워드프레스 환경변수와 wp-config.php 보안 설정을 강화한 건 보안 점검 중 wp-config.php의 파일 권한이 644로 돼 있어서 서버의 다른 PHP 프로세스도 읽을 수 있었던 것을 발견했을 때입니다. 공유호스팅에서 특히 위험하지만, VPS에서도 최소 권한 원칙을 지켜야 합니다.
# 파일 소유자를 웹서버 사용자로 설정
sudo chown www-data:www-data /var/www/html/wp-config.php
# 권한을 400 (소유자 읽기만) 또는 440으로 설정
sudo chmod 400 /var/www/html/wp-config.php
# 현재 권한 확인
ls -la /var/www/html/wp-config.php
sudo nano /etc/nginx/sites-available/default
# wp-config.php 직접 HTTP 접근 차단
location = /wp-config.php {
deny all;
return 403;
}
# 숨김 파일 접근 차단 (.htaccess, .env 등)
location ~ /\. {
deny all;
access_log off;
log_not_found off;
}
# 새 보안 키 생성 (API로 가져오기)
curl https://api.wordpress.org/secret-key/1.1/salt/
# 또는 WP-CLI로 자동 갱신
wp config shuffle-salts --path=/var/www/html --allow-root
# wp-config.php를 웹루트 한 단계 위로 이동 (워드프레스가 자동으로 찾음)
sudo mv /var/www/html/wp-config.php /var/www/wp-config.php
sudo chown www-data:www-data /var/www/wp-config.php
sudo chmod 400 /var/www/wp-config.php
# 워드프레스가 자동으로 부모 디렉토리에서 wp-config.php를 찾습니다
# 별도 설정 불필요
wp-config.php는 워드프레스에서 가장 민감한 파일입니다. DB 자격증명, 보안 키, 디버그 설정이 모두 여기 있습니다. 파일 권한 400 + Nginx 직접 접근 차단 + 웹루트 밖 이동, 이 세 가지가 기본 보호 레이어입니다.
AI가 초안을 생성하고, 의료기관 인프라 운영자가 1차 데이터 기반으로 최종 검수·승인합니다.
작성·검수: WavePix 운영자 (의료기관 3곳 인프라 전담)