워드프레스 관리자 로그인 URL 변경은 가장 단순하지만 효과가 즉각적인 보안 조치 중 하나입니다. 제가 관리하는 병원 사이트 세 곳 모두 /wp-admin으로 하루 평균 300~500건의 로그인 시도가 들어오고 있었습니다. 대부분은 자동화된 봇이 admin/admin, admin/123456 같은 조합을 반복하는 브루트포스 공격이었습니다. fail2ban을 설정하기 전, 가장 먼저 시도한 것이 로그인 URL 변경이었는데 — 결과는 극적이었습니다.
별도의 코딩 없이도 무료 플러그인으로 해결됩니다. WPS Hide Login 플러그인이 가장 신뢰도 높고 충돌이 적습니다.
secure-login-2025)변경 즉시 /wp-admin 접근 시 404 오류가 반환됩니다. 새 URL로만 로그인 가능해집니다.
기존: https://병원도메인.com/wp-admin
변경: https://병원도메인.com/secure-login-2025
새 URL은 팀원들과만 공유하고, 브라우저 북마크에 저장해두세요.
로그인 URL만 바꾼다고 끝이 아닙니다. 몇 가지 주의사항이 있습니다.
새 URL을 잊어버리면 잠길 수 있습니다. FTP나 호스팅 파일 관리자에서 플러그인 폴더를 삭제하면 원래 /wp-admin으로 돌아옵니다. 복구 방법을 미리 알아두세요.
xmlrpc.php도 함께 차단하세요. 로그인 URL을 바꿔도 xmlrpc.php를 통한 우회 공격이 가능합니다. Nginx 설정에서 아래를 추가하면 됩니다.
location = /xmlrpc.php {
deny all;
return 403;
}
로그인 시도 제한 플러그인도 병행 사용을 권장합니다. Limit Login Attempts Reloaded를 함께 쓰면 새 URL을 알아냈더라도 5회 이상 실패 시 차단됩니다.
URL 변경 적용 다음날 Nginx 액세스 로그를 확인했을 때, /wp-admin 요청이 여전히 수백 건이었지만 전부 404 응답이었습니다. 봇들은 새 URL을 모르니 계속 헛다리를 짚고 있었고, 서버 PHP 처리 부하가 눈에 띄게 줄었습니다. 실제 로그인 관련 PHP 실행이 없어졌으니 당연한 결과였습니다.
병원 사이트 특성상 공인된 관리자가 2~3명뿐이라 URL을 팀 채팅방에 한 번 공유하는 것으로 운영 불편함도 없었습니다. 설정 시간 5분, 효과는 즉각적입니다. 보안 강화를 시작하는 첫 단계로 가장 추천하는 조치입니다.
AI가 초안을 생성하고, 의료기관 인프라 운영자가 1차 데이터 기반으로 최종 검수·승인합니다.
작성·검수: WavePix 운영자 (의료기관 3곳 인프라 전담)