웹사이트를 보호하는 19가지 방법(7이 핵심입니다!)

게시 됨: 2022-08-20


WordPress 보안이 걱정되십니까?

당신은해야한다! 그러나 너무 걱정하지 마십시오. 사이트에 WordPress 웹 사이트 보안 모범 사례를 구현하면 사이트에 문제가 발생하지 않을 것이라고 확신할 수 있습니다.

워드프레스 안전합니다. 그러나 사용자가 취하는 작업(및 사용자가 설치하는 플러그인)은 모든 종류의 WordPress 취약점을 유발할 수 있습니다.

이러한 실수를 피하려면 이 게시물의 팁을 따르기만 하면 됩니다.

이 게시물을 가능한 한 실행 가능하게 만들기 위해 WordPress 보안 팁을 두 가지 범주로 나눌 것입니다.

반드시 따라야 할 7가지 WordPress 보안 모범 사례

이 게시물에서 다른 것을 취하지 않는다면 사이트에 최소한 다음 7가지 WordPress 보안 모범 사례를 구현하는 것이 좋습니다.

이 7가지 작업을 수행하지 않으면 사이트가 큰 취약점에 노출될 수 있습니다.

1. 코어 및 플러그인 업데이트를 최대한 빨리 적용

WordPress를 안전하게 유지하기 위해 할 수 있는 가장 좋은 방법 중 하나는 항상 WordPress 코어, 플러그인 및 테마에 업데이트를 즉시 적용하는 것입니다.

아무리 훌륭한 소프트웨어라도 새로운 취약점이 발견되는 것은 자연스러운 일입니다. 그러나 품질 개발 팀과 함께 이러한 취약점은 악의적인 행위자가 악용하기 전에 수정될 것입니다… 업데이트를 즉시 적용하는 한!

사람들이 사이트를 업데이트하기만 했다면 가장 최근에 널리 퍼진 WordPress 익스플로잇 중 많은 부분을 피할 수 있었을 것입니다.

새 업데이트에 대한 알림을 받으려면 WP 관리자의 대시보드 → 업데이트 영역에 주의하십시오.

WordPress 업데이트 적용은 WordPress 보안에 필수적입니다.

호환성 문제가 걱정된다면 라이브 사이트에 업데이트를 적용하기 전에 준비 사이트에서 업데이트를 테스트할 수 있습니다. 또한 업데이트를 적용하기 전에 백업을 하고 싶을 것입니다. 자세한 내용은 나중에 설명합니다.

참고 – 이 규칙의 한 가지 예외는 새 기능 추가에만 초점을 맞추고 보안 수정 사항을 포함하지 않는 주요 업데이트입니다. 이러한 주요 업데이트를 적용하려면 몇 주 동안 안전하게 기다릴 수 있습니다.

  • 주요 릴리스(기능) – 5.0, 5.1, 6.0 등 – 이 업데이트를 적용할 때까지 기다릴 수 있습니다.
  • 마이너 릴리스(보안/버그 수정 ) – 5.0.1, 5.1.2, 6.0.4 등 – 항상 최대한 빨리 적용해야 합니다.

2. 평판이 좋은 개발자의 플러그인과 테마만 사용합니다(Nulled 플러그인은 사용하지 않음).

핵심 WordPress 소프트웨어는 안전하지만 모든 단일 플러그인 및 테마( 대부분 플러그인 )에 대해 동일하게 말할 수는 없습니다.

새로운 코드를 추가하고 사이트의 기능을 수정함으로써 플러그인은 모든 종류의 취약점을 유발할 수 있습니다.

동시에 플러그인을 사용하지 않는 것은 옵션이 아닙니다. 플러그인은 모든 WordPress 사이트의 필수적인 부분이기 때문입니다.

결과적으로 좋은 코드 품질과 신속한 유지 관리에 대한 실적이 있는 평판 좋은 개발자의 플러그인과 테마만 사용하는 데 집중하는 것이 중요합니다.

즉, 사이트에 어떤 플러그인을 설치하는지 주의하십시오 .

다음은 고품질 플러그인과 테마만 사용하는 데 도움이 되는 몇 가지 팁입니다.

  • 리뷰를 읽으십시오 . 나쁜 리뷰는 나쁜 코드 품질을 나타낼 수 있습니다.
  • 활성 설치 수를 확인하십시오 . 이것이 어려운 규칙은 아니지만 일반적으로 인기 있는 플러그인이 더 많은 관심을 받습니다.
  • 최근 업데이트를 확인하십시오 . 새로 발견된 취약점을 패치하려면 활성 개발자를 확보하는 것이 중요합니다.
  • 불필요한 플러그인을 설치하지 마십시오 . 설치하는 모든 플러그인은 잠재적인 공격 벡터이므로 사이트에 중요한 플러그인만 설치해야 합니다.

WordPress 플러그인 선택에 대한 전체 가이드도 있습니다.

마지막으로 플러그인에 어떤 코드가 추가되었는지 모르기 때문에 null 플러그인도 피하고 싶을 것입니다.

3. 보안 WordPress 호스팅 사용

양질의 WordPress 호스팅 제공업체를 선택하면 사이트 보안을 보장할 수 있습니다.

먼저 고품질 WordPress 호스팅 제공업체는 적절한 파일 권한 및 안전한 wp-config.php 파일과 같은 WordPress 보안에 최적화된 환경을 보장합니다.

많은 WordPress 호스트는 또한 내장 방화벽 또는 맬웨어 검사와 같은 보다 사전 예방적인 보호 기능을 구축합니다.

일부 관리 WordPress 호스트는 사이트에 문제가 발생하면 무료로 사이트를 정리합니다.

기본적으로 고품질 호스트(특히 관리되는 WordPress 호스트)에서는 이러한 모범 사례를 많이 처리하므로 사이트 성장에만 집중할 수 있습니다.

몇 가지 품질 옵션을 찾으려면 가장 잘 관리되는 WordPress 호스팅 및 일반적으로 최고의 WordPress 호스팅이 포함된 게시물을 확인하세요.

여유가 있다면 Flywheel(WPKube에 사용하는 것 – Flywheel 검토) 또는 Kinsta(Kinsta 검토)와 같은 옵션을 고려하십시오.

양질의 호스트는 WordPress 웹 사이트 보안 팁을 구현할 수 있습니다.

4. 로그인 페이지 및 계정 액세스 잠금

악의적인 행위자가 합법적인 WordPress 사용자 계정( 특히 관리자 계정 ) 중 하나에 액세스할 수 있는 경우 전 세계의 모든 WordPress 보안 팁은 도움이 되지 않습니다.

현실 세계에서 생각해 보십시오. 세계 최고의 가정 보안 시스템이 있을 수 있지만 강도가 집 열쇠와 보안 코드를 가지고 있다면 아무 소용이 없습니다.

즉, WordPress 사이트의 로그인 프로세스와 사용자 계정을 보호하는 방법을 찾는 것이 중요 합니다.

시작하려면 강력한 계정 자격 증명을 사용하는 것이 좋습니다.

  • 사용자 이름 – 사용자 이름으로 "admin"을 사용하지 마십시오. 대신 다른 곳에서는 사용하지 않는 고유한 사용자 이름을 선택하십시오.
  • 암호 – 강력하고 고유한 암호를 사용합니다. 최상의 결과를 얻으려면 LastPass 또는 Bitwarden과 같은 암호 관리자를 사용하여 각 사이트에 대해 고유한 암호를 생성하십시오.

그 외에도 전술을 사용하여 WordPress 로그인 페이지를 보호할 수도 있습니다.

  • 로그인 URL을 변경하십시오. 이것은 또한 많은 봇 트래픽을 줄입니다. 어떻게? 무료 WPS 로그인 숨기기 플러그인을 사용하세요.
  • 로그인 시도 제한 – 잘못된 로그인 시도가 너무 많은 경우(은행이 하는 것처럼) IP 주소를 일시적으로 차단합니다. 어떻게? 무료 Limit Login Attempts Reloaded 플러그인을 사용하세요.
  • 2단계 인증(2FA) 요구 – 사용자가 자격 증명 외에 인증 앱, SMS 또는 이메일의 코드를 입력하도록 합니다. 어떻게? WP 2FA 또는 Two-Factor와 같은 무료 플러그인을 사용하십시오.
WordPress에서 로그인 시도를 제한하는 예

모든 사이트는 로그인 URL을 변경하고 로그인 시도를 제한해야 하지만 WordPress 2단계 인증을 사용하는 것은 미션 크리티컬 사이트에만 필요합니다.

5. SSL 인증서 설치 및 HTTPS 사용

SSL 인증서를 사용하면 사이트에서 HTTP 대신 HTTPS를 사용할 수 있습니다.

HTTPS를 사용하면 브라우저와 서버 간에 전달되는 모든 데이터가 암호화됩니다. 이는 일반적으로 개인 정보 보호를 위한 것 외에도 사용자 이름 및 비밀번호와 같은 중요한 데이터를 보호하는 데 필수적입니다.

HTTPS가 없으면 인터넷 네트워크의 악의적인 행위자가 브라우저와 사이트 간에 전달되는 모든 데이터를 볼 수 있습니다. 예를 들어 HTTP를 사용하여 지역 커피숍의 사이트에 로그인하면 해당 네트워크의 누군가가 사용자 이름과 비밀번호를 일반 텍스트로 볼 수 있습니다.

하지만 HTTPS를 사용하면 사용자 이름과 비밀번호(다른 모든 데이터와 함께)가 안전하게 암호화됩니다. 즉, 악의적인 행위자는 많은 임의의 문자만 볼 수 있습니다.

워드프레스 HTTPS 사용

요즘 대부분의 고품질 WordPress 호스팅 제공업체는 무료 SSL 인증서를 제공합니다.

호스팅 대시보드를 통해 SSL 인증서를 설치하면 HTTPS를 사용하도록 사이트를 구성할 수 있습니다. 사이트를 HTTPS로 이동하는 데 도움이 필요한 경우 무료 Real Simple SSL 플러그인이 원 클릭 설정을 제공합니다.

자세한 내용은 WordPress HTTPS 가이드를 따르십시오.

6. 지원되는 PHP 버전 사용

워드프레스는 PHP 프로그래밍 언어로 작성되었습니다. 그러나 호스팅 계정에서 사용할 수 있는 다른 PHP 버전이 있습니다.

이전 버전의 PHP는 더 이상 유지 관리를 받지 않으므로 패치되지 않은 보안 문제가 있을 수 있습니다.

2022년 현재 보안 업데이트를 받는 가장 오래된 PHP 버전은 PHP 7.4입니다. 그러나 2023년부터 최소한 PHP 8.0을 사용하고 싶을 것입니다.

이 페이지에서 현재 PHP 버전 지원을 확인할 수 있습니다.

워드프레스 PHP 지원

추가 보너스로 최신 버전의 PHP는 성능이 크게 향상되어 사이트가 더 안전할 뿐만 아니라 더 빠르게 로드됩니다.

PHP를 업데이트하는 방법을 잘 모르는 경우 호스트의 지원에 문의할 수 있습니다. 또한 인기 있는 WordPress 호스트에서 PHP를 업데이트하는 방법에 대한 가이드도 있습니다.

7. 사이트를 정기적으로 백업

사이트를 백업해도 사이트에서 보안 문제가 발생하는 것을 방지 할 수는 없습니다. 그러나 보안 문제가 더 큰 문제로 바뀌는 것을 방지합니다.

백업 이 없으면 사이트의 보안 사고는 절대적으로 파괴적일 수 있습니다. 데이터 손실, 가동 중지 시간 등이 발생할 수 있습니다.

그러나 최근 백업의 경우 보안 사고의 최악의 경우는 일반적으로 사이트의 깨끗한 백업을 복원해야 하는 경우입니다. 여전히 짜증나지만 훨씬 덜 치명적입니다.

호스트가 보안 자동 백업을 아직 제공하지 않는 경우 Jetpack Backup 또는 BlogVault와 같은 유료 도구는 안전한 오프사이트 백업을 활성화하는 가장 간단한 방법을 제공합니다.

도구 비용을 지불할 예산이 없다면 UpdraftPlus도 훌륭한 무료 옵션입니다. Google 드라이브 또는 Amazon S3와 같은 오프사이트 저장소 공급자에 연결하기만 하면 됩니다.

다음은 최고의 WordPress 백업 플러그인에 대한 전체 게시물입니다.

12가지 추가 WordPress 보안 강화 팁

위의 필수 WordPress 웹 사이트 보안 모범 사례를 충실히 구현하면 사이트에서 발생하는 문제의 99%를 피할 수 있습니다.

그러나 상황을 더욱 강화하려는 경우 사이트를 추가로 보호하기 위해 구현할 수 있는 몇 가지 추가 강화 팁이 있습니다.

8. 방화벽 설정

방화벽은 사이트나 서버에 영향을 미치기 전에 악성 트래픽이나 작업을 차단하여 위협으로부터 사이트를 사전에 보호할 수 있습니다.

많은 호스트가 이미 자체 방화벽을 구현하고 있기 때문에 고품질 WordPress 호스팅을 사용하는 경우 사이트에 필수 방화벽이 아닐 수 있습니다( 위 참조 ).

호스트가 그렇지 않은 경우(또는 더 많은 보호를 원하는 경우) Wordfence와 같은 플러그인을 사용하여 애플리케이션 수준에서 방화벽을 추가하거나 Cloudflare 또는 Sucuri와 같은 서비스를 사용하여 DNS 수준에서 방화벽을 추가할 수 있습니다.

9. WordPress 보안 플러그인 사용

전용 보안 플러그인 없이도 안전한 워드프레스 사이트를 만들 수 있으므로 보안 플러그인이 반드시 필요한 것은 아닙니다.

하지만 보안 플러그인은 다음과 같은 몇 가지 이유로 여전히 유용할 수 있습니다.

  1. 보안 플러그인은 새로운 위협으로부터 보호하기 위해 실시간 방화벽을 제공할 수 있습니다.
  2. 품질 보안 플러그인을 사용하면 이 목록에 있는 다른 많은 강화 팁을 쉽게 구현할 수 있으므로 작업을 단순화하고 시간을 절약할 수 있습니다.

의심스러운 경우 Wordfence 플러그인은 시작하기에 좋은 옵션입니다. 최고의 WordPress 보안 플러그인의 전체 컬렉션에서 더 많은 옵션을 찾을 수 있습니다.

10. WordPress 버전 숨기기

WordPress 버전 번호를 숨기면 악의적인 행위자가 사이트의 버전 번호를 감지하기가 약간 더 어려워짐으로써 무시할 수 있는 수준의 "불분명한 보안"이 추가됩니다.

그것을 숨기려면 다음 코드를 자식 테마의 functions.php 파일이나 코드 조각과 같은 플러그인에 추가할 수 있습니다.

 function wp_version_remove_version_number() return ''; add_filter('the_generator', 'wp_version_remove_version_number');

더 나아가려면 사이트에서 WordPress를 사용하는 것을 숨기는 방법에 대한 가이드가 있습니다.

11. 파일 권한 확인

고품질 호스트를 사용하는 경우 사이트의 파일 권한이 이미 정확해야 합니다. 그러나 올바른 파일 권한을 갖는 것이 중요하므로 다시 확인하는 것이 좋습니다.

자세히 알아보려면 WordPress 파일 권한에 대한 전체 가이드를 확인하세요.

12. FTP에는 보안 연결만 사용

FTP 또는 기타 기술을 통해 사이트에 연결할 때마다 SFTP와 같은 보안 프로토콜을 사용해야 합니다.

HTTPS가 브라우저와 웹사이트 간에 이동하는 데이터를 보호하는 것처럼 SFTP는 FTP 클라이언트와 서버 간의 연결을 보호합니다.

또한 암호가 안전하게 암호화되지 않은 경우 FTP 클라이언트에 FTP 암호를 저장하지 않아야 합니다.

13. 활동 로깅 설정

활동 로깅을 사용하면 사용자가 대시보드에서 수행하는 작업을 추적할 수 있으므로 의심스러운 활동을 포착하는 데 도움이 됩니다(특히 다른 사용자에게 대시보드 액세스 권한을 부여한 경우).

웹사이트 보안을 위한 WordPress 활동 로깅

이를 설정하려면 WP 활동 로그와 같은 플러그인을 사용할 수 있습니다. 활동 기록을 설정하는 방법에 대한 자습서와 비용을 절약할 수 있는 독점적인 WP 활동 기록 쿠폰이 있습니다.

14. 정기적인 악성코드/보안 검사 실행

위의 모범 사례를 구현한 경우 사이트에 문제가 발생하지 않아도 되지만 사이트에서 맬웨어/보안 검사를 주기적으로 실행하는 것이 좋습니다.

사이트 프론트엔드의 문제를 확인하려면 무료 Sucuri SiteCheck 도구를 사용할 수 있습니다.

서버 파일의 전체 검사를 실행하려면 MalCare 또는 Wordfence와 같은 도구를 고려할 수 있습니다.

WordPress 호스트는 자체 일일 맬웨어 검사를 실행할 수도 있으므로 이러한 도구가 중복될 수 있습니다.

15. XML-RPC 비활성화

XML-RPC는 외부 도구가 데스크톱 WordPress 앱과 같은 WordPress 사이트에 연결할 수 있도록 도와줍니다.

그러나 이러한 도구를 사용하지 않으면 사이트에 불필요한 공격 벡터가 추가될 뿐입니다. 완전히 비활성화하려면 무료 XML-RPC 비활성화 플러그인을 사용할 수 있습니다.

16. 핫링크 차단

핫링크는 누군가가 귀하의 서버에서 콘텐츠(예: 이미지)를 자신의 사이트에 삽입하는 것입니다. 귀하의 허락 없이 서버의 리소스를 소모하여 사이트의 보안에 영향을 줄 수 있습니다.

핫링크를 차단하려면 사이트의 .htaccess 파일에 코드를 추가하면 됩니다.

핫링크를 차단하는 데 필요한 .htaccess 코드를 생성하려면 이 무료 도구를 사용할 수 있습니다. 특정 핫링크 공급자(예: Google 이미지 검색)를 허용 목록에 추가하고 다른 공급자는 차단할 수 있습니다.

17. WordPress 데이터베이스 접두사 변경

WordPress 데이터베이스 접두사를 변경하면 약간의 "불분명한 보안"이 추가되지만 일부 전문가(Wordfence 포함)는 보안 이점이 매우 사소하다고 말합니다.

기존 WordPress 사이트가 있는 경우 사이트 손상 위험이 잠재적인 보안 이점보다 크기 때문에 이 작업을 수행하지 않는 것이 좋습니다.

그러나 새 WordPress 사이트를 설정하는 경우 큰 효과가 없더라도 사용자 지정 데이터베이스 접두사를 사용할 수도 있습니다.

18. wp-content/uploads 폴더에서 PHP 파일 실행 비활성화

wp-content/uploads 폴더에서 PHP 파일 실행을 비활성화하여 일부 극단적인 경우 공격을 차단할 수 있습니다.

방법은 다음과 같습니다.

  1. 메모장을 사용하여 새 .htaccess 파일을 만듭니다.
  2. 아래에 코드 스니펫을 추가하세요.
  3. 해당 파일을 wp-content/uploads 폴더에 업로드합니다.
 <Files *.php> deny from all </Files>

19. 대시보드 내 코드 편집 비활성화

기본적으로 WordPress를 사용하면 WordPress 대시보드에서 테마 및 플러그인 파일을 편집할 수 있으므로 공격자가 관리자 계정에 액세스할 수 있는 경우 악성 코드를 추가할 수 있습니다.

이를 방지하려면 다음 스니펫을 wp-config.php 파일에 추가하여 파일 편집을 비활성화할 수 있습니다.

define( 'DISALLOW_FILE_EDIT', true );

워드프레스 웹사이트 보안 FAQ

끝내기 위해 다음은 WordPress 보안에 대한 몇 가지 일반적인 질문입니다.

WordPress에 보안 문제가 있습니까?

WordPress 자체에는 보안 문제가 없지만 사이트에 플러그인을 설치하면 보안 취약성이 발생할 수 있습니다. 특히 잘못 코딩되거나 유지 관리되는 플러그인의 경우에 그렇습니다.

WordPress는 쉽게 해킹됩니까?

대다수의 WordPress 사이트는 소프트웨어 자체가 아니라 사용자 오류로 인해 해킹됩니다. 몇 가지 필수 보안 모범 사례를 따르면 사이트를 해킹하기가 매우 어려워집니다.

WordPress를 안전하게 만들 수 있습니까?

네 그럼요. 모범 사례를 따르는 한 WordPress는 매우 안전할 수 있습니다. 많은 주요 브랜드가 WordPress를 신뢰하는 데는 이유가 있습니다.

WordPress 보안 플러그인이 필요하십니까?

포괄적인 보안 플러그인 없이도 안전한 WordPress 사이트를 만들 수 있습니다. 그러나 이러한 플러그인을 사용하면 보안 강화 모범 사례를 구현하는 프로세스를 단순화하고 방화벽 및 보안 검색과 같은 유용한 기능에 액세스할 수 있습니다.

지금 WordPress 보안 모범 사례를 구현하십시오

이 게시물에서 다른 것을 취하지 않는다면 위에서 언급한 최소 7가지 워드프레스 보안 팁을 구현하기를 바랍니다.

이 7가지만 수행하면 사이트의 보안 문제를 99.9% 피할 수 있습니다.

더 나은 보호를 원하면 이 목록에 있는 19가지 팁을 모두 계속 적용할 수 있습니다.

WordPress 보안에 대해 여전히 질문이 있습니까? 댓글로 알려주세요!