wp-login.php 파일에 직접 접근하면 워드프레스의 기본 로그인 창이 뜨는데, 몇몇 고객들은 이것을 달가워하지 않는다. 그래서 이것을 막아달라는 요청을 하는데, wp-login.php는 사실 로그인, 로그아웃에 대한 백엔드를 담당하는 역할을 맡고 있기 때문에 접근 자체를 차단하는 것은 바람직하지 않다.
더 보기 “wp-login.php 직접 접근을 리다이렉트”태그: 로그인
워드프레스의 보안 키와 쿠키
워드프레스 wp-config.php 파일에 있는 보안 설정과 쿠키와의 관계를 설명하였습니다. 쿠키가 어떻게 사용자를 인식하는데 사용되는지에 대해서도 설명하였습니다.
보안 키란?
wp-config.php 파일을 보면 이런 내용이 있는 것을 보실 수 있습니다.
define( 'AUTH_KEY', 't`DK%X:>xy|e-Z(BXb/f(Ur`8#~UzUQG-^_Cs_GHs5U-&Wb?pgn^p8(2@}IcnCa|' );
define( 'SECURE_AUTH_KEY', 'D&ovlU#|CvJ##uNq}bel+^MFtT&.b9{UvR]g%ixsXhGlRJ7q!h}XWdEC[BOKXssj' );
define( 'LOGGED_IN_KEY', 'MGKi8Br(&{H*~&0s;{k0<S(O:+f#WM+q|npJ-+P;RDKT:~jrmgj#/-,[hOBk!ry^' );
define( 'NONCE_KEY', 'FIsAsXJKL5ZlQo)iD-pt??eUbdc{_Cn<4!d~yqz))&B D?AwK%)+)F2aNwI|siOe' );
define( 'AUTH_SALT', '7T-!^i!0,w)L#JK@pc2{8XE[DenYI^BVf{L:jvF,hf}zBf883td6D;Vcy8,S)-&G' );
define( 'SECURE_AUTH_SALT', 'I6`V|mDZq21-J|ihb u^q0F }F_NUcy`l,=obGtq*p#Ybe4a31R,r=|n#=]@]c #' );
define( 'LOGGED_IN_SALT', 'w<$4c$Hmd%/*]`Oom>(hdXW|0M=X={we6;Mpvtg+V.o<$|#_}qG(GaVDEsn,~*4i' );
define( 'NONCE_SALT', 'a|#h{c5|P &xWs4IZ20c2&%4!c(/uG}W:mAvy<I44`jAbup]t=]V<`}.py(wTP%%' );
(위 코드는 https://codex.wordpress.org/Editing_wp-config.php#Security_Keys 에서 가져왔습니다. 이 값을 복사해서 쓰지 마세요. 반드시 여기와 같은 곳에서 제대로 난수적으로 나오는 값을 사용하세요.)
워드프레스의 패스워드 해싱 방법 노트
워드프레스의 로그인을 이해하기 위한 한 조각의 스터디 결과입니다. 데이터베이스 유저 테이블을 보면 늘 저 패스워드 해시값은 어떻게 만들어졌을까 궁금했었는데, 조금 더 자세하게 조사해 봤습니다.
해싱 방법
워드프레스는 Portable PHP password hashing framework(phpass)를 사용하여 패스워드를 해싱한다. 이 프레임워크에서는 PHP5.5이후의 내장된 password_hash(), password_verify()를 사용하는 것이 권장하며, 자신들은 그 이전 프로젝트를 위한 호환성을 보장한다고 한다. 워드프레스 최소 환경이 5.2.9인 것을 감안하면 그렇게 해야 할 듯.
예를 들어 설명하는 것이 낫겠다. 워드프레스에서 시험적으로 ‘guest’라는 계정과 ‘guest’라는 매우 취약한 패스워드를 사용하여 계정을 만들었다. 그러면 패스워드 해쉬 값은 ‘$P$ByCNnCoqFGHDSjIkWjlf8heBFfLJLI1’로 나오게 된다.