Sandman의 Blah~ Blah~ Blah~

금번 사이트 이전 작업을 하며 진행한 보안 작업을 정리해봅니다.

단, 아래의 내용은 로그인 서비스를 제공하는 페이지가 아닌 관리자만 존재하는 정보 제공형 홈페이지에서 가능하며 현재까지는 싱글 사이트에서만 정상적으로 작동합니다.(멀티사이트 적용 불가!)

1. 일반 사용자 페이지와 관리자 페이지를 다른 port (8000번 포트)로 분리.

고객사는 사용자가 접근하는 일반적인 페이지와 관리자가 접근하는 페이지(흔히 /wp-admin 경로에 위치한)를 서로 분리하여 관리자 페이지는 특정 포트에서만 접근 가능하도록 하기를 원하였습니다.

1-1. wp-config.php 파일 수정

파일 마지막에 아래와 같은 내용을 추가해줍니다.

switch ($_SERVER[‘SERVER_PORT’]) {

// Admin site

case “8000”:

define( ‘WP_HOME’, ‘http://www.abc.co.kr:8000’ );

define( ‘WP_SITEURL’, ‘http://’ . $_SERVER[‘HTTP_HOST’] . ” );

define( ‘WP_CONTENT_DIR’, dirname(__FILE__) . ‘/home/abc/www/wp-content’ );

define( ‘WP_PLUGIN_DIR’, dirname(__FILE__) . ‘/home/abc/www/wp-content/plugins’ );

define( ‘DOMAIN_CURRENT_SITE’, ‘http://www.abc.co.kr:8000’ );

break;

// Live site

default:

define( ‘WP_HOME’, ‘http://www.abc.co.kr’ );

define( ‘WP_SITEURL’, ‘http://www.abc.co.kr’ );

define( ‘WP_CONTENT_URL’, ‘http://www.abc.co.kr/wp-content’ );

define( ‘WP_PLUGIN_URL’, ‘http://www.abc.co.kr/wp-content/plugins’ );

define( ‘DOMAIN_CURRENT_SITE’, ‘http://www.abc.co.kr’ );

}

1-2. Apache VirtualHost 설정 파일 수정

일반 사용자가 접근하는 80 포트의 VirtualHost 설정 파일에 아래의 내용을 추가합니다.

<FilesMatch wp-login.php>

Deny from all

</FilesMatch>

- 일반 사용자들이 wp-login.php 파일에 접근할 수 없게 만들어 관리자 페이지에 접속할 수 없게 합니다.

- 해당 옵션에 워드프레스가 설치된 디렉토리에 제공하는 다른 파일(wp-signup.php 등)도 추가하여 일반 사용자의 접근을 제어할 수 있습니다.

관리자가 접근하는 8000 포트의 VirtualHost 설정 파일에 아래의 내용을 추가합니다.

<FilesMatch wp-login.php>

Deny from all

Allow from xxx.xxx.xxx.xxx

</FilesMatch>

- xxx.xxx.xxx.xxx 에 접근을 허용할 IP를 적어줍니다.

여기까지 진행하고 Apache 프로세스를 restart 하면 일반 사용자는 관리자 페이지에 접속할 수 없고 관리자만이 지정된 IP에서 8000번 포트에서 실행되는 관리자 페이지(http://www.abc.co.kr:8000/wp-admin)에 접속할 수 있게 됩니다.

Admin site 부분의 설정값을 수정하여 http://admin.abc.co.kr:8000/wp-admin 과 같이 다른 URL로 접근 가능하게할 수도 있습니다.

단, 이렇게 할 경우 kboard 플러그인에서 첨부 파일 삭제 기능이 동작하지 않습니다. 해당 기능을 사용하기 위해서는 kboard 플러그인 파일을 수동으로 수정해야 합니다.

수정해야할 파일은 kboard/execute/ 아래의 backup.php, delete.php, download.php 파일입니다. 

kboard_modified.zip

2. 추가로 포트 분리와는 상관없지만 웹쉘(Webshell) 방지를 위해서 php 직접 실행을 방지하는 방법을 정리합니다.

일반 사용자가 접근하는 80 포트의 VirtualHost 설정 파일에 아래의 내용을 추가합니다.

<LocationMatch “(wp-includes|wp-content/themes|wp-content/plugins)”>

Allow from all

</LocationMatch>

워드프레스가 설치된 디렉토리에 위치한 /wp-includes, /wp-contents 디렉토리에 아래의 내용을 포함한 .htaccess 파일을 만들어 업로드 합니다.

<FilesMatch “(htaccess|htpasswd|[Pp][Hh][Pp]|[Pp]?[Hh][Tt][Mm][Ll]?|[Ii][Nn][Cc]|[Cc][Gg][Ii]|[Pp][Ll])”>

Deny from all

</FilesMatch>

단, 이렇게 할 경우 kboard 플러그인에서 첨부 파일 삭제 기능이 동작하지 않습니다.

해당 기능을 사용하려면 /wp-includes 디렉토리에만 .htaccess 파일을 업로드하면 됩니다.

3. 403, 404 에러 발생 시 불필요한 정보 노출 차단

일반 사용자가 접근하는 80 포트의 VirtualHost 설정 파일에 아래의 내용을 추가합니다.

ErrorDocument 400 http://www.abc.co.kr/404

ErrorDocument 401 http://www.abc.co.kr/404

ErrorDocument 402 http://www.abc.co.kr/404

ErrorDocument 403 http://www.abc.co.kr/404

ErrorDocument 404 http://www.abc.co.kr/404

위와 같이 하여 403 이나 404 에러를 발생시 특정 경로의 위치가 노출 되는 것을 차단합니다.

400~404 에러 중 어떤 에러가 발생해도 모두 동일한 에러 페이지를 보여주게 됩니다.

참고 사이트 : Accessing wp-admin on a different port/url (6 posts)

워드프레스 슬라이더 레볼루션(RevSlider) 취약점 관련 보안 권고 사항 WordPress Tip