오늘은 워드프레스를 운영하시는 분들이 꼭 알아두면 좋은 보안 관리 팁을 알려드리려고 해요. 바로 X-Pingback 헤더와 X-Powered-By 헤더를 제거하는 방법과 그 이유입니다.
“이게 뭔데 제거해야 하지?” 궁금하신 분들 많으시죠? 초보자 분들도 이해하기 쉽게 하나씩 풀어드릴게요!
📖 X-Pingback, X-Powered-By 헤더란?
📌 X-Pingback 헤더
워드프레스는 기본적으로 핑백(Pingback) 기능을 제공합니다.
핑백이란, 다른 블로그에서 내 글을 링크했을 때, 그 사실을 알려주는 기능이에요.
이때 워드프레스는 X-Pingback이라는 HTTP 헤더를 통해 핑백을 받을 수 있는 주소(URL)를 외부에 알려주는데요.
이걸 통해 외부에서 내 사이트의 핑백 기능이 열려 있는지 알 수 있어요.
📌 X-Powered-By 헤더
웹 서버는 웹 페이지를 전송할 때, 이 페이지를 어떤 프로그램(워드프레스, PHP 등)으로 생성했는지 X-Powered-By라는 헤더를 통해 함께 알려줘요.
예를 들어
X-Powered-By: PHP/8.1.2
이런 식으로 서버 정보가 노출됩니다.
📌 그럼 왜 제거해야 할까요?
🔐 보안상의 이유!
이 두 가지 헤더 정보는 사이트를 공격하려는 사람들에게 불필요한 단서를 제공할 수 있어요.
헤더 이름 위험 요소
| X-Pingback | DDoS 공격이나 XML-RPC 취약점 공격에 악용 가능 |
| X-Powered-By | 서버 환경이나 소프트웨어 버전 노출 → 해당 버전의 알려진 취약점 공격 가능 |
예를 들어, 내 사이트의 PHP 버전이 7.4 라고 표시되면, 그 버전에 존재하는 보안 취약점을 찾아 공격을 시도할 수 있어요.
📌 제거의 장단점 정리
구분 장점 단점
| X-Pingback 제거 | XML-RPC 공격 차단 가능DDoS 공격 위험 줄임 | 핑백 기능을 원한다면 사용할 수 없음 |
| X-Powered-By 제거 | 서버 환경 정보 보호버전 노출로 인한 보안 위협 차단 | 특별한 단점은 없음 (사이트 정상 작동에 영향 없음) |
📌 제거 방법 (코드로 간단하게!)
이 기능이 있는 플러그인을 이용하면 쉽게 제거할수 있어요
다른 방법은 워드프레스 테마의 functions.php 파일에 아래 코드를 추가하면 쉽게 제거할 수 있어요.
✅ X-Pingback 헤더 제거
// X-Pingback 헤더 제거
add_filter('wp_headers', function($headers) {
unset($headers['X-Pingback']);
return $headers;
});
✅ X-Powered-By 헤더 제거 (서버단)
.htaccess 파일에 추가
# X-Powered-By 헤더 제거 Header unset X-Powered-By
혹은 PHP 설정 파일 php.ini에서
expose_php = Off
로 설정해도 가능해요.
📌 정리
✔ X-Pingback, X-Powered-By 헤더는 사이트 정보를 외부에 노출해 공격 위험을 높일 수 있음
✔ 초보자도 functions.php 또는 .htaccess 설정으로 손쉽게 제거 가능
✔ 사이트 보안을 위해 제거하는 것이 권장됨
✔ 단, 핑백 기능이 필요하면 X-Pingback은 상황에 맞게 판단
워드프레스는 설치만으로도 강력한 블로그 플랫폼이지만, 기본 설정을 그대로 두면 보안에 취약한 부분이 있어요. 오늘 알려드린 X-Pingback, X-Powered-By 헤더 제거만으로도 사이트 보안 수준을 한 단계 업그레이드할 수 있답니다. 😊
information에서 더 알아보기
구독을 신청하면 최신 게시물을 이메일로 받아볼 수 있습니다.