처음 입장한 페이지가 구릴 수 있습니다.
하지만 저희는 모든 세팅을 마친 후에 디자인도 건들 것이므로 안심하십시오.
워드프레스가 도메인 주소에 잘 붙어있다면 우선 우리가 해야 할 것은 로그인 정보를 찾아 로그인 하는 것입니다.
처음 인스턴스를 생성한 곳으로 돌아가 SSH를 사용하여 연결 을 쓰겠습니다.
까만 창에 어쩌라고 알 수 없는 문자가 빼곡합니다.
우리가 써야 할 명령어는 간단합니다.
cat bitnami_application_password
유닉스 명령어의 복사 붙여넣기는 ctrl v가 아닙니다. 괜한 거 눌렀다가 창 닫고 끄지 마시고 일일히 치세요. 아니면 유닉스 복붙 검색하셔서 하셔도 됩니다. 그치만 짧잖아요? 짧은 편이잖아?? 그냥 타이핑 하세요.
답변은 매우 빠르게 올라오니 다음 행에 뜬 무작위 문자열을 복사해주세요. ctrl c는 먹힙니다 두려워 마세요.
그리고 다시 내 도메인으로 연결한 워드프레스 구린 창을 꺼내줍시다.
로그인 버튼을 찾아보세요! 찾았나요?
로그인을 하려고 하면 어?? 우리가 복사한 건 비밀번호 뿐이었는데?
맞습니다! 아이디는 user 공통입니다. 그러니 보안을 위해서 추후 이 로그인 정보는 지우는 것이 좋습니다.
로그인을 하면? 두두두둥! 대시보드가 뜨면서 이제 우리가 마음대로 할 수 있습니다.
뭔가 많~~~습니다.
해야 할 것도 많~~~아요.
우선은 사용자 설정부터 해봅시다.
탭 쭈우욱 내려가면서 사용자를 누릅니다. user가 있을 것인데, 삭제를 무턱대고 누르면 현재 로그인 중이라 안된다고만 퉤에엣 뱉을테니 침착하게 새로 추가 버튼을 눌러 새 사용자를 추가합니다.
회원 가입하듯 쉽게 쉽게 뚝 딱 넘어갈 수 있습니다. 단 프로필 사진 영역 위에 역할을 관리자로 바꾸는 것을 잊지 마세요!
가입한 직후에 이메일을 확인하라는 알림이 뜰 것인데, 해당 알림을 해결하기 위해서는 이메일 플러그인이 필요합니다. 무시해도 일단은 상관없으므로 지금은 지나갑니다.
이 상태에서 로그아웃을 한 후에 방금 생성한 새 계정으로 로그인 합니다. 그러면 꿉꿉한 기본 가입 계정을 날려보낼 수 있습니다!
플러그인을 추가해봅시다!
워드프레스는 남이 만든 플러그인을 추가하는 것으로 이런 저런 기능을 갖다 붙여 완성작을 만드는 그런 시스템이므로 주기적으로 어 이거 필요한데! 하면 이미 남들도 필요성을 느끼고 만들어두었을 경우가 있으니 자주자주 검색해봅시다.
이하는 제가 설치한 플러그인 리스트입니다.
Akismet Anti-Spam: Spam Protection : 아키스밋은 댓글, 방명록 등등에 스팸이 글을 남기는 것을 방지하는 기능입니다. 구글 애드센스를 붙이지 않았을 경우에 한해 무료로 사용가능합니다.
Category Order and Taxonomy Terms Order : 아쉽게도 워드프레스는 생성 순서로 카테고리를 정렬해주지 않습니다. 해당 기능을 사용하는 것으로 글 탭의 Taxonomy Order 페이지에서 카테고리를 재정렬할 수 있습니다.
Gwolle Guestbook : 방명록입니다.
Include Mastodon Feed : 마스토돈 피드를 표시합니다. 트위터나 인스타그램 등등도 있음 (다만 유료임)
Solid Security Basic (구 iThemes Security) : 워드프레스 보안 플러그인. 필수로 설치하세요.
Mastodon Autopost : 워드프레스에 글을 작성했을 때 자동으로 마스토돈으로 툿을 올려주는 기능입니다.
One User Avatar : 가입한 유저에 한 해 프로필 사진이 들어가는 곳에 자동으로 이미지를 넣어주는 기능.
OtFm Gutenberg Spoiler : 접기 기능. 편집기에서 ‘box spolier start’ ‘box spolier end’ 블럭으로 영역을 지정한 후에 두 블럭 사이에 글을 작성하면 start 블럭 첫줄에 남긴 문단 외에는 숨겨집니다.
Post Views Counter : 글 열람 수 체크 기능. 대시보드에 그래프로 보이게 할 수도 있습니다.
ReCaptcha v2 for Contact Form 7 : Contact Form 7 플러그인에 연동하여 리캡챠 자동 봇 방지 프로그램을 쓸 수 있는 기능.
Ultimate Member – reCAPTCHA : Ultimate Member 플러그인에 연동하여 리캡챠 자동 봇 방지 프로그램을 쓸 수 있는 기능. 필수로 설치하세요.
WP Bulk Delete : 임시로 자동저장되는 글들이 많은데 그것들을 일괄 날려버리는 기능입니다.
WP mail SMTP : 메일 기능이 필요할 때 작동하여 이메일을 보내주는 플러그인입니다.
WP-Optimaize : 캐시 플러그인. 최근 들어 자동 캐시 플러그인을 워드프레스에서 요구하고 있기 때문에 설치했습니다. 자동으로 데이터베이스 최적화와 캐시 비우기를 해줍니다. 필수로 설치하세요.
Contact Form 7 : 메일 폼 기능으로 쓰고 있습니다. 내용은 최대 500자.
Ultimate Member : 회원 가입, 로그인 페이지, 가입한 사용자의 개인 정보 관리, 강제 탈퇴 등등의 기능을 통합한 회원 관리 플러그인입니다. 쇼핑몰의 경우 필수적이나 개인 사이트의 경우 무분별한 로그인 시도를 막는데 유의미합니다. 필수로 설치하세요.
각종 플러그인은 설치 후 각자의 세팅을 요구합니다. 그 중 가장 우선도가 높은 것들을 살펴보겠습니다.
WP mail SMTP :
유료 기능이 있으나, 안 써도 됩니다. 우리는 인증 메일을 받는 게 목표입니다!
메일 세팅은 메일 업체에 따라 다르지만 SMTP 지원을 하는 곳이라면 다 똑같습니다.
발신 이메일에는 메일을 보내는 사람으로 찍힐 메일 주소를 입력해 주시면 됩니다. 지메일이나 아웃룩이나. 개인 메일 주소가 있다면 그것을 적어도 됩니다.
발신인명은 메일을 보낸 사람으로 찍힐 이름을 적으면 됩니다.
mailer 타입은 기타 SMTP로 고릅니다.
그러면 SMTP 호스트부터 입력하면 되는데, smtp. 로 시작하는 주소가 각각 있습니다. 지메일이라면 smtp.gmail.com , 아웃룩은 smtp-mail.outlook.com 입니다.
암호화는 SSL 또는 TLS 둘 중 하나 고르면 되는데 지원하는 것에 따라 다릅니다. 둘 다 있다면 TLS를 고르면 됩니다.
SMTP 포트는 지메일 아웃룩 둘 다 587
SMTP 사용자 이름은 가입한 이메일 전체 계정을 적어주면 됩니다. 이를테면 wintershrimp@noxexcelsis.email 입니다.
SMTP 비밀번호는 로그인할 때 입력하는 비밀번호와 동일합니다.
SMTP 기능을 활성화하기 위해서, 지메일이나 아웃룩이나 2단계 인증을 요구하는데 해당 절차에 맞게 수행하면 됩니다.
모든 설정을 마친 후에 테스트 이메일을 발송하게 되는데, 문제 없이 완료 되었다면 이 때 관리자 계정을 인증하면 됩니다! 끗!
iThemes Security :
setting 탭: 보이는 feature 의 모든 항목을 켜줍니다. Two-factor의 경우 이중 로그인이므로 필요에 따라 켜주세요.
configure 탭: global settings 가서 write to files 를 체크합니다. 이하의 세팅은 로그인 실패한 유저에게 (덧붙여 브루트 포스 어택을 하는 써글놈들을 처분하는) 주는 패널티입니다.
minutes to lockout 은 접속 불가능한 시간입니다. 분 단위라는 것을 감안해 입력해주세요. 저는 9를 여섯 개 눌렀습니다.
days to remember lockouts 은 접속 불가하게 만든 IP를 얼마나 기억할지 입니다. 날짜 단위라는 것을 감안해 입력해주세요. 저는 9를 여섯 개 눌렀습니다.
ban repeat offender는 밴 당한 IP 목록을 계속 기억하면서 새로 리스트에 추가하겠다는 것이므로 체크 상태로 둡니다
ban threshold 는 영구히 밴 해버리기 전에 해당 IP를 몇 회 동안 기억할 지 입니다. 1로 입력했습니다.
lokout messages 는 밴 당한 IP로 접속한 사람이 보는 메시지입니다. 안 바꿔도 됩니다.
Authorized hosts 는 사용하는 IP가 고정적일 경우 (KT는 안됩니다 SKT 가능) 해당 IP 주소를 기억해 예외 처리하는 기능입니다.
그 밑은 위를 통해 저장될 로그를 파일로 저장할지, 데이터베이스로 저장할지, 양쪽 다 저장할지 인데 기본값이 both 라면 그냥 두어도 될 거 같습니다. 양쪽 다 영구 보존은 아니고 데이터베이스의 경우 기본 60일, 파일일 경우 180일 보존됩니다.
UI Tweaks 는 관리자 탭에 바로가기를 두는 건데 저는 깔끔하게 안 보이도록 체크했습니다.
ban users 탭에서는 local brute force 를 엽니다. Automatocally ban “admin” user 는 반드시 체크해주세요. 나중에 확인하면 알겠지만 이렇게 마구잡이로 공격해서 서버 다운시키려는 그지같은 것들이 많습니다. 그 밑으로는 순서대로 한 호스트마다 몇 번의 로그인 기회를 줄 지 입니다. 1로 대폭 줄여서 한 번 틀리면 바로 밴되게 만들 수도 있지만 본인이 한두번은 틀린다면 2로 지정하는 게 심신에 평안합니다.
만약 내 IP까지 같이 밴당했는데 접속할 방법이 없다면 파일질라를 통해 파일 변경을 하는 것으로 풀어줄 수 있습니다. 자세한 내용은 https://ko.linux-console.net/?p=8787#gsc.tab=0 를 참고해주세요.
Network brute force 탭은 서버에서 자동으로 차단해주는 시스템인데 사이트를 API 키로 연결해야 합니다. 초회 작동시에 API 키를 발급받게 링크를 띄울테니 해당 과정을 밟아 발급한 뒤 활성화하시면 됩니다.
맨 아래 Advanced 기능에서 중요한 것은 wordpress tweaks 에 disable file editor 가 첫 줄에 있는데 이것을 반드시 해제해주셔야 합니다. 테마 파일 편집기를 잠그는 것으로 해킹을 방지하는 의도가 있지만 우리도 편집기를 써야 할 때 이것이 잠겨버리면 쓸 수가 없으므로 열어줍니다.
users 에서는 로그인 할 때 유저네임 (영문) 이나 이메일 둘 중 무엇으로 로그인하게 할 것인가 인데, 브루트 포스 어택을 하는 놈들은 보통 메일주소까지 길게 넣지 않으므로 email address only 로 설정하면 좋습니다. 그 아래는 회원 가입하는 유저들이 겹치지 않는 이름을 쓰도록 강제하거나, 활동이 없는 유저를 잠그는 기능인데 개인 사이트의 경우 별 볼 일 없으니 기본값으로 둡니다.
나머지는 각 앱에 맞게 설정을 한 후에 페이지를 만들어주면 됩니다!