워드프레스 사이트를 안전하게 운영하려면 정기적인 보안 점검이 필수입니다. 해커들은 끊임없이 새로운 공격 방법을 시도하기 때문에, 한 번 설정하고 끝나는 것이 아니라 주기적으로 확인하고 관리해야 합니다. 이 글에서는 초보자도 쉽게 따라할 수 있는 워드프레스 보안 점검 루틴을 단계별로 안내합니다.
1단계: 워드프레스 핵심 파일 및 플러그인 업데이트 확인

보안의 첫 번째 단계는 모든 소프트웨어를 최신 상태로 유지하는 것입니다. 워드프레스 관리자 화면에 로그인한 후 대시보드 메뉴를 확인하세요.
- 관리자 페이지 상단의 ‘업데이트’ 알림 숫자를 클릭합니다
- 워드프레스 핵심 파일 업데이트가 있는지 확인하고, 있다면 ‘지금 업데이트’ 버튼을 누릅니다
- 플러그인 목록에서 업데이트가 필요한 항목을 모두 선택합니다
- 테마 업데이트도 함께 확인하고 적용합니다
주의사항: 업데이트 전에는 반드시 전체 사이트를 백업하세요. 드물게 업데이트 후 호환성 문제가 발생할 수 있습니다.
2단계: 관리자 계정 및 사용자 권한 검토

사용하지 않는 계정이나 과도한 권한을 가진 계정은 보안 위험이 됩니다. 사용자 메뉴에서 모든 계정을 점검하세요.
- 워드프레스 관리자 화면에서 ‘사용자’ 메뉴를 클릭합니다
- 각 사용자의 역할을 확인합니다 (관리자, 편집자, 작성자 등)
- 더 이상 사이트 작업을 하지 않는 사용자는 삭제합니다
- 불필요하게 관리자 권한이 부여된 계정은 권한을 낮춥니다
- 관리자 계정의 비밀번호가 강력한지 확인합니다 (최소 12자, 대소문자/숫자/특수문자 조합)
주의사항: 기본 관리자 계정 이름이 ‘admin’인 경우 해커의 공격 대상이 되기 쉬우니 다른 이름으로 변경하세요.
3단계: 설치된 플러그인 및 테마 정리
사용하지 않는 플러그인과 테마는 숨겨진 보안 취약점이 될 수 있습니다. 현재 활성화되지 않은 항목들을 점검하세요.
- ‘플러그인’ 메뉴에서 전체 목록을 확인합니다
- 비활성화 상태인 플러그인 중 향후 사용 계획이 없는 것은 ‘삭제’를 클릭합니다
- ‘외모’ > ‘테마’ 메뉴로 이동합니다
- 현재 사용 중이지 않은 테마를 삭제합니다 (기본 테마 하나는 남겨두는 것이 좋습니다)
- 마지막 업데이트가 2년 이상 된 플러그인은 보안 위험이 있으니 대체품을 찾아보세요
주의사항: 플러그인을 비활성화만 하고 삭제하지 않으면 여전히 공격 대상이 될 수 있습니다. 사용하지 않으면 완전히 삭제하세요.
4단계: 로그인 시도 및 보안 로그 확인
누군가 여러분의 사이트에 무단 접근을 시도했는지 확인하는 것이 중요합니다. 보안 플러그인의 로그 기능을 활용하세요.
- 보안 플러그인의 활동 로그나 대시보드를 엽니다
- 최근 로그인 실패 시도를 확인합니다
- 같은 IP 주소에서 반복적인 로그인 시도가 있는지 살펴봅니다
- 낯선 지역이나 국가에서의 접근 시도가 있는지 점검합니다
- 의심스러운 IP는 차단 목록에 추가합니다
주의사항: 본인의 IP 주소를 실수로 차단하지 않도록 주의하세요. 차단 전에 현재 사용 중인 IP를 메모해두세요.
5단계: 백업 파일 존재 및 복원 테스트
보안 사고가 발생했을 때 가장 확실한 해결책은 정상적인 백업으로 복원하는 것입니다. 백업이 제대로 작동하는지 확인하세요.
- 사용 중인 백업 플러그인의 설정 화면을 엽니다
- 최근 백업이 정상적으로 완료되었는지 확인합니다
- 백업 파일이 저장된 위치를 확인합니다 (외부 클라우드 저장소 권장)
- 가능하다면 테스트 환경에서 백업 파일로 복원 테스트를 진행합니다
- 자동 백업 일정이 올바르게 설정되어 있는지 점검합니다
주의사항: 백업 파일을 워드프레스가 설치된 동일한 서버에만 보관하면 서버 전체가 공격받았을 때 백업도 함께 손실됩니다.
6단계: 파일 및 데이터베이스 권한 점검
워드프레스 파일과 데이터베이스에 적절한 권한이 설정되어 있는지 확인하세요. 이는 조금 기술적이지만 매우 중요합니다.
- FTP 프로그램이나 호스팅 파일 관리자에 접속합니다
- wp-config.php 파일의 권한이 400 또는 440으로 설정되어 있는지 확인합니다
- wp-content 폴더의 권한은 755, 내부 파일은 644가 적절합니다
- wp-admin과 wp-includes 폴더도 755 권한을 확인합니다
- 데이터베이스 접속 정보가 wp-config.php에만 있고, 다른 곳에 노출되지 않았는지 점검합니다
주의사항: 파일 권한을 잘못 설정하면 사이트가 작동하지 않을 수 있습니다. 변경 전에 현재 설정을 기록해두세요.
자주 하는 실수들
워드프레스 보안 점검을 하면서 초보자들이 흔히 저지르는 실수들이 있습니다.
- 업데이트를 미루는 습관: 바쁘다는 이유로 업데이트를 계속 미루면 알려진 취약점을 통한 공격에 노출됩니다
- 무료 플러그인만 맹신하기: 공식 저장소에 있는 무료 플러그인도 개발이 중단되거나 보안 문제가 있을 수 있습니다
- 같은 비밀번호 재사용: 여러 사이트나 서비스에 같은 비밀번호를 사용하면 한 곳이 뚫렸을 때 모두 위험해집니다
- 보안 플러그인 설치 후 방치: 보안 플러그인을 설치만 하고 설정하지 않거나 로그를 확인하지 않으면 효과가 없습니다
- 공용 와이파이에서 관리자 로그인: 카페나 공공장소의 와이파이는 보안이 취약해 정보가 탈취될 수 있습니다
정기적인 보안 점검 일정 만들기
보안 점검은 일회성이 아니라 지속적인 활동입니다. 자신에게 맞는 점검 주기를 정하세요.
주간 점검 (매주 월요일):
- 업데이트 알림 확인 및 적용
- 보안 로그 간단히 살펴보기
- 최근 백업 상태 확인
월간 점검 (매월 첫째 주):
- 사용자 계정 전체 검토
- 설치된 플러그인 및 테마 정리
- 로그인 시도 및 보안 로그 상세 분석
- 백업 복원 테스트 (분기별로도 충분)
분기별 점검 (3개월마다):
- 파일 및 데이터베이스 권한 전체 점검
- 보안 정책 전반 재검토
- 새로운 보안 위협 정보 확인
마무리
워드프레스 보안 점검 루틴은 처음에는 복잡해 보일 수 있지만, 몇 번 반복하면 자연스럽게 익숙해집니다. 가장 중요한 것은 꾸준함입니다. 한 달에 한 번이라도 정기적으로 점검하는 습관을 들이면, 심각한 보안 사고를 미연에 방지할 수 있습니다.
이 글에서 소개한 6단계 점검 루틴을 체크리스트로 만들어서 매번 확인하면 빠뜨리는 항목 없이 체계적으로 관리할 수 있습니다. 보안은 한 번에 완성되는 것이 아니라 지속적인 관리를 통해 유지되는 것임을 기억하세요.
오늘부터 작은 습관으로 시작해보세요. 매주 월요일 아침 5분만 투자해서 업데이트를 확인하고, 매달 첫째 주에는 20분 정도 전체 보안 상태를 점검하는 것만으로도 사이트를 훨씬 안전하게 지킬 수 있습니다.
