2단계 인증 도입으로 관리자 계정 탈취를 원천 차단합니다

관리자 페이지 2단계 인증 설정을 서두르게 된 계기는 직원 한 명의 이메일 계정이 피싱으로 유출된 사건이었습니다. 다행히 워드프레스에 같은 비밀번호를 쓰지 않아서 직접 피해는 없었지만, “만약 같은 비밀번호를 썼다면?”이라는 생각에 바로 다음날 2FA를 도입했습니다. 비밀번호가 유출되더라도 2FA가 있으면 로그인이 차단됩니다.

WP 2FA 플러그인 설치

WP 2FA (Melapress 제작) 플러그인이 무료이면서 안정적입니다.

1. 워드프레스 관리자 → 플러그인 → 새로 추가 → “WP 2FA” 검색
2. 설치·활성화
3. 설정 마법사 실행

설정 시 선택 항목:

• 인증 방법: OTP 앱 (구글 OTP, Microsoft Authenticator 권장) 또는 이메일 OTP
• 적용 대상: 관리자만 필수, 또는 모든 역할 선택

병원 사이트는 관리자 역할 필수 적용을 권장합니다.

구글 OTP 연동

OTP 앱을 선택하면 QR 코드가 나타납니다.

1. 스마트폰에 Google Authenticator 또는 Microsoft Authenticator 앱 설치
2. 앱에서 QR 코드 스캔
3. 앱에서 생성되는 6자리 코드로 설정 완료

이후 로그인 시 비밀번호 입력 후 앱의 6자리 코드를 추가로 입력해야 합니다. 30초마다 코드가 바뀌므로 기록해두더라도 무용지물입니다.

로그인 흐름:
관리자 계정명 → 비밀번호 → OTP 6자리 코드

백업 코드 관리

설정 후 백업 코드를 반드시 저장하세요. 스마트폰을 분실하거나 앱을 삭제한 경우 유일한 복구 수단입니다.

WP 2FA → 백업 코드 → 코드 다운로드 또는 인쇄

코드는 안전한 오프라인 장소(잠금 서랍, 비밀번호 관리자 앱)에 보관하세요. 이메일에 저장하면 이메일 유출 시 함께 노출됩니다.

Nginx로 관리자 페이지 IP 제한 추가

2FA와 함께 관리자 IP만 /wp-admin 접근을 허용하면 이중 보호가 됩니다.

location /wp-admin {
    allow 관리자_IP_1;
    allow 관리자_IP_2;
    deny all;
}

고정 IP가 없다면 이 방법은 쓰기 어렵지만, 고정 IP가 있는 환경이라면 적극 추천합니다. 2FA + IP 제한 조합이면 관리자 계정 탈취는 사실상 불가능에 가깝습니다.