1. 워드프레스 설치 전 초기 설정 보안
① HTTPS (SSL) 설정 먼저 하기
- 무료 SSL 인증서(Let’s Encrypt)가 블루호스트에서 기본 제공돼요.
- 사이트 연결을 HTTPS로 강제 설정하면, 중간자 공격(정보 탈취) 위험을 줄일 수 있어요.
- “Force HTTPS” 옵션을 켜거나
.htaccess에 아래 코드 추가:RewriteEngine On RewriteCond %{HTTPS} !=on RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
② 기본 관리자 계정(ID: admin) 사용 금지
- 워드프레스 설치 시 ‘admin’ 계정을 그대로 쓰면 자동 공격 대상이 돼요.
- 설치 단계에서 다른 아이디(예: blogadmin, siteowner) 로 바꿔주세요.
- 비밀번호는 12자 이상, 대소문자+숫자+기호 조합으로.
2. 설치 직후 필수 보안 플러그인 설정
| 목적 | 추천 플러그인 | 설명 |
|---|---|---|
| 방화벽 & 실시간 감시 | Wordfence Security | 악성 코드 탐지, 로그인 제한 기능 |
| 악성 코드 스캔 | MalCare 또는 Sucuri Security | 서버 내부의 감염 파일 자동 탐지 및 치료 |
| 로그인 보호 | Limit Login Attempts Reloaded | 로그인 시도 횟수 제한 |
| 백업 | UpdraftPlus | 매일 자동 백업 + 원클릭 복원 |
⚠️ 플러그인은 필요한 것만 설치하세요. 너무 많으면 보안보다 성능 저하 및 충돌 위험이 큽니다.
3. 파일 및 서버 보안 설정
① 불필요한 파일/폴더 삭제
readme.html,license.txt,wp-config-sample.php는 삭제해도 무방합니다.- 설치 후
/tmp,/uploads폴더 내 임시 파일 주기적 점검.
② 파일 권한 설정
- 폴더: 755, 파일: 644 권장
wp-config.php는 400 또는 440 으로 제한하면 좋습니다.
③ 자동 업데이트 활성화
- 워드프레스, 테마, 플러그인을 항상 최신 버전으로 유지.
wp-config.php에 다음 코드 추가:define('WP_AUTO_UPDATE_CORE', true);
4. 블루호스트 패널 내 보안 옵션 활용
- SiteLock (유료) 옵션: 자동 악성코드 검사 및 제거.
- CodeGuard (백업 서비스): 해킹 감염 시 이전 상태로 복구 가능.
- SSH 비활성화: 개발용이 아니면 끄세요.
- 2단계 인증(2FA): 블루호스트 계정 로그인에도 설정 가능.
5. 감염 예방 실전 팁
- 테마나 플러그인은 반드시 공식 워드프레스 저장소 또는 정식 유료 사이트에서만 다운로드.
- 크랙 버전 테마/플러그인(nulled theme/plugin)은 99% 악성코드 포함.
- 관리자 URL을 기본
/wp-admin에서/myadmin등으로 변경 (WPS Hide Login플러그인 사용). - 블루호스트 내 보안 알림 메일은 무시하지 말고 즉시 확인.
결론
블루호스트에서 웹호스팅을 시작할 때는
“SSL 설정 → 관리자 계정 보안 → 플러그인 최소화 → 자동 백업 및 실시간 감시 활성화”
이 4가지만 철저히 지켜도 90% 이상의 멀웨어 위험을 차단할 수 있습니다.