워드프레스 파일 편집기 비활성화가 얼마나 중요한지 실감한 건 관리자 계정이 탈취된 사이트를 복구할 때였습니다. 공격자는 관리자 계정으로 로그인한 뒤 외모 → 테마 파일 편집기에서 functions.php에 악성 PHP 코드를 삽입했습니다. 서버 SSH 접근이나 FTP 없이도, 브라우저에서 워드프레스 관리자 패널만으로 코드 전체를 바꿀 수 있었던 것입니다. 파일 편집기를 미리 비활성화했더라면 피해를 훨씬 줄일 수 있었을 겁니다.
wp-config.php 파일에 두 줄을 추가합니다.
define('DISALLOW_FILE_EDIT', true);
define('DISALLOW_FILE_MODS', true);
DISALLOW_FILE_EDIT: 관리자 패널의 테마·플러그인 파일 편집기를 완전히 숨깁니다DISALLOW_FILE_MODS: 플러그인·테마 설치 및 업데이트까지 막습니다 (더 강력, 운영 불편 증가)일반적으로는 DISALLOW_FILE_EDIT만 추가하는 것을 권장합니다. 플러그인 업데이트까지 막으면 보안 패치 적용이 번거로워집니다.
# wp-config.php에서 적용 위치
sudo nano /var/www/html/wp-config.php
# /* That's all, stop editing! */ 줄 바로 위에 추가
define('DISALLOW_FILE_EDIT', true);
설정 후 워드프레스 관리자에 로그인해서 외모 메뉴를 열어보면 “테마 파일 편집기” 항목이 사라진 것을 확인할 수 있습니다. 플러그인 메뉴에서도 “플러그인 파일 편집기”가 없어집니다.
코드 변경 없이 빠르게 확인하려면 브라우저에서 직접 URL로 접근해봅니다.
https://병원사이트.com/wp-admin/theme-editor.php
“죄송합니다. 이 서비스는 허용되지 않습니다” 메시지가 나오면 정상 적용된 것입니다.
파일 편집기 비활성화는 시작일 뿐입니다. 관리자 계정 탈취 피해를 최소화하려면 함께 적용해야 할 설정들이 있습니다.
관리자 계정이 탈취되더라도 피해가 파일 수정으로 번지지 않도록 막는 것이 핵심입니다.
AI가 초안을 생성하고, 의료기관 인프라 운영자가 1차 데이터 기반으로 최종 검수·승인합니다.
작성·검수: WavePix 운영자 (의료기관 3곳 인프라 전담)