최근 워드프레스로 사이트를 제작시 자주 언급되는게 로그인/회원가입/관리자 화면에서 보안접속(HTTPS)이 되는지에 대한 문의 입니다.
사실 '보안접속' 이라는 단어 보다는 '암호화'되는지에 대한 문의라고 하는게 더 맞겠네요.
'워드프레스가 아이디나 비번, 혹은 컨텐츠를 암호화 해 주나요?' 라고 말이죠.
'워드프레스가 암호화 한다기 보다는, 보안접속(HTTPS, SSL)을 통해 웹서버에서 암호화 해 주는 것입니다. 워드프레스에서는 접속 자체를 https로 하시면 됩니다' 라고 설명을 해 봐야 내용이 전달되기는 힘들죠.
워드프레스에서는 기본적으로 두가지 상수(Constant)를 지정함으로서 이를 쉽게 적용 할 수 있습니다.
우선, 워드프레스의 문서를 확인하시기 바랍니다.
http://codex.wordpress.org/Administration_Over_SSL
워드프레스의 설정파일(wp-config.php)에 아래 두 줄을 추가 해 주시면 됩니다.
define('FORCE_SSL_LOGIN', true);
define('FORCE_SSL_ADMIN', true);
이 외에 특정 경로 혹은 회원 등록 페이지에도 적용을 하려고 한다면, 플러그인을 적용 하는 방법과, Apache/Nginx 등 웹서버의 설정을 통해 적용해 주는 방법이 있습니다.
플러그인 으로서는 WordPress HTTPS라는 플러그인이 대표적이고, 이 외에도 워드프레스 ORG 플러그인 검색을 통해 몇가지 플러그인을 찾을 수 있었습니다.
플러그인은 아직 개인적으로 필요성을 느끼지 못해 사용해 본적이 없어서 어떤 플러그인이 좋다고 추천 해 드리기는 힘들고, 추후 사용하게 된다면 사용기를 다시 한 번 작성해 보도록 할께요.
다음 방법이 웹 서버 설정을 변경 하는 방법인데, 이 것 또한 간단한 정규식만 응용한다면 쉽게 적용할 수 있는 내용입니다.
Apache 웹서버를 사용하는 경우에는 서버 설정을 직접 바꾸지 않더라도 워드프레스 설치 폴더 혹은 웹 루트에있는 .htaccess 파일을 조금 수정할 수 있습니다. 해당 설명은 아래 Codex문서에 잘 표시되어있으니 이 글에서는 생략하기로 하겠습니다.
http://codex.wordpress.org/Administration_Over_SSL#Insecure
다음으로 Nginx 설정을 수정하는 방법을 예로 들어 보겠습니다.
nginx.conf 파일 혹은 가상서버 설정 파일에서 server 블록에 아래 내용과 같이 특정 경로를 적당히 위쪽에 추가 해 주시면 됩니다.
server {
listen 80; ## listen for ipv4
listen 443 ssl; ## https
……………
……………
# Force SSL
if ($ssl_protocol = "") {
rewrite ^(/[a-zA-Z0-9_-]+)?/(register|activate)/?.*$ https://$http_host$request_uri? permanent;
rewrite ^(/[a-zA-Z0-9_-]+)?/members/[^/]+/profile/edit/group/.*$ https://$http_host$request_uri? permanent;
rewrite ^(/[a-zA-Z0-9_-]+)?/wp-(login|signup|activate)\.php.*$ https://$http_host$request_uri? permanent;
……………
……………
}
위 내용은 버디프레스에서 회원등록 페이지와 각 회원이 정보를 수정하는 페이지를 보안접속으로 연결시키는 예제입니다.
물론 플러그인을 통한 admin-ajax 요청 등 예외사항이 발생하는 경우도 있지만, 위 방법을 통해서 기본적인 워드프레스 보안접속은 모두 적용이 될 것입니다.
특정 플러그인에서 보안접속 관련 문제가 지속적으로 발생한다거나, 간단한 해결법이 찾아지지 않는 경우에는 설정에서 워드프레스 주소를 https 로 바꾸어 버리는 것도 고려해 볼만한 사항입니다. 서버의 보안 인증서가 모든 브라우저를 지원하는 것이라면 방문자는 별다른 불편함이나 인식 없이 https로 모든 페이지를 접속하게 될 것입니다.
