WordPress 웹사이트가 해커에게 취약할 수 있는 6가지 이유

게시 됨: 2019-04-26

WordPress가 제공하는 뛰어난 기능과 ​​사용자 정의 옵션을 통해 웹 사이트의 거의 33%가 WordPress CMS를 사용하는 것은 놀라운 일이 아닙니다. 그러나 잠재적인 보안 문제는 사이트 소유자에게 다시 돌아올 수 있습니다.

실제로 최근 연구에서 분석된 8,000개의 해킹된 웹사이트 중 74% 가 WordPress를 사용하고 있었습니다.

WordPress 웹사이트를 사용하는 경우 위험을 최소화하기 위해 보안이 올바르게 설정되어 있는지 확인하는 것이 중요합니다.

따라서 취해야 할 가장 좋은 조치는 무엇입니까?

다음 보안 문제는 가장 중요하며 WordPress 사이트를 해커에게 취약하게 만들 수 있습니다. 이러한 문제를 식별하고 수정하는 것이 중요합니다. 곧.

1. 보안되지 않은 호스팅 서비스

웹 사이트를 만드는 데 들어가는 주요 리소스 중 하나는 웹 호스팅입니다.

사이트 성능에서 보안에 이르기까지 호스팅 서비스가 모든 것에 영향을 미칠 수 있습니다. 따라서 적절한 보안을 제공하는 호스팅 제공업체를 선택하는 것이 중요합니다.

호스팅 옵션을 고려하고 분석할 때 다음 팁이 도움이 될 것입니다.

    • 제공하는 모든 보안 기능을 살펴보십시오.
    • 호스팅과 관련하여 비싼 것이 항상 더 나은 것은 아니라는 점을 이해하십시오.
    • 일부 제공업체에는 다른 호스팅 제공업체의 고급 플랜만큼 비용이 많이 드는 엔트리 레벨 플랜이 있습니다. 이것이 항상 비교할 수 있다는 것을 의미하지는 않습니다.
    • 가장 인기 있는 두 가지 호스팅 서비스 유형의 차이점을 알고 있습니다.

       공유 호스팅:
       공유 호스팅 서비스는 WordPress 맬웨어를 감지할 수 있는 기본 보안 검사를 제공합니다.
       또한 사이트를 방문하는 방문자를 추적할 수 있습니다. 이렇게 하면 유해한 방문자를 식별하고 해당 IP 주소를 차단할 수 있습니다.
       공유 호스팅 서비스의 주요 특징은 둘 이상의 웹사이트를 호스팅할 수 있다는 점이며, 이는 다른 호스팅 유형보다 훨씬 저렴합니다.

       관리 호스팅:
       정기적인 악성코드 검사와 함께 보안을 위한 방화벽을 제공하는 호스팅 서비스입니다.
       일부 공급자는 WordPress 파일 및 폴더를 안전하게 유지하기 위해 액세스를 제한하는 '관리 호스팅 서비스'를 제공합니다.
       예를 들어 WP-Engine은 모든 PHP 파일의 변경을 방지하는 반면 Pantheon은 테마 및 플러그인 데이터가 포함된 폴더를 제외한 폴더에 쓰기를 허용하지 않습니다.
  • 고객 지원 테스트:
     고객 지원은 호스팅 제공업체를 비교할 때 고려해야 할 또 다른 요소입니다.

     사소한 문제이든 완전한 고장이든 상관없이; 호스팅 서비스에 관한 것이라면 공급자는 완전한 고객 지원을 제공해야 합니다.

     공급자의 지원 시스템이 얼마나 자격이 있는지 알아보려면 연락처 정보를 얻고 연락하기만 하면 됩니다. 그들에게 모든 질문을 하고 그들이 당신의 문제를 해결하는 동안 얼마나 참을성 있고 협조적인지 확인하십시오.

     이 경험을 바탕으로 보안 침해가 발생한 경우 그들이 어떻게 대응할지 알 수 있을 것입니다. 이것은 구매 여부를 결정하는 데 도움이 됩니다.

이미 잘못된 공급자로부터 호스팅 계획을 구입했다면 걱정하지 마십시오. 요금제가 만료될 때까지 기다릴 필요가 없습니다. BlogVault 및 Migrate Guru와 같은 서비스를 사용하면 번거로움 없이 다른 호스팅 제공업체로 마이그레이션할 수 있습니다.

2. 시스템 업데이트

다른 CMS와 마찬가지로 WordPress는 정기적인 업데이트가 필요합니다. 이를 무시하면 WordPress 사이트가 잠재적인 보안 위험에 빠질 수 있습니다.

실제로 해킹된 WordPress 웹사이트의 80% 는 오래된 테마 및/또는 플러그인을 실행하고 있었습니다. 눈이 번쩍 뜨이는군요. 맞죠?

수천 명의 개발자가 다양한 테마와 플러그인을 작업하는 오픈 소스 CMS가 된다는 것은 WordPress 대시보드가 ​​사용 중인 플러그인과 테마를 기반으로 많은 업데이트를 받을 수 있음을 의미합니다.

모든 핵심 테마와 플러그인이 최신 버전으로 업데이트되었는지 확인해야 합니다.

 플러그인 업데이트 단계:

  • WordPress 대시보드를 열고 플러그인 > 설치된 플러그인으로 이동합니다.
  • 대시보드는 설치한 플러그인을 표시하는 페이지로 이동합니다.

     보류 중인 플러그인을 확인하고 업데이트하고 '지금 업데이트'를 클릭합니다.

마찬가지로 모양 > 테마로 이동하여 거의 동일한 방식으로 사이트의 테마를 업데이트할 수 있습니다.

테마/플러그인/시스템에 추가된 최신 기능도 잠금 해제됩니다. 이는 웹사이트의 보안과 안정성을 동시에 유지하는 데 도움이 됩니다.

3. 불법 복제 테마 또는 플러그인

WordPress 웹 사이트를 설정하면 주머니에 구멍이 뚫리지는 않지만 좋은 WordPress 테마/플러그인처럼 미학적으로 즐겁고 기능이 풍부하게 만들면 $10-$200 사이의 비용이 들 수 있습니다.

이러한 '추정'으로 인한 비용을 피하기 위해 웹마스터는 종종 더 저렴한 경로를 선택하고 무료 또는 무시할 수 있는 가격으로 제공되는 무효/해적판 플러그인/테마를 사용합니다.

이것의 결과는 무엇입니까?

nulled 테마를 사용하는 웹사이트가 http://www.example.xyz?backdoor=go URL을 통해 해커에게 무의식적으로 백도어 액세스 권한을 부여한 경우가 많이 있었습니다 .

 URL이 웹 사이트에 대한 백도어를 트리거하여 해커가 사이트에 액세스할 수 있었고 다음 자격 증명을 사용하여 새 WordPress 관리자 계정을 만들었습니다.

 사용자 이름: backdooradmin
 비밀번호: Pa55W0rd

이것은 일반적으로 실제 테마 소유자가 functions.php 파일에 추가한 추가 단축 코드의 결과입니다.

이러한 위험으로부터 귀하의 사이트를 보호합니다. 항상 공식 WordPress 저장소 또는 Theme Forest 또는 Themeisle와 같은 기타 신뢰할 수 있는 소스에서 테마 및 플러그인을 얻으십시오.

4. 더미 로그인 정보

기본 로그인 페이지:
 동일한 이전 사용자 이름과 추측하기 쉬운 비밀번호를 사용하면 해커가 웹사이트의 백엔드에 침입하려는 시도가 훨씬 쉬워집니다.

어떻게 고치는 지?

  • 사용자 이름 및 비밀번호 문제:
     다른 계정에서 사용하지 않은 사용자 이름과 비밀번호를 만들어 보십시오.

     고유한 사용자 이름을 갖는 것이 중요합니다. 사용자 이름이 추측하기 쉬운 경우 해커가 알아내야 하는 유일한 것은 사용자의 비밀번호입니다.

     웹사이트에 사용자 이름을 표시하지 마십시오. 이렇게 하는 것은 해커에게 WordPress 대시보드에서 잔치를 벌이도록 개인 초대장을 주는 것과 같습니다. 대신 사용자 이름과 다른 닉네임이나 제목을 사용하세요. 기본 로그인 페이지 URL 문제: www.yoursite.com/wp-admin

     이것은 WordPress 로그인 페이지 URL의 가장 쉽고 가장 일반적인 선택이며 사이트를 해커에게 취약하게 만듭니다.

     대부분의 해커는 수동으로 공격하지 않습니다. 그들은 로그인 페이지에 액세스하고 대상 사이트의 로그인 자격 증명을 해독하도록 봇을 프로그래밍합니다.

     기본 로그인 페이지 URL을 사용하면 웹사이트에 침입하려는 봇과 해커의 작업이 줄어듭니다.

     가장 좋은 방법은 기본 로그인 URL을 변경하는 것입니다.

     예를 들어 – www.yoursite.com/wp-admin www.yoursite.com/welcometomysite 로 변경

     이렇게 하려면 다음과 같은 간단한 단계를 따르십시오.

     – 먼저 UpdraftPlus를 사용 하여 WordPress 사이트의 전체 백업을 수행합니다.

    – 그런 다음 'Easy Hide Login' 플러그인을 설치하고 활성화합니다(무료).
    – 플러그인 설정으로 이동하여 로그인 슬러그(예: "welcometomysite")를 선택하여 제출합니다.

     – 이렇게 하면 WordPress 로그인 주소가 yoursite.com/wp-admi n에서 yoursite.com/welcometomysite 로 변경되어 사람들이 사이트를 해킹하기가 훨씬 더 어려워집니다.


 5. 쓰기 가능한 PHP 파일

웹 안팎의 다른 컴퓨터 프로그램과 마찬가지로 WordPress 웹 사이트도 파일과 폴더로 구성됩니다.

이러한 폴더 중 하나는 '업로드' 폴더입니다. 이 폴더는 사이트의 모든 테마와 플러그인 데이터를 저장합니다.

잠재적인 해커는 이 폴더에 PHP 코드를 업로드하여 웹사이트에 액세스하는 방법을 찾을 수 있습니다.

해커가 이 방법을 통해 액세스할 수 있게 되면 메일링 리스트의 이메일 주소와 같은 다른 중요한 리소스와 함께 앞으로 게시할 계획인 콘텐츠를 훔칠 수 있습니다. 그들은 또한 귀하의 사이트에서 백링크를 판매하거나 귀하의 콘텐츠를 사용하여 귀하가 모르는 사이에 자신의 웹사이트에 대한 링크를 생성할 수 있습니다. 또는 최악의 경우 웹사이트 전체를 파괴하고 다운시킬 수 있습니다.

이러한 유형의 해킹의 가장 나쁜 점은 호스팅 제공업체나 검색 엔진이 웹사이트를 금지할 때까지 이에 대해 알 수 없다는 것입니다.

이를 방지하기 위해 다음 단계를 통해 PHP 실행을 비활성화할 수 있습니다.

  • cPanel의 웹사이트 루트 디렉터리에 있는 '업로드' 폴더에 .htaccess 파일을 만듭니다.

  • 메모장(Windows) 또는 TextEdit(Mac)를 사용하여 새 파일을 만듭니다.
  • 이 파일에 다음 코드를 붙여넣고 .htaccess(.htaccess.txt가 아님)로 저장합니다.

     # 워드프레스 시작하기

     다시 쓰기 엔진 켜기
     RewriteBase /
     RewriteRule ^index.php$ – [L] RewriteCond %{REQUEST_FILENAME} !-f
     RewriteCond %{REQUEST_FILENAME} !-d
     RewriteRule . /index.php [L]
     # END 워드프레스
  • 이 파일을 '업로드' 폴더에 업로드합니다.
  • 이제 '업로드' 폴더를 위한 새로운 .htaccess 파일이 생겼습니다. 마우스 오른쪽 버튼을 클릭하여 편집하고 다음 코드를 붙여넣습니다.


     주문 허용, 거부
     모두 거부

위의 단계를 구현하면 웹사이트에서 'PHP'로 구성된 외부 파일의 실행을 방지합니다. 이 변경은 사이트의 보안 벽에 또 다른 벽돌을 추가합니다.

또한 이 방법을 사용하는 것은 약간 위험합니다. 사소한 실수라도 사이트를 손상시킬 수 있습니다. 따라서 cPanel 사용에 대해 확신이 서지 않으면 아는 사람에게 문의하십시오.

6. SSL 인증서 부족

http://yoursite.com https://yoursite.com 은 모두 동일한 웹 페이지를 로드하지만 거래를 깨뜨릴 수 있는 작은 차이가 있습니다 .

SSL 인증서.

위의 예에서 첫 번째 URL은 SSL 인증서를 사용하지 않는 반면 두 번째 예는 SSL 인증서를 사용하고 있습니다.

 이는 방문자의 장치와 웹 서버 간의 통신을 위험에 빠뜨림으로써 웹 사이트의 보안에 큰 영향을 줄 수 있습니다.

SSL 인증서는 정보를 암호화하므로 의도된 수신자 외에는 누구도 액세스할 수 없습니다. 이러한 유출로부터 웹사이트를 보호하려면 가능한 한 빨리 SSL 인증서를 설치하는 것이 좋습니다.

 SSL 인증서 설치는 일반적으로 간단하고 쉽습니다. 일반적으로 호스팅 공급자로부터 SSL 인증서를 구입할 수 있지만 SSL 서비스를 판매하지 않는 경우 다른 공급자로부터 구입을 고려해야 합니다.

호스팅 제공업체로부터 SSL 인증서를 받으면 설치의 번거로움도 줄일 수 있습니다. 그들은 모든 것을 설정하고 'http' 페이지를 'https'로 리디렉션하기만 하면 됩니다.

요약해서 말하자면

보안 위협으로부터 WordPress 사이트를 보호하지 못하면 여러 가지 방법으로 비즈니스에 피해를 줄 수 있습니다. 모든 웹마스터가 웹사이트 보안에 주의를 기울여야 하고 적절한 백업 플러그인과 시스템을 갖추고 있어야 한다는 것은 놀라운 일이 아닙니다. 최선의 노력에도 불구하고 최악의 상황이 발생하여 사이트가 악의적인 공격을 받을 경우 UpdraftPlus는 안전하고 안전한 백업 및 복원 옵션을 제공할 수 있습니다. 이렇게 하면 해킹이 발생한 경우에도 웹사이트에 항상 모든 중요한 안전망이 있는지 확인하는 데 도움이 됩니다.

이 게시물에서 해커로 인해 WordPress 웹 사이트 보안을 잠재적으로 위험에 빠뜨릴 수 있는 6가지 허점을 읽었습니다. 이 문서가 귀하의 사이트를 보호하고 보안 수준을 한 단계 높이는 데 도움이 되었기를 바랍니다.

바이바브 카카르

워드프레스 웹사이트가 해커에게 취약할 수 있는 6가지 이유가 UpdraftPlus에 처음 나타났습니다. UpdraftPlus – WordPress용 백업, 복원 및 마이그레이션 플러그인.