워드프레스 관리자 주소 백엔드 WP-Admin 변경 방법

워드프레스 관리자 주소 백엔드 WP-Admin 변경 방법

워드프레스를 설치하고 나면 대부분 기본 설정 그대로 도메인/wp-admin이나 wp-login.php로 관리자 화면에 접속하게 됩니다. 문제는 이 주소가 전 세계 워드프레스 사이트가 공통으로 사용하는 기본값이라, 해커나 봇이 가장 먼저 두드려 보는 입구라는 점입니다.

즉, 관리자 계정 아이디까지 흔한 admin이고 로그인 주소도 기본값이라면, 별다른 해킹 시도 없이도 무차별 대입 공격(brute force)의 1순위 타깃이 된다고 봐야 합니다.

그래서 관리자 로그인 주소를 변경하고 백엔드 URL을 숨기는 작업은 워드프레스 보안에서 가장 먼저 손봐야 하는 기본 설정 중 하나입니다. 아래 내용처럼 플러그인을 활용하면 코드를 직접 건드리지 않고도 안전하게 wp-admin 주소를 바꾸고 로그인 페이지를 숨길 수 있습니다.

워드프레스 관리자 주소 백엔드 WP-Admin 변경 방법

워드프레스 보안 플러그인 설치

워드프레스에는 수많은 보안 플러그인이 있지만, 초보자도 부담 없이 쓸 수 있는 가벼운 플러그인이 하나 있습니다. 바로 iThemes Security (formerly Better WP Security) 입니다.

iThemes Security는 오래전 이름이었던 Better WP Security 시절부터 꾸준히 업데이트되어 온 대표적인 워드프레스 보안 플러그인입니다. 워드프레스 사이트의 취약점을 보완하고, 자동화된 공격과 무차별 대입 공격을 막고, 비밀번호와 계정 보안을 강화하는 기능까지 포함해 30가지가 넘는 보안 옵션을 제공합니다.

워드프레스는 전 세계에서 가장 많이 쓰이는 CMS인 만큼, 매일 수많은 사이트가 해킹 시도에 노출됩니다. 오래된 플러그인, 약한 비밀번호, 방치된 버전 업데이트 등으로 기본 설정만 사용하면 공격 대상이 되기 쉽습니다. iThemes Security는 이런 부분을 자동으로 점검하고, 클릭 몇 번으로 보안 수준을 한 단계 끌어올릴 수 있도록 설계된 플러그인입니다.

Pro 버전에서는 2단계 인증(OTP), 예약 악성코드 검사, 비밀번호 만료 정책, 사용자 활동 로그, 온라인 파일 비교, WP-CLI 통합 등 보다 고급 기능도 제공하지만, 관리자 로그인 URL을 숨기고 기본적인 공격을 막는 용도라면 무료 버전만으로도 충분히 활용 가능합니다.

다만, 이 플러그인은 보안 강화를 위해 데이터베이스 구조나 설정 파일에 직접 손을 대는 기능도 포함하고 있기 때문에, 큰 변경을 적용하기 전에 워드프레스 전체 백업(파일 + DB)을 한 번 만들어 두는 것을 강력히 추천합니다.

iThemes Security (formerly Better WP Security) 설정

워드프레스 관리자에서 플러그인 > 새로 추가 메뉴로 이동해 iThemes Security를 검색한 뒤 설치 및 활성화합니다.

플러그인을 활성화하면 대시보드에 여러 가지 보안 메뉴가 추가됩니다. 이 중에서 Hide Backend(백엔드 숨기기) 기능이 바로 워드프레스 관리자 주소를 변경하고 wp-admin, wp-login.php를 숨기는 핵심 옵션입니다.

백엔드 숨기기를 통해 WP-ADMIN 주소를 차단하여 숨깁니다.

백엔드 숨기기(Hide Backend)는 말 그대로 관리자 로그인 페이지의 경로를 바꾸고, 기존 wp-login.php와 wp-admin으로의 직접 접속을 차단하는 기능입니다. 이 기능을 활용하면 자동화된 공격 봇이 더 이상 기본 주소로 로그인 화면을 띄우지 못하게 만들 수 있습니다.

백엔드 숨기기 메뉴에서 상단의 백엔드 숨기기 기능 사용을 체크한 뒤, 로그인 슬러그에 원하는 관리자 로그인 경로를 입력합니다. 예를 들어 my-login이라고 입력하면, 이제부터는 사이트주소/my-login으로만 로그인 페이지에 접근할 수 있고, 기본 wp-admin / wp-login.php 주소는 차단됩니다.

이렇게 설정해 두면 WP-Admin 기본 주소는 더 이상 노출되지 않고, 내가 지정한 커스텀 로그인 URL을 아는 사람만 관리자 화면에 접근할 수 있게 됩니다.

사용자권한 바꾸기

추가로, 잘못된 경로로 접근했을 때 403 오류 페이지 대신 특정 페이지로 자동 이동시키고 싶다면 리디렉션 옵션을 함께 설정할 수 있습니다. 이렇게 하면 공격자가 wp-admin으로 접속하더라도 에러 페이지 대신 지정해 둔 커스텀 슬러그 페이지로 자연스럽게 돌려보낼 수 있어 사용자 경험 측면에서도 더 깔끔합니다.

워드프레스 관리자계정 비밀빈경 로그인 및 변경 - 노랗it월드

All-In-One WP Security (AIOS) 플러그인 사용

최근에는 WP-ROCKET 같은 캐시 플러그인과 충돌이 적고, 비교적 가벼운 보안 플러그인인 All-In-One WP Security (AIOS)를 사용하는 경우도 많습니다. 저 역시 여러 보안 플러그인을 테스트해보다가, 필요한 기능만 골라 쓸 수 있고 WP-ADMIN 주소 변경 기능도 포함되어 있어서 AIOS를 메인 보안 플러그인으로 사용하고 있습니다.

AIOS를 설치한 뒤 무차별 대입 공격(Brute Force) 메뉴에서 로그인 페이지 주소 변경 기능을 활용하면, 별도의 코딩 없이도 간단하게 워드프레스 관리자 로그인 경로를 커스텀 URL로 변경할 수 있습니다.

고급 기능 WP-Admin 주소 수동 변경 및 보안 강화 방법

1. functions.php에 커스텀 로그인 경로 만들기

플러그인 대신 테마의 functions.php를 수정해서 직접 로그인 경로를 제어할 수도 있습니다. 아래 코드는 기본 로그인 URL을 막고, 내가 지정한 커스텀 슬러그로 접속할 때만 wp-login.php가 동작하게 만드는 예시입니다.

add_action('init', 'redirect_login_page');

function redirect_login_page() {
    $request = $_SERVER['REQUEST_URI'];

    // 원하는 슬러그 예: /my-login
    $custom_login_slug = '/my-login';

    if ($request === '/wp-login.php' || $request === '/wp-login') {
        wp_redirect(home_url('/404')); // 또는 리디렉션할 주소
        exit;
    }

    if ($request === $custom_login_slug) {
        require_once ABSPATH . 'wp-login.php';
        exit;
    }
}

✅ 위 코드를 적용하면 /my-login으로 접속할 때만 기존 로그인 화면이 뜨고, /wp-login.php로 직접 접근하는 것은 404 페이지 등으로 막을 수 있습니다.

2. .htaccess를 활용한 WP-Admin 접근 제어

아파치(Apache)나 LiteSpeed 서버라면, .htaccess 파일을 통해 특정 IP만 관리자 로그인 페이지에 접근할 수 있도록 제한할 수도 있습니다.

<Files wp-login.php>
    Order Deny,Allow
    Deny from all
    Allow from 123.456.789.000
</Files>

🔒 123.456.789.000 부분을 자신의 고정 IP 주소로 바꾸면 됩니다. 유동 IP 환경에서는 접속이 막힐 수 있으니 신중하게 적용해야 합니다.

3. wp-login.php 파일 이름을 직접 변경 (권장되지 않음)

이론상으로는 wp-login.php 파일명을 my-login.php처럼 바꾸고, 관련된 내부 경로를 모두 수정하는 방식도 가능하지만, 워드프레스 코어 업데이트 때마다 다시 수정해야 하고 작은 오탈자에도 사이트 로그인이 완전히 막힐 수 있습니다. 그래서 실무에서는 거의 사용하지 않는 방식이며, 보안상·관리상 이유로 권장하지 않습니다.

4. Nginx 서버 환경에서 관리자 경로 제한 설정

Nginx를 사용하는 서버라면 .htaccess가 없기 때문에, 서버 설정 파일(예: nginx.conf 또는 사이트별 설정)에서 직접 wp-login.php 접근 IP를 제한해야 합니다.

location = /wp-login.php {
    allow 123.456.789.000;
    deny all;
}

🌐 아파치와 달리 설정 파일 자체를 수정해야 하므로, 서버에 익숙하지 않다면 호스팅 업체나 서버 담당자에게 요청하는 편이 안전합니다.

5. 로그인 시도 차단 및 IP 자동 차단 PHP 코드 추가

아래는 간단한 브루트포스 공격 방지용 커스텀 코드 예시입니다. 로그인 실패 횟수를 기준으로 임시 차단을 거는 방식이라, 플러그인 없이도 기본적인 보호막을 만들 수 있습니다.

function block_brute_force_login() {
    $max_attempts = 5;
    $lockout_time = 3600; // 1시간

    $ip = $_SERVER['REMOTE_ADDR'];
    $attempts = get_transient('login_attempts_' . $ip);

    if ($attempts && $attempts >= $max_attempts) {
        wp_die('로그인 시도 횟수가 초과되었습니다. 나중에 다시 시도해주세요.');
    }

    if ($_SERVER['REQUEST_METHOD'] == 'POST' && isset($_POST['log'])) {
        $attempts = $attempts ? $attempts + 1 : 1;
        set_transient('login_attempts_' . $ip, $attempts, $lockout_time);
    }
}
add_action('login_init', 'block_brute_force_login');

6. wp-config.php에서 디버깅 및 에러 노출 차단

운영 중인 사이트에서는 에러 메시지가 화면에 그대로 노출되면 안 됩니다. 에러 로그 속 정보가 해커에게 서버·DB 구조에 대한 힌트가 될 수 있기 때문입니다.

// 디버그 비활성화
define('WP_DEBUG', false);
@ini_set('display_errors', 0);

⚠️ 개발 환경이 아니라면 WP_DEBUG는 항상 false로 두고, 오류 메시지는 화면 대신 로그 파일에만 기록되도록 설정하는 게 안전합니다.

7. 파일 편집 비활성화

워드프레스 관리자 화면에서 테마·플러그인 파일을 직접 수정할 수 있는 편집 기능은 편리하지만, 동시에 해킹 시 웹쉘을 심는 통로로 자주 악용됩니다. 아래 코드를 wp-config.php 하단에 추가하면 이 기능을 완전히 막을 수 있습니다.

// wp-config.php 하단에 추가
define('DISALLOW_FILE_EDIT', true);

⚠️ 코드 수정은 FTP나 SFTP 클라이언트를 통해서만 가능하도록 막아두면, 관리자 계정이 탈취되더라도 피해를 어느 정도 줄일 수 있습니다.

FAQ

반응형

WP-Admin 주소를 변경하면 기존 주소로는 접속이 완전히 차단되나요?

네. iThemes Security의 백엔드 숨기기(Hide Backend) 기능을 활성화하면 기본 wp-admin과 wp-login.php는 더 이상 정상적인 로그인 경로로 동작하지 않습니다. 설정에 따라 404/403 오류를 띄우거나, 미리 지정한 리디렉션 페이지로 이동하도록 구성할 수 있습니다.

다만, 이 기능을 끄거나 플러그인을 비활성화하면 다시 기본 주소가 노출되니, 설정 상태를 항상 기억해 두는 것이 좋습니다.

백엔드 주소를 변경한 뒤 주소를 잊어버리면 어떻게 복구하나요?

가장 확실한 방법은 FTP 또는 호스팅 파일 매니저에서 플러그인을 비활성화하는 것입니다. wp-content/plugins 폴더 안의 ithemes-security 폴더명을 임시로 변경하거나 삭제하면, 워드프레스가 해당 플러그인을 불러오지 못하기 때문에 다시 기본 wp-login.php 주소로 접속할 수 있습니다.

wp-admin 주소를 바꾸는 것만으로도 충분한 보안 효과가 있나요?

관리자 URL 변경만으로도 자동화된 봇 공격을 피하는 데 꽤 도움이 됩니다. 대부분의 공격은 기본 경로를 전제로 하기 때문에, 로그인 화면 자체를 찾지 못하면 시도 자체가 줄어드는 건 분명한 효과입니다.

하지만 이것만으로 모든 보안이 해결되는 것은 아니고, SSL(HTTPS) 적용, 2단계 인증, 강력한 비밀번호, 접속 로그 모니터링, 의심 IP 차단 같은 다층적인 보안 전략이 함께 적용돼야 해킹에 강한 사이트가 됩니다.

iThemes Security 없이도 백엔드 주소를 변경할 수 있나요?

가능은 합니다. 앞에서 예시로 보여준 것처럼 functions.php, .htaccess, Nginx 설정 등을 직접 수정해 커스텀 로그인 경로를 만들 수 있습니다. 다만 PHP와 서버 설정에 익숙하지 않다면, 오타 하나로 관리자 페이지 전체가 먹통이 될 수 있어 위험합니다.

그래서 일반 사용자나 비전문가라면, 검증된 보안 플러그인을 사용하는 쪽이 훨씬 안전하고 유지관리도 편합니다.

백엔드 주소 변경 시 SEO나 사이트 성능에 영향이 있나요?

관리자 URL은 검색엔진에 노출되는 페이지가 아니기 때문에, SEO에는 거의 영향을 주지 않습니다. 사이트 속도 역시 프런트엔드(방문자가 보는 화면)와 관련된 캐시·이미지 최적화가 핵심이라, 로그인 주소 변경 자체가 성능을 떨어뜨리지는 않습니다.

다만 일부 테마나 플러그인에서 wp-login.php 경로를 하드코딩해 사용하는 경우가 있을 수 있으니, 백엔드 주소를 바꾼 뒤 회원가입/로그인 관련 기능이 정상 동작하는지 한 번씩 점검하는 게 좋습니다.

Hide Backend 기능이 작동하지 않는 경우에는 어떻게 해야 하나요?

다음 항목들을 차례대로 확인해보면 원인을 찾는 데 도움이 됩니다.

• iThemes Security 플러그인이 최신 버전인지 확인
• 서버가 Apache/LiteSpeed 기반인지, Nginx인지 여부 (Nginx는 별도 설정 필요)
• 캐시 플러그인(WP-ROCKET, LiteSpeed Cache 등)이 기존 로그인 페이지를 캐시하고 있지 않은지
• 웹 방화벽이나 호스팅 보안 정책이 리디렉션을 차단하고 있지 않은지

특히 Nginx 서버 환경에서는 플러그인 설정만으로 100% 동작하지 않을 수 있으므로, 서버 측 설정을 함께 수정해야 합니다.

관리자 URL 변경이 꼭 필요한 이유는 무엇인가요?

워드프레스의 기본 관리자 로그인 주소는 전 세계적으로 동일하기 때문에, 공격 봇 입장에서는 굳이 사이트 구조를 분석하지 않아도 도메인 뒤에 /wp-admin, /wp-login.php만 붙여 보면 바로 시도가 가능합니다.

관리자 URL을 바꾸면, 이런 자동화된 공격이 애초에 로그인 화면을 찾지 못하게 만들 수 있어 1차적인 차단 효과를 기대할 수 있습니다. 이후에는 로그인 시도 제한, 2FA, WAF 같은 보호막과 함께 쓰면 훨씬 단단한 보안 구조가 완성됩니다.

관리자 주소를 바꿨는데도 로그인 시도가 반복된다면?

관리자 URL 변경 후에도 의심스러운 로그인 시도가 계속 보인다면, 다음과 같은 추가 보안 조치를 함께 적용하는 것을 추천합니다.

• 로그인 시도 횟수 제한 기능 활성화 (AIOS, iThemes Security 등)
• 2단계 인증(2FA) 적용으로 계정 보안 강화
• 특정 국가 또는 의심 IP 대역 IP 차단 또는 화이트리스트 방식 허용
• 클라우드플레어 같은 클라우드 기반 WAF(Web Application Firewall) 적용

iThemes Security Pro나 AIOS Pro 같은 유료 버전에서는 이런 기능들을 대시보드에서 체크박스 수준으로 쉽게 켜고 끌 수 있기 때문에, 트래픽이 많은 사이트나 쇼핑몰, 회원제가 필요한 사이트라면 투자할 만한 가치가 있습니다.

워드프레스 참고포스팅

• [IT 리뷰/블로그 SEO] - 워드프레스 목차 TOC 플러그인 Easy Table of Contents
• [IT 리뷰/블로그 SEO] - 워드프레스 표 만들기 표 짤림 해결방법