워드프레스 보안 플러그인 Force Login
워드프레스로 홈페이지를 만들고 사용하는 경우 홈페이지를 노출하기 위한 방법을 고민한다.
그런데 반대의 경우 로그인한 사용자에게 만 Page를 노출하도록 사용하는 경우도 있다.
이런 경우 사용하는 유용한 플러그인중에 User Access Manager(UAM)이란 것이 있다.
User Access Manager ..자세히
UAM은 사용자 등급 및 그룹을 만들어서 접근권한을 관리할 수 있다는 장정이 있다.
특정 Page와 post를 특정사용자들에게 노출하거나, 접근을 차단 할 수 있다.
그런데 UAM의 경우 몇가지 문제를 노출 시킨다. 엄밀히 말하면 UAM으로 차단하지 못하는 영역이 있다는 것이다.
예를 들면 ‘http://esy.es/xx’ 와 같이 잘못된 주소를(url)을 입력하면 오류를 해결하도록
친절하게도 워드프레스가 검색 페이지로 자동으로 이동된다. 여기서 치명적 오류가 발생한다.
이 검색 페이지에서 예측가능한 검색어를 입력하면 숨겨지 페이지가 그대로 누출 되는 문제가 있다.
특히 미디어 파일의 경우 UAM이 접근차단을 하지 못하는 듯 하다.
Force Login ..자세히
위 과정을 처리 하더라도 문제점이 하나 남아있다.
이 문제는 인터넷 검색 기록과 관련된 문제이며 ‘도메인/wp-content/uploads’으로 고정된 폴더의 내용을 열어본 경우 즉 첨부 문서 또는 이미지 파일의 경우 url을 입력하면 파일이 그대로 노출 된다.
“…/uploads/mangboard/2018/08/31/20180727_001855-768×1024.jpg” 과 같이 주소전체가 온전히 입력되면 문제가 된다.
이문제를 풀기위해 “All In One WP Security & Firewall” 을 설치하여 시험 해봤는데 , 실제 효과는 없는 듯 하다.
해결방벙:
이문제가 해결되기 위해서는 UAM에서 미디어 노출을 차단해야 한다.
미디어를 등록할 때 특정그룹에만 노출 되도록 지정한 다음. 사진을 올려 보면 그림과 같이
캐쉬 지우기: 또하나의 가정에서 내가 로그오프 했는데에도 불구 하고, 인터넷 history 파일을 열어서 이전에 열었던 미디어 파일또는 폴더를 찾을수 있기 때문에
로그오프 한 경우 캐쉬를 지우도록 설정해야한다.
