있다.
최근에 자주 들어오는 공격은 다음과 같다.
- 웹 기반 MySQL 관리툴인 phpMyAdmin 의 취약점을 이용한 스캔
- 워드프레스의 관리자 로그인 페이지(wp-login.php) 에 대한 무차별 대입 공격(Brute Force attack)
- 오픈 소스 모니터링 솔루션인 Zabbix 의 httpmon.php
- /phpTest/zologize/axa.php
- 기타 각종 취약점 있는 스크립트가 있는지 스캔
wordpress 를 사용한다면 당연히 관리자 기능을 사용해야 하며 다른 솔루션을 써도 마찬가지지만 관리자 기능은 아무곳에서나 연결이 가능하면 안 되므로 접근 제어를 해야 한다.
아파치 웹서버를 사용한다면 Directory, VirtualHost, File 별로 가능하다.
워드프레스의 관리자 페이지 접근 제어
파일명 기반으로 접근 제어를 걸어야 하므로 Files 의 지시자를 사용하면 된다. 파일명 부분에 정규식을 사용할 수 있으며 Files 지시자 뒤에 ~ 를 적어주면 정규식을 쓰겠다는 의미이다.
<Files ~ "^wp-login.php">
Order Deny,Allow
Deny from all
Allow From 127.0.0.1 192.168.1.0/24
</Files>