워드프레스 파일 권한(644, 755) 설정의 정석: 보안과 작동의 균형

작성자:

워드프레스 파일 권한의 중요성 이해하기

워드프레스 웹사이트를 운영하면서 ‘파일 권한’이라는 용어를 들어보셨을 겁니다. 이 용어는 다소 기술적으로 들릴 수 있지만, 여러분의 웹사이트 보안과 원활한 작동에 결정적인 역할을 합니다. 파일 권한은 특정 파일이나 폴더에 누가 어떤 작업을 할 수 있는지 정의하는 설정입니다. 마치 집 문에 잠금장치를 달고, 누가 열쇠를 가질 수 있는지 결정하는 것과 같습니다.

잘못된 파일 권한 설정은 웹사이트를 해킹 공격에 취약하게 만들거나, 반대로 웹사이트가 제대로 작동하지 않게 할 수 있습니다. 예를 들어, 이미지를 업로드할 수 없거나, 플러그인 업데이트가 실패하거나, 심지어 웹사이트 접속 자체가 안 되는 문제가 발생할 수 있습니다. 따라서 워드프레스 파일 권한의 ‘정석’을 이해하고 올바르게 설정하는 것은 모든 워드프레스 사용자에게 필수적인 지식입니다.

파일 권한 숫자의 의미 파악하기

파일 권한은 주로 세 자리 숫자로 표현됩니다. 예를 들어 ‘755’나 ‘644’와 같은 숫자들입니다. 이 숫자들은 각각 세 가지 종류의 사용자에게 부여되는 권한을 나타냅니다.

  • 첫 번째 숫자 웹사이트 소유자 (Owner)
  • 두 번째 숫자 소유자 그룹 (Group)
  • 세 번째 숫자 그 외 모든 사용자 (Others)

각 숫자는 특정 권한의 합을 나타냅니다. 권한은 다음과 같이 세 가지 종류가 있습니다.

  • 4 읽기 (Read): 파일 내용을 읽거나 폴더의 목록을 볼 수 있는 권한
  • 2 쓰기 (Write): 파일 내용을 수정하거나 삭제하고, 폴더에 파일을 생성하거나 삭제할 수 있는 권한
  • 1 실행 (Execute): 파일을 실행하거나 폴더 안으로 들어갈 수 있는 권한

이 세 가지 권한을 조합하여 숫자를 만듭니다. 예를 들어, ‘7’은 읽기(4) + 쓰기(2) + 실행(1)의 합으로, 모든 권한을 의미합니다. ‘5’는 읽기(4) + 실행(1)의 합으로, 읽기와 실행 권한을 의미하고, ‘4’는 읽기(4) 권한만을 의미합니다.

간단히 정리하면:

  • 7 읽기, 쓰기, 실행 (rwx)
  • 6 읽기, 쓰기 (rw-)
  • 5 읽기, 실행 (r-x)
  • 4 읽기 (r–)
  • 0 아무 권한 없음 (—)

워드프레스의 표준 파일 권한 설정

워드프레스는 보안과 기능 사이의 균형을 위해 특정 파일과 폴더에 표준적인 권한 설정을 권장합니다. 이 권한들이 바로 ‘644’와 ‘755’입니다.

대부분의 파일에는 644 권한

대부분의 워드프레스 파일(예: .php, .html, .css, .js 파일 등)에는 644 권한이 권장됩니다.

  • 소유자 (6) 읽기, 쓰기 권한: 웹사이트 소유자(여러분)는 파일 내용을 읽고 수정할 수 있습니다.
  • 그룹 (4) 읽기 권한: 웹 서버가 파일을 읽을 수 있도록 허용합니다. 워드프레스 웹사이트가 제대로 작동하려면 웹 서버가 파일 내용을 읽을 수 있어야 합니다.
  • 그 외 모든 사용자 (4) 읽기 권한: 웹사이트 방문자나 다른 서버 사용자도 파일을 읽을 수 있습니다. 이는 웹사이트 콘텐츠를 표시하는 데 필요합니다.

왜 644인가? 쓰기 권한은 소유자에게만 부여하여, 해커가 웹사이트에 침투하더라도 임의로 파일을 수정하거나 악성 코드를 삽입하기 어렵게 만듭니다. 웹 서버는 파일을 읽기만 하면 되므로, 불필요한 쓰기 권한을 주지 않아 보안을 강화합니다.

대부분의 폴더에는 755 권한

대부분의 워드프레스 폴더(예: wp-admin, wp-content, wp-includes, 플러그인 및 테마 폴더 등)에는 755 권한이 권장됩니다.

  • 소유자 (7) 읽기, 쓰기, 실행 권한: 소유자는 폴더 안에 파일을 만들거나 삭제하고, 폴더 안으로 이동할 수 있습니다.
  • 그룹 (5) 읽기, 실행 권한: 웹 서버는 폴더 안의 파일들을 읽고, 폴더 안으로 이동하여 필요한 파일에 접근할 수 있습니다. 웹사이트가 콘텐츠를 로드하고 테마 및 플러그인을 사용할 수 있도록 합니다.
  • 그 외 모든 사용자 (5) 읽기, 실행 권한: 다른 사용자들도 폴더 안의 내용을 읽고 폴더 안으로 이동할 수 있습니다.

왜 755인가? 폴더는 단순히 파일 내용을 읽는 것을 넘어, 그 안으로 ‘들어갈’ 수 있어야 합니다. 이 ‘들어가는’ 행위가 실행(Execute) 권한을 필요로 합니다. 755는 소유자에게는 모든 권한을 주면서, 웹 서버와 다른 사용자에게는 폴더 내용을 탐색하고 읽을 수 있는 권한을 부여하여 웹사이트 작동에 필요한 최소한의 접근을 허용합니다.

특별한 파일 wp-config.php의 권한

wp-config.php 파일은 워드프레스 데이터베이스 접속 정보와 같은 매우 민감한 정보가 담겨 있습니다. 이 파일은 일반적인 파일보다 훨씬 더 엄격한 권한을 갖는 것이 좋습니다.

  • 600 권한 또는 400 권한이 권장됩니다.
  • 600: 소유자에게만 읽기, 쓰기 권한을 부여하고, 그룹 및 그 외 사용자에게는 어떠한 권한도 주지 않습니다.
  • 400: 소유자에게만 읽기 권한을 부여하고, 그룹 및 그 외 사용자에게는 어떠한 권한도 주지 않습니다. 이 권한은 소유자조차도 파일을 직접 수정하기 어렵게 만들지만, 보안상 가장 강력합니다.

왜 더 엄격하게? wp-config.php 파일은 해커의 주요 표적이 될 수 있으므로, 최대한 접근을 제한하여 데이터베이스 정보 유출을 막아야 합니다.

파일 권한 변경 방법 실생활에서의 활용

파일 권한을 변경하는 방법은 여러 가지가 있습니다. 주로 사용하는 방법은 FTP 클라이언트나 호스팅 업체의 cPanel 파일 관리자를 이용하는 것입니다.

FTP 클라이언트 사용하기 (예시: FileZilla)

    • FTP 접속 FileZilla와 같은 FTP 클라이언트를 사용하여 웹 서버에 접속합니다. 호스팅 업체에서 제공한 FTP 계정 정보를 입력해야 합니다.
    • 워드프레스 설치 경로로 이동 보통 public_html 또는 www 폴더 안에 워드프레스 파일들이 있습니다.
    • 파일 또는 폴더 선택 권한을 변경할 파일이나 폴더를 마우스 오른쪽 버튼으로 클릭합니다.
    • 파일 권한 설정 메뉴에서 ‘파일 권한’ 또는 ‘Change permissions…’를 선택합니다.
    • 숫자 입력 또는 체크박스 선택 ‘숫자 값(Numeric value)’ 칸에 644, 755, 600과 같은 권한 숫자를 직접 입력하거나, ‘읽기(Read)’, ‘쓰기(Write)’, ‘실행(Execute)’ 체크박스를 적절히 선택하여 권한을 설정합니다.
    • 하위 디렉터리 적용 (폴더의 경우) 폴더의 경우, ‘하위 디렉터리에 재귀 적용(Recurse into subdirectories)’ 옵션을 선택하고, ‘모든 파일 및 디렉터리에 적용(Apply to all files and directories)’ 또는 ‘디렉터리에만 적용(Apply to directories only)’, ‘파일에만 적용(Apply to files only)’ 중 하나를 선택해야 합니다.
      • 폴더에 755를 적용할 때는 ‘디렉터리에만 적용’을 선택하고 755를 입력합니다.
      • 그 후, 다시 해당 폴더를 선택하고 ‘파일에만 적용’을 선택하여 644를 입력하면, 폴더 안의 모든 파일과 폴더에 표준 권한을 한 번에 적용할 수 있습니다.
    • 확인 ‘확인’ 버튼을 클릭하여 변경 사항을 적용합니다.

cPanel 파일 관리자 사용하기

대부분의 웹 호스팅 업체는 cPanel과 같은 제어판을 제공합니다. cPanel 파일 관리자를 통해서도 쉽게 권한을 변경할 수 있습니다.

    • cPanel 로그인 호스팅 계정의 cPanel에 로그인합니다.
    • 파일 관리자 접속 ‘파일(Files)’ 섹션에서 ‘파일 관리자(File Manager)’를 클릭합니다.
    • 워드프레스 설치 경로로 이동 public_html 등으로 이동합니다.
    • 파일 또는 폴더 선택 권한을 변경할 파일이나 폴더를 선택합니다.
    • 권한 변경 상단 메뉴나 마우스 오른쪽 버튼 메뉴에서 ‘권한(Permissions)’ 버튼을 클릭합니다.
    • 권한 설정 체크박스를 이용하여 권한을 설정하거나, 숫자 값을 직접 입력합니다.
    • 변경 사항 저장 ‘권한 변경(Change Permissions)’ 버튼을 클릭하여 적용합니다.

SSH/터미널 사용하기 (고급 사용자)

SSH(Secure Shell)를 통해 서버에 접속할 수 있다면, chmod 명령어를 사용하여 파일 권한을 변경할 수 있습니다. 이 방법은 여러 파일을 한 번에 변경할 때 매우 효율적입니다.

    • 단일 파일/폴더 권한 변경
      • chmod 644 filename.php (파일에 644 권한 부여)
      • chmod 755 foldername/ (폴더에 755 권한 부여)
    • 워드프레스 전체 파일/폴더 권한 일괄 변경 (주의 필요)
      • 워드프레스 설치 디렉터리로 이동합니다: cd /path/to/your/wordpress
      • 모든 폴더에 755 권한 부여: find . -type d -exec chmod 755 {} \;
      • 모든 파일에 644 권한 부여: find . -type f -exec chmod 644 {} \;
      • wp-config.php 파일에 600 권한 부여: chmod 600 wp-config.php

경고 SSH 명령어를 사용할 때는 매우 신중해야 합니다. 잘못된 명령은 웹사이트 전체에 심각한 문제를 일으킬 수 있습니다. 특히 -R (재귀적) 옵션을 사용할 때는 더욱 주의해야 합니다.

흔한 오해와 사실 관계

오해 1 777 권한은 편리하고 문제 없다

사실 777 권한(소유자, 그룹, 그 외 모든 사용자에게 읽기, 쓰기, 실행 권한 부여)은 웹사이트에서 파일 업로드나 플러그인 설치 등의 문제가 발생했을 때 임시방편으로 사용되기도 합니다. 하지만 이는 매우 위험한 설정입니다. 777 권한은 웹 서버뿐만 아니라, 잠재적인 해커를 포함한 모든 사용자에게 파일 수정 및 실행 권한을 부여합니다. 이는 웹사이트가 언제든지 악성 코드에 감염될 수 있는 문을 활짝 열어두는 것과 같습니다. 777 권한은 절대 영구적으로 사용되어서는 안 되며, 문제 해결을 위해 잠시 사용했더라도 즉시 644 또는 755로 되돌려야 합니다.

오해 2 권한을 너무 강하게 설정하면 더 안전하다

사실 wp-config.php와 같은 특정 파일을 제외하고, 모든 파일이나 폴더에 400이나 600처럼 지나치게 엄격한 권한을 적용하는 것은 웹사이트 작동에 필요한 웹 서버의 접근을 막아버릴 수 있습니다. 예를 들어, 폴더에 600 권한을 주면 웹 서버가 해당 폴더 안으로 들어갈 수 없어 ‘403 Forbidden’ 오류가 발생하거나, 워드프레스가 필요한 파일을 찾지 못해 작동을 멈출 수 있습니다. 보안은 중요하지만, 기능성을 완전히 희생해서는 안 됩니다. ‘최소 권한의 원칙’에 따라 필요한 최소한의 권한만을 부여하는 것이 중요합니다.

오해 3 파일 권한은 한 번 설정하면 끝이다

사실 워드프레스는 지속적으로 업데이트되고, 새로운 플러그인이나 테마를 설치하며, 미디어를 업로드합니다. 이러한 과정에서 때때로 파일 권한이 변경되거나 잘못 설정될 수 있습니다. 특히 새로운 플러그인을 설치하거나 업데이트한 후 문제가 발생한다면, 파일 권한을 다시 확인해볼 필요가 있습니다. 정기적으로 웹사이트의 주요 폴더(wp-content 등)의 권한을 확인하는 습관을 들이는 것이 좋습니다.

전문가의 조언과 유용한 팁

최소 권한의 원칙을 지키세요

보안의 기본 원칙 중 하나는 ‘최소 권한의 원칙(Principle of Least Privilege)’입니다. 이는 어떤 사용자나 프로세스에도 작업을 수행하는 데 필요한 최소한의 권한만을 부여해야 한다는 의미입니다. 워드프레스 파일 권한 설정에서도 마찬가지입니다. 웹 서버가 파일을 읽어야 한다면 읽기 권한만, 폴더 안으로 들어가야 한다면 실행 권한만 주는 식으로 불필요한 권한은 부여하지 않도록 합니다.

문제가 발생하면 권한부터 확인하세요

워드프레스 웹사이트에서 다음과 같은 문제가 발생했을 때, 파일 권한을 우선적으로 확인해 보세요.

  • 이미지 업로드 실패
  • 플러그인 또는 테마 설치/업데이트 실패
  • ‘403 Forbidden’ 오류 메시지
  • 웹사이트 접속 불가 또는 빈 화면
  • 특정 파일(예: robots.txt)이 생성되지 않음

백업은 항상 최우선입니다

파일 권한을 변경하기 전에는 항상 웹사이트 전체를 백업하는 것이 좋습니다. 만약 잘못된 권한 설정으로 인해 웹사이트에 문제가 발생하더라도, 백업을 통해 이전 상태로 쉽게 복구할 수 있습니다.

호스팅 환경을 이해하세요

공유 호스팅, VPS(가상 사설 서버), 전용 서버 등 호스팅 환경에 따라 파일 소유자(Owner)와 그룹(Group) 설정이 다를 수 있습니다. 특히 공유 호스팅 환경에서는 웹 서버가 접근하는 방식이 다소 복잡할 수 있습니다. 만약 표준 권한(644, 755)으로 문제가 해결되지 않는다면, 호스팅 업체에 문의하여 해당 서버 환경에 맞는 권장 권한 설정을 확인하는 것이 가장 정확합니다.

보안 플러그인의 도움을 받으세요

Wordfence, iThemes Security와 같은 워드프레스 보안 플러그인 중 일부는 파일 권한을 모니터링하고, 잠재적인 문제를 감지하여 알려주는 기능을 제공합니다. 이러한 플러그인의 도움을 받아 웹사이트의 보안 상태를 주기적으로 점검하는 것도 좋은 방법입니다.

자주 묻는 질문

질문 파일 권한을 777로 설정하라는 메시지가 뜨는데, 따라야 하나요?

답변 대부분의 경우, 아니요. 777 권한은 매우 위험하므로, 필요한 경우에만 아주 잠깐 사용하고 즉시 표준 권한(644, 755)으로 되돌려야 합니다. 777을 요구하는 플러그인이나 테마가 있다면, 개발자에게 문의하거나 다른 대안을 찾아보는 것이 좋습니다. 간혹 특정 폴더(예: 캐시 폴더)가 일시적으로 777을 요구할 수 있으나, 이 역시 신중하게 접근해야 합니다.

질문 모든 폴더를 755로, 모든 파일을 644로 설정했는데도 문제가 계속 발생합니다. 왜 그런가요?

답변 표준 권한을 적용했음에도 문제가 발생한다면, 몇 가지 다른 원인을 고려해볼 수 있습니다.

  • 파일 소유권(Ownership) 문제: 파일 권한은 소유자를 기준으로 부여되는데, 때때로 파일의 소유자가 웹 서버 계정이 아닌 다른 계정으로 설정되어 있을 수 있습니다. 이 경우 chmod 명령만으로는 해결이 어렵고, chown 명령을 사용하거나 호스팅 업체에 문의하여 소유권을 변경해야 할 수 있습니다.
  • SELinux 또는 AppArmor: 일부 리눅스 서버에는 SELinux나 AppArmor와 같은 보안 강화 시스템이 작동하여, 파일 권한 외에 추가적인 접근 제어를 할 수 있습니다. 이 경우 서버 관리자나 호스팅 업체에 문의해야 합니다.
  • 서버 설정 문제: Apache 또는 Nginx와 같은 웹 서버 소프트웨어의 설정이 잘못되어 특정 파일에 접근하지 못하는 경우도 있습니다.
  • 플러그인/테마 충돌: 파일 권한과 무관하게 플러그인이나 테마 간의 충돌로 인해 문제가 발생할 수도 있습니다.

질문 워드프레스 업데이트 후 웹사이트가 작동하지 않아요. 파일 권한 때문일까요?

답변 워드프레스 업데이트는 간혹 파일 권한을 변경시키거나, 새로운 파일에 잘못된 권한을 부여할 수 있습니다. 업데이트 후 문제가 발생했다면, 워드프레스 설치 경로의 모든 폴더를 755로, 모든 파일을 644로 다시 설정해보고 wp-config.php는 600 또는 400으로 설정하여 확인해 보세요. 만약 그래도 해결되지 않는다면, 캐시 삭제, 플러그인 비활성화 등의 다른 문제 해결 단계를 시도해야 할 수 있습니다.

질문 특정 플러그인이 작동하려면 777 권한이 필요하다고 하는데, 어떻게 해야 하나요?

답변 일반적으로 워드프레스 플러그인은 표준 권한(644, 755) 내에서 작동하도록 설계됩니다. 만약 특정 플러그인이 777을 요구한다면, 해당 플러그인의 보안 취약성을 의심해볼 필요가 있습니다. 해당 플러그인의 공식 문서나 지원 포럼을 확인하여 다른 사용자들이 동일한 문제를 겪는지, 혹은 더 안전한 대안이 있는지 찾아보세요. 정말로 777이 필요하다면, 해당 폴더만 777로 설정하되, 사용 후 즉시 원래 권한으로 되돌리거나, 해당 폴더에 민감한 정보가 없는지 확인하고 보안 위험을 감수해야 할 수 있습니다.

댓글 남기기