워드프레스 https로 리다이렉트를 할 수 있는 가장 간단한 방법은 Really Simple SSL 플러그인을 사용하는 것입니다. 데이터베이스에서 절대경로 (각 파일의 URL)를 일일이 수정하지 않아도 몇 번의 클릭 만으로 모든 http URL을 https로 변경해주기 때문입니다.
또한, Really Simple SSL 플러그인은 카페24 워드프레스 전용 호스팅 상품에서도 기본 플러그인으로 제공하고 있을 만큼, 안정성이 높으며 전 세계에서 가장 인기 있는 https 리다이렉트 플러그인이기 때문에 플러그인 보안 이슈 걱정 없이 사용하셔도 좋습니다.
Really Simple SSL 사용법
Really Simple SSL 설치는 워드프레스 플러그인 추가 페이지에서 Really Simple SSL라고 검색하시고 바로 보이는 정말 간단한 SSL을 다운로드하시면 됩니다.
다운로드 후, 좌측 사이드바에 ‘설정’ 탭에서 아래의 SSL & Security를 클릭하시면, Really Simple SSL 설정 페이지가 나타납니다. 여기서 바로 보이는 ssl 활성화 버튼을 클릭하시면, http에서 https로 홈페이지로 자동 리다이렉트 됩니다.
혼합 콘텐츠 문제
기본적으로 워드프레스 뿐 만아니라 모든 사이트들의 파일 절대경로는 ‘http://example.com/경로’로 되어있습니다.
https ssl이 적용된 상태에서 http가 사용되면, 이미지 엑박이나, CSS 파일 깨짐 등의 다양한 혼합 콘텐츠 문제가 발생하기 때문에 호스팅 서버의 모든 경로를 확실하게 https로 리다이렉트 해야합니다.
여기서 Really Simple SSL의 혼합 콘텐츠 해결사 총 3가지 기능을 사용하시면 http 혼합 콘텐츠 오류를 해결할 수 있습니다.
- 백엔드 : 관리자 페이지 혼합 콘텐츠 문제 해결해야할 때 체크합니다.
- 초기화 후크 : 여전히 혼합 콘텐츠 문제가 해결되지 않는 경우 체크합니다.
- 플러그인 삭제시 모든 데이터 삭제 : 말 그대로 플러그인 삭제하는 경우 잔존 데이터까지 모두 제거되는 기능입니다.
이 정도만 설정하시면, 워드프레스 모든 경로의 https 리다이렉트 문제를 해결할 수 있습니다.
Really Simple SSL의 보안 기능
이 외 워드프레스 보안과 관련하여 다양한 추가 기능들을 제공합니다. 각 버튼 별 설명으로는 다음과 같습니다.
- 누구나 등록 가능 : 워드프레스 가입 활성화 유무
- 내장 파일 편집기 비활성화 : 사이드바 외모에 있는 ‘테마 파일 편집기’ 활성화 유무
- 라이브러리 업로드 코드 실행 방지 : 코드 주입 실행을 방지합니다.
- 워드프레스 버전 : 개발자도구 상에 버전을 숨기는 기능이며, 외부 취약점 공격으로부터 방지할 수 있습니다.
- 로그인 피드백 방지 : 로그인 비번 틀리는 경우 표시되는 경고문을 안전하게 변경합니다.
- 디렉토리 탐색 비활성화 : 워드프레스의 각 디렉토리 파일들을 접속하는 것을 방지합니다.
- 사용자 열거 비활성화 : 외부 공격자가 워드프레스 사이트의 사용자 이름을 알아낼수 있는 것을 방지할 수 있는 기능입니다.
- admin 차단 : admin 명으로 가입을 차단합니다.
- XML-RPC 비활성화 : XML-RPC 취약점을 통해 사이트 공격을 방지합니다.
워드프레스 특성상 여러 취약점들이 있으며 특히나 XSS 및 SQL 주입 공격에 매우 약하기 때문에 콘텐츠 복사나, 악의적인 리다이렉트, 시스템 구조 변경, 계정 해킹 등 여러가지 상황이 발생할 수 있습니다.
Really Simple SSL 프로 버전을 구매하시면 이 외에도 더 다양하고 핵심적인 보안 기능들을 추가로 이용할 수 있기도 합니다. 처음에는 괜찮지만, 추후 사이트가 무거워지거나 커지면 외부 공격과 보안 관련해서 신경쓸 필요성이 있습니다.