티스토리 뷰
요즘 워드프레스 사이트 운영하다 보면 REST API 때문에 고민이 많았어요. 보안 취약점이란 말이 자꾸 귀에 박히고, 나도 모르는 사이에 해커가 내 사이트를 털어갈까 봐 말이죠. 솔직히 이 기능을 그냥 둘 것인지, 아니면 꺼버릴 것인지 한참 고민했어요.
REST API, 왜 이리 조심해야 하나?
워드프레스 REST API는 사이트와 외부 앱, 모바일과도 쉽게 연결할 수 있게 해줘요. 그런데, 이게 바로 해커들이 노리는 뒷문이기도 하죠. 특히, 이 API가 그대로 활성화돼 있으면 누구든 사이트의 데이터를 탈취하거나, 심지어 관리자 계정을 생성하는 심각한 취약점이 발생할 수 있어요. 실제로 이걸로 사이트 전체가 날아간 사례도 봤어요...
내 경험, REST API로 낭패 본 적 있어요
저도 한 번, 모르는 사이에 REST API를 통한 공격을 당했던 적이 있어요. 플러그인 자동 업데이트도 꺼놨던터라, REST API를 통해 관리자 계정이 만들어졌는데, 나중에야 알았죠. 그때 이후로는 무조건 비활성화했어요. 그런데, 뭐든 극단적으로 하면 또 불편하긴 하죠. 이건 각자 상황에 맞게 선택해야 할 문제예요.
REST API 비활성화, 직접 해본 방법
가장 쉬운 방법은 ‘Disable WP REST API’라는 플러그인을 설치하는 거예요. 이걸 설치하면 로그인하지 않은 사람들은 아예 API 접근이 안 돼요. 코드로 직접 넣는 방법도 있지만, 플러그인으로 하면 몇 번 클릭으로 끝나니까 부담이 없어요. 그런데, API가 필요하면 당연히 꺼서는 안 되겠죠. 예를 들어, 모바일 앱이나 외부 서비스와 연동해야 한다면 말이에요.
완전히 꺼버리는 게 꼭 답일까?
모든 사이트가 REST API를 꺼야 하는 건 아니에요. 내 사이트가 API를 쓰고 있다면 꺼버리면 서비스가 망가질 수 있죠. 그래서 불필요한 API만 꺼주는 방식도 있어요. 예를 들어, /wp-json/wp/v2/users 이런 식으로 개인정보가 노출되는 엔드포인트만 꺼버리거나, API 접근을 관리자로만 제한하는 거죠. 이렇게 하면 보안은 지키면서 기능은 유지할 수 있어요.
내 결론, 이건 선택의 문제
어떻게 할지 고민된다면, 우선 내 사이트가 REST API를 실제로 쓰고 있는지부터 점검해보세요. 쓰지 않는다면 꺼버리는 게 좋겠죠. 혹시, 모르는 사이에 누가 내 사이트를 털어갈까봐 걱정된다면요. 그런데, 쓰고 있다면 무조건 꺼선 안 돼요. 이건 내 사이트 상황, 그리고 보안 수준에 따라 다르니까요.
잠깐만, 한 가지 더 중요한 점
아, 그리고 이것도 중요한데요. REST API를 꺼도 완벽한 보안이란 없어요. 최신 보안 플러그인 설치, 정기적 업데이트, 주기적 로그 확인 등 다른 보안 대책도 꼭 함께 챙기셔야 해요. 그래야 안심하고 운영할 수 있겠죠.
| REST API 사용 여부 | 권장 조치 | 비고 |
|---|---|---|
| 사용하지 않음 | 완전 비활성화 | 보안 위험 최소화 |
| 일부 사용 | 불필요한 엔드포인트만 차단 | 서비스 유지 가능 |
| 외부 연동 필요 | 인증 강화 + 엔드포인트 제한 | 보안과 기능 모두 확보 |
이건 내 생각이고, 각자 판단해볼 문제인 것 같아요. 아무쪼록 내 사이트가 안전하게 운영되길 바랄 뿐이에요.