워드프레스 성능을 체크하다가 SEO 체크 사이트에서 보안 항목으로 ServerSignature, ServerTokens 설정을 하라는 항목을 발견했습니다. 워드프레스 서버 보안을 위해서 ServerSignature, ServerTokens 설정이 필요해보였습니다.
취약 항목 : For security reasons, it is recommended to turn off the server signature.
중요도는 낮지만 설정해 주라고 하니 설정하기로 했습니다.
찾아보니 Apache Web Server는 서버 버전, OS, 설치된 모듈 등에 대한 일부 정보와 함께 HTTP 헤더를 보낸다고 합니다.
이러한 정보는 해커가 취약점을 찾아내서 해킹하는데 사용될 수 있습니다.
따라서 이러한 정보는 노출되지 않도록 숨기는 것이 좋다고 합니다.
ServerSignature, ServerTokens 조치 방법
워드프레스는 Apache 기반으로 Apache 구성 파일인 httpd.conf 또는 apache.conf 파일을 아래와 같이 수정하여서 조치하면 됩니다. 저는 Amazon Linux를 사용하고 있어서 httpd.conf 파일을 수정했습니다.
httpd.conf 파일에 아래 내용 추가해주면 됩니다.
ServerSignature, ServerTokens 항목이 이미 있을 경우 값을 아래와 같이 변경해 줍니다.
항목이 없을 경우 새로 추가해 줍니다.
ServerSignature Off
ServerTokens ProdServerTokens의 값 범위는 아래와 같고 Default가 OS라고 합니다.
Prod가 최소 정보를 알려주는 설정이라서 Prod로 설정해 줍니다.
Prod/Major/Minor/Min/OS/Full
httpd.conf 파일 위치
OS가 CentOS 기반일 경우 /etc/httpd/conf/httpd.conf 파일을 수정하면 되고 우분투일 경우 /etc/apache2/apache2.conf 경로의 파일을 수정하면 됩니다.
워드프레스 재기동
저는 Linux 서버 위에 서비스를 직접 올려 구성한 것이라서 아래 명령어로 재기동 해줬습니다.
systemctl restart httpdServerSignature, ServerTokens 설정을 변경하여 워드프레스 서버 보안을 조금 더 안전하게 설정하는 방법에 대해서 소개해드렸습니다.