초기 설정
그누보드를 설치 후 보안을 위한 조치나 사이트 운영에 기초적인 설정을 해주는 것이 좋다.
관리페이지 접근 주소 변경
그누보드 관리페이지 접근 주소는 https://.../adm이다. 취약점을 이용하는 공격자들은 이런 알려진 주소로 공격을 시도하므로 주소 자체를 변경해두면 위험을 사전에 방지할 수 있다.
adm 폴더의 이름을 변경하고 config.php 파일에서 G5_ADMIN_DIR 상수의 값을 변경해주면 된다.
관리페이지 폴더명을 adm에서 my_backoffice로 변경하는 예시이다.
# shell 에서 폴더명을 변경하거나 FTP 프로그램을 사용하여 폴더명을 변경한다
.
├── adm
├── my_backoffice
├── config.php
└── index.phpconfig.php 파일에서 G5_ADMIN_DIR 상수의 값을 변경해준다.
define('G5_ADMIN_DIR', 'adm');
define('G5_ADMIN_DIR', 'my_backoffice'); 관리페이지는 변경한 폴더명으로 https://.../my_backoffice 주소로 접근할 수 있다.
INFO
그누보드 패치 시 config.php 파일을 확인없이 덮어쓰지 않도록 주의해야 한다. 덮어 썼다면 G5_ADMIN_DIR 값을 다시 변경해두자.
미사용 영카트 제거
영카트(쇼핑몰) 기능을 사용하지 않는다면 영카트 관련 폴더와 파일들을 삭제할 것을 권장한다. 보안취약점이 발생하면 영향을 받을 수 있기 때문에 영카트 기능을 사용하지 않는다면 아예 제거해두는 것이 좋다.
.
├── adm
│ └── shop_admin // 폴더 전체 삭제
├── extend
│ └── shop.extend.php // 파일 삭제
├── lib
│ ├── shop.uri.lib.php // 파일 삭제
│ └── shop.lib.php // 파일 삭제
├── mobile
│ └── shop // 폴더 전체 삭제
├── shop // 폴더 전체 삭제
├── orderupgrade.php // 파일 삭제
├── shop.config.php // 파일 삭제
├── yc4_import_run.php // 파일 삭제
└── yc4_import.php // 파일 삭제추가로 테마와 스킨에서도 영카트 관련 파일을 제거하는 것을 권장한다.
.
├── mobile
│ └── skin
│ └── shop // 폴더 전체 삭제
├── skin
│ └── shop // 폴더 전체 삭제
└── theme
└── basic
├── shop // 폴더 전체 삭제
├── mobile
│ ├── shop // 폴더 전체 삭제
│ └── skin
│ └── shop // 폴더 전체 삭제
└── skin
└── shop // 폴더 전체 삭제위험은 미리 피하자
그누보드, 영카트는 여전히 보안취약점이 활발하게 발견되고 있는 중이며, 보안취약점을 고친 패치가 배포될 때 해당 보안취약점과 이를 이용한 공격 가능한 방법이 알려지는 셈이다.
보안취약점 패치가 공개되면 빠르게 패치하는 것이 가장 좋지만, 그러지 못할 수 있으므로 영카트를 사용하지 않는다면 관련 파일을 모두 제거하여 위험을 미리 방지할 수 있다.
기본 사이트 설정
그누보드 관리페이지 '환경설정 -> 기본환경설정'(adm/config_form.php)에서 사이트의 이름과 회원가입, 게시판 공통 설정 등을 변경해주는 것이 좋다.
홈페이지 기본환경 설정
- 홈페이지 제목
- 브라우저에 표시되는 제목, 검색엔진 결과에 나오는 사이트 제목이다
- 관리자 메일 주소 & 관리자 메일 발송이름
- 이메일 발송 시 사용되는 발신자 이메일 주소와 이름
- 포인트 사용
- 포인트 기능을 사용하지 않는다면 이 기능을 비활성화하면 성능 향상에 도움이 된다
- 에디터 선택
- 기본으로 사용할 DHTML 에디터를 지정해준다
- 방문자분석 스크립트
- 구글, 네이버, 빙 등에서 서비스하는 방문자 추적 스크립트 및 구글 서치 콘솔, 웹마스터 도구 등에서 사이트 인증 코드를 여기에 설정할 수 있다
회원가입 설정
- 아이디,닉네임 금지단어
- 일부 기본 값이 설정되어 있으나 사이트 이름이나 도메인 및 사이트 유형에 따라 필요한 단어를 아이디, 닉네임에 사용하지 못하도록 추가 설정해두는 것이 좋다
INFO
이 설정은 비회원의 글쓴이 이름에는 적용되지 않는다.
- 일부 기본 값이 설정되어 있으나 사이트 이름이나 도메인 및 사이트 유형에 따라 필요한 단어를 아이디, 닉네임에 사용하지 못하도록 추가 설정해두는 것이 좋다
- 회원가입약관 & 개인정보처리방침
- 당장 설정하지 못하더라도 회원가입 등 개인정보를 수집하는 하려면 반드시 게시해야하는 내용을 잊지 말고 설정해야 한다
짧은 주소 설정
짧은 주소 설정은 처음 선택 후 변경하지 않는 것이 좋다. 사이트 운영 중 변경하면 기존 주소 체계에 영향을 주므로 주의해야 한다. "숫자" 형식을 권장한다.
"글 이름" 형식은 사용하지 말자
글의 제목을 주소로 사용하는 "글 이름" 형식은 글 제목이 변경되면 글의 주소 또한 변경되므로 검색엔진의 노출이나 링크가 깨지는 문제가 있으므로 절대 사용하지 말자.
또한, 같은 제목을 가진 글이 여럿일 때 주소의 중복을 피하기 위한 대처가 되어있지만, 불완전하여 주소가 중복되거나 변경되는 문제가 발견되었다. 그누보드 이슈 #293 #294 #295
게시판 설정
설치 직후에 이미 생성된 4개의 게시판이 있고, 이 게시판들을 계속 사용할 수 있으며 필요에 따라 게시판 설정을 변경해주는 것이 좋다.
각 게시판의 상단에 '톱니바퀴' 아이콘을 눌러 게시판 설정 페이지에 들어갈 수 있으며, 관리자페이지 '게시판관리'(/adm/board_list.php) 메뉴에서도 설정할 수 있다.
게시판 제목과 포인트, 에디터 그리고 권한 설정을 변경해주는 것이 좋다.