WordPress 사이트를 보호하는 방법에 대한 종합 가이드.

게시 됨: 2018-10-16
대부분의 사람들은 웹사이트 디자인과 개발을 처음 시작할 때 주로 원하는 대로 작동하게 만들고 사이트를 멋지게 보이게 하는 데 관심을 가집니다. WordPress 보안은 주요 관심사 중 하나가 아닙니다.

거의 모든 사람들이 해킹에 대해 들어봤거나 읽었기 때문에 이것은 재미있습니다. 그러나 우리 사이트에 관해서는 우리에게 그런 일이 일어나지 않을 것으로 예상합니다. 해커가 우리 지역 비즈니스의 작은 부분에 관심을 갖는 이유는 무엇입니까? 잘못된. WordPress 보안은 매우 중요하므로 WordPress 웹 사이트를 적절히 보호하고 고정해야 합니다. 그 이유를 살펴보자!

해커가 사이트를 해킹하는 이유와 방법은 무엇입니까?

웹사이트 해킹을 방지하는 방법을 논의하기 전에 웹사이트 해킹 이면의 이유를 이해하는 것이 중요합니다. 소규모 비즈니스 사이트나 개인 블로그라도 해커가 웹사이트에 관심을 보이는 데에는 여러 가지 이유가 있을 수 있습니다.

사이트가 해킹된 주된 두 가지 이유는 - 하나는 특정 이념이나 그룹을 지원하는 콘텐츠를 게시하고 배포하기 위해 웹사이트를 변형하는 것과 같은 정치적인 이유입니다.

다른 하나는 사기 수단을 통해 돈을 벌기 위한 것입니다. 작동 원리는 해킹된 웹 사이트가 악성 소프트웨어를 유포하는 중개자 역할을 하며, 대부분의 경우 사이트 소유자는 이를 알지도 못합니다.

해킹된 사이트를 통해 운영되는 온라인 암시장입니다. 귀하의 웹사이트는 범죄 활동에 연루된 당사자가 될 가능성이 있습니다!

이 외에 다른 부정적인 영향은 다음과 같습니다.

  • 해킹 및 훼손된 웹사이트는 브랜드 평판을 손상시키고 심각한 당혹감을 유발할 수 있습니다.
  • 해킹된 사이트는 일반적으로 호스팅 서버에 의해 차단되어 비즈니스 손실을 초래합니다.
  • 사이트가 잘리면 스팸 프록시로 사용될 수 있습니다.
  • 웹 사이트가 백업되지 않은 경우 복구 비용이 매우 높을 수 있습니다.

귀하의 사이트가 해킹당할 수 있는 이유를 간략하게 확인했으므로 이제 해커가 온라인에서 사용 가능한 수백만 개의 사이트 중에서 귀하의 특정 사이트를 찾아 표적으로 삼는 방법을 살펴보겠습니다.

해커가 귀하의 사이트를 표적으로 삼을 가능성은 매우 낮겠죠? 결국, 그것은 웹사이트의 바다에 떨어진 한 방울에 불과합니다. 글쎄, 거품을 터트려서 미안하지만 그건 틀렸어!

해킹은 수동으로 수행되지 않습니다. 해커는 취약한 웹사이트를 찾는 것만 기능하는 로봇/프로그램을 사용합니다. 이러한 프로그램은 일반적으로 클라우드 서버에서 실행되며 필요에 따라 설정 및 삭제되므로 흔적이 거의 또는 전혀 남지 않습니다. 그들은 매시간 수천 개의 웹사이트를 발견하도록 만들어졌습니다. 사이트를 찾을 때 WordPress 및 해당 플러그인에서 지속적으로 발견되는 취약점을 검색합니다. 추측하기 쉬운 비밀번호나 신뢰할 수 없거나 신뢰할 수 없는 호스팅 사용과 같은 인적 오류로 인해 발생할 수도 있습니다.

따라서 WordPress 사이트를 보호하는 것은 선택 사항이 아니라 필수 사항이며 프로세스를 통해 귀하를 돕기 위해 여기 있습니다!

WordPress 보안 가이드

다음과 같은 보안 조치의 긴 목록이 끝나면 WordPress 웹 사이트를 완전히 보장할 수 있습니다. 웹사이트 보안과 관련하여 모든 사람이 특정 기본 조치를 취해야 합니다.

이들은 먼 길을 가고 WordPress를 합리적으로 안전하게 유지하는 무시할 수없고 대부분 간단한 것들입니다. 그런 다음 웹 사이트의 안전에 대해 편집증이 심하고 보안을 극도로 유지하기 위해 더 많은 노력을 기울이는 데 신경 쓰지 않는 사용자를 위한 또 다른 조치가 있습니다.

먼저 모든 웹사이트 소유자가 수행해야 하는 필수 보안 작업인 이전의 일련의 조치에 대해 논의해 보겠습니다.

기본 사용자 이름 변경

WordPress를 보호하는 가장 쉽고 빠른 방법 중 하나는 기본 "Admin" 사용자 이름을 추측하기 쉽지 않은 것으로 변경하는 것입니다. 이상적으로는 WordPress 자체를 설치하는 동안 관리자 사용자 이름을 변경해야 하지만 아직 변경하지 않은 경우 phpMyAdmin을 사용하거나 데이터베이스에서 Standardized Query Language 스크립트를 실행하여 이름을 변경할 수 있습니다.

어느 쪽이든, 이 간단한 WordPress 보안 해킹은 웹사이트가 많은 무작위 해킹 시도를 피하는 데 도움이 될 것입니다.

강력한 암호를 사용하고 다른 플랫폼에서 재사용하지 마십시오.

해커들은 인간으로서 우리가 비밀번호를 잊어버리는 경향이 있기 때문에 안전하고 동일한 비밀번호를 유지하려고 노력한다는 사실을 알고 있습니다. 해적들은 이것을 활용하는 방법을 알고 있으며 일반적으로 가장 일반적으로 사용되는 비밀번호 목록을 가지고 있으며 비밀번호를 찾을 때까지 계속해서 시도합니다. 이 기술을 무차별 암호 대입이라고 합니다. 따라서 안전하고 복잡한 암호를 유지하는 것은 WordPress 보안을 위한 간단한 단계입니다.

명심해야 할 또 다른 사항은 비밀번호를 재사용하지 않는 것입니다. 비밀번호를 재사용하면 계정 중 하나가 손상된 경우에도 해커가 나머지 모든 계정에 액세스할 수 있습니다. 예, 매우 다양하고 복잡한 비밀번호를 기억하는 것이 불편하고 번거로울 수 있지만 이를 돕기 위해 시중에 나와 있는 많은 비밀번호 관리자가 비밀번호를 안전하게 저장하고 유지하도록 도와줍니다. 이것을 사용하는 것이 좋습니다.

항상 최신 버전의 WordPress 실행

모든 핵심 업데이트와 함께 WordPress는 최근에 발견된 보안 문제를 수정하기 때문에 WordPress를 최신 상태로 유지하는 것이 중요합니다. 최신 버전이 일부 플러그인과 호환되지 않을 수 있기 때문에 사람들이 WordPress 핵심 업데이트를 비활성화하는 경우가 많습니다. 그러나 기억해야 할 중요한 점은 해킹된 웹사이트가 일시적으로 손상된 플러그인보다 훨씬 더 문제가 많다는 것입니다.

WordPress 코어를 변경하지 마십시오

WordPress 코어 소스 파일을 편집하는 것은 WordPress를 최신 버전으로 자동 업데이트하는 용이성을 없애기 때문에 끔찍한 생각입니다. WordPress 코어를 변경한 경우 최신 버전으로 업데이트하면 이러한 변경 사항을 잃게 됩니다.

WordPress 기능을 변경하려면 어떻게 해야 합니까?

플러그인을 작성하는 것이 답입니다. WordPress 코어에 대한 타협 없이 원하는 모든 것을 할 수 있는 자유를 제공합니다.

테마와 플러그인에도 동일하게 적용됩니다. 코어 조정을 시도하면 최신 버전으로 업데이트할 수 없게 됩니다. 대체로 원하는 기능을 얻는 다른 방법이 항상 있으며 핵심을 변경하는 것은 올바른 방법이 아닙니다.

모든 플러그인과 테마가 업데이트되었는지 확인하세요.

플러그인과 아이디어를 업데이트해야 하는 이유는 WordPress를 업데이트해야 하는 이유와 같습니다. 해킹 공격으로부터 사이트를 안전하게 유지하기 위해 수동이든 자동이든 최신 버전으로 업데이트하는 것은 귀하의 책임입니다.

WordPress.org에서 다운로드한 플러그인 을 사용하는 경우 자동 백그라운드 업데이트를 활성화할 수 있으며 다른 상용 플러그인 업데이트의 경우 플러그인 메커니즘을 통해 이를 처리해야 합니다. 또한 최신 업데이트를 받으려면 플러그인 멤버십을 항상 활성 상태로 유지하십시오.

이제 테마 업데이트와 관련하여 업데이트를 수행할 때 테마 에 대한 모든 변경 사항이 어떻게 될지 걱정할 수 있습니다. 테마를 변경할 때 해야 할 일은 실제 테마를 직접 변경하는 것이 아니라 "자식 테마"를 통해 변경하는 것입니다.

이렇게 하면 지금까지 변경한 내용을 잃지 않고 테마를 최신 버전으로 쉽게 업데이트할 수 있습니다. 업데이트가 필요한 테마를 확인하려면 WordPress에서 "모양"으로 이동한 다음 "테마"로 이동하십시오. 플러그인과 동일한 방식으로 자동 백그라운드 업데이트를 활성화할 수도 있습니다.

항상 공식 소스에서만 플러그인, 테마 및 스크립트를 다운로드하십시오.

더 나은 가격이나 무료로 비공식 소스에서 테마와 플러그인을 얻고 싶은 유혹을 받을 수 있지만 그렇게 하는 것은 현명한 생각이 아닙니다. 이는 이러한 불법 복제 테마와 플러그인 중 상당수가 해커가 악의적인 계획을 수행하기 위한 백도어 역할을 하도록 잘못 조정되었기 때문입니다.

WordPress가 안전한지 확인하려면 항상 안전한 사이트에 의존하여 고품질 플러그인과 테마를 찾아야 합니다. 이들 중 가장 일반적인 것은 WordPress.org입니다. 다른 신뢰할 수 있는 사이트는 WordPress.com, ThemeForest.net, CodeCanyon.net 등입니다.

사이트는 항상 최신 버전의 PHP를 실행해야 합니다.

PHP는 WordPress의 기본 엔진이며 몇 가지 버전 업데이트가 제공됩니다.

그러나 글로벌 WordPress 통계 페이지에 따르면 WordPress 설치의 거의 80%가 더 이상 지원되지 않는 PHP 버전에서 실행됩니다! 첫째, 귀하의 웹사이트는 최신 버전에서 제공되는 성능 기능의 이점을 얻지 못하고 이전 버전에서 발견된 보안 결함을 수정하지 않기 때문에 이것은 우려의 원인입니다.

이것이 바로 귀하의 사이트가 최신 버전의 PHP를 실행하는지 확인하는 것이 필수적인 이유입니다.

WordPress 코어를 업데이트하는 동안 플러그인과 테마는 매우 명확한 작업입니다. PHP 버전 업데이트는 대부분 호스팅 서버에 따라 다릅니다. 이것이 보안 호스팅 서버를 선택하는 것이 필수적인 이유 중 하나입니다. WordPress 설치와 함께 최신 버전의 PHP를 사용할 수 있습니다. 보안 WordPress 호스팅 서비스에는 사이트가 노출된 최신 취약점을 확인하고 이를 완화하기 위한 조치를 취하는 사전 예방적 팀도 있습니다.

신뢰할 수 있는 네트워크를 통해서만 사이트 업데이트

공항이나 동네 카페 같은 곳에서 무료 인터넷 Wi-Fi를 사용하는 것을 누가 좋아하지 않습니까? 그러나 이러한 개방형 Wi-Fi 연결은 감시하기 쉽습니다. 이러한 네트워크를 통해 WordPress 관리 사이트에 액세스하는 것을 피해야 합니다. 특히 웹사이트를 업데이트할 때 항상 집이나 사무실에 있는 것과 같은 신뢰할 수 있는 시스템을 사용하십시오.

안티바이러스 사용

데스크탑에 바이러스가 있는 경우 웹사이트에 자체 복제하여 빠르게 확산될 수 있습니다. 이것은 일반적으로 바이러스가 사이트를 감염시키는 데 사용하는 체계입니다. 그런 다음 스파이를 통해 귀하의 비밀번호나 은행 및 개인 정보에 액세스할 수 있습니다. 이것이 워크스테이션이 신뢰할 수 있고 업데이트된 바이러스 백신을 사용하고 있는지 확인해야 하는 이유입니다.

WordPress 보안 플러그인을 사용하여 사이트 보호

보안 플러그인을 사용하면 사이트가 어떤 취약점에 노출되는지 알려주고 해결 방법에 대한 지침을 제공합니다. 플러그인을 사용하는 것은 WordPress 사이트를 보호하는 간단하면서도 안전한 방법이며 노력이 거의 필요하지 않습니다. 그들은 스캔을 실행하고 웹사이트 내에서 추적된 모든 문제에 대한 자세한 검토를 제공합니다.

신뢰할 수 있는 보안 플러그인으로는 Total Security, Vulnerable Plugin Checker, iThemes Security Pro 및 Plugin Inspector가 있습니다.

사이트 백업 유지

위의 모든 조치가 실패하고 사이트의 보안이 여전히 손상된 경우 이 단계가 귀하를 구할 것입니다.

사이트에 대한 백업을 만들고 예약하는 것이 중요합니다. 이러한 계획된 백업은 사이트 보안 정책의 필수 불가결한 부분입니다. 사이트가 손상된 경우 손상되기 전의 버전으로 쉽게 복원되도록 하기 때문입니다.

해킹의 경우뿐만 아니라 사고나 기술적인 오류의 경우에도 백업이 있으면 사이트를 즉시 복구하고 다시 실행할 수 있습니다.

우리의 기본적이고 필수적인 보안 조치 목록은 여기서 끝입니다!

이제 보안 광신자를 위한 WordPress 보안 팁에 대해 논의할 두 번째 부분에 도달했습니다. 이것은 웹 사이트에 대한 다양한 보호 계층을 원하는 관리자를 위한 것입니다.  

WordPress 비밀 인증 키를 설정했는지 확인하십시오.

wp-config.php에서 8개의 WordPress 보안 및 인증 키를 찾을 수 있습니다. 이는 데이터베이스에 저장되는 방식에 무작위 요소를 추가하여 WordPress 비밀번호를 추론하기 어렵게 만드는 임의의 변수일 뿐입니다.

어떻게 사용할 수 있는지 살펴보겠습니다.

  • 먼저 WordPress Random Generator를 사용하여 키 세트를 생성합니다.
  • 그런 다음 wp.config 파일을 편집합니다. "인증 고유 키" 섹션에서 이전 단계에서 생성된 고유 키를 추가할 위치를 찾을 수 있습니다.

이러한 키를 공유하거나 공개해서는 안 됩니다.

로그인 시도 제한

우리는 이미 무차별 대입과 해커가 암호를 알아내기 위해 그것을 사용하는 방법에 대해 이야기했습니다. 바로 이러한 이유 때문에 로그인 시도를 제한하는 메커니즘을 배치하는 것이 필수적입니다.

다행히도 이 작업을 수행하는 플러그인이 있습니다. "Limit Login WordPress" 플러그인은 잘못된 암호 시도를 많이 감지하고 특정 시간 동안 추가 시도를 비활성화하여 무차별 대입 시도에 실패하고 사이트 보안을 개선합니다.

이중 인증 활성화

Two Factor Authentication 또는 2FA는 WordPress 로그인을 보호하는 매우 효율적인 방법입니다. 2FA를 활성화하면 WordPress 관리자에 로그인할 때마다 일반 비밀번호 외에 시간 기반 보안 토큰(모든 사용자에게 고유)이 필요합니다. 이 보안 토큰은 일반적으로 60초인 짧은 기간 내에 만료됩니다.

이것은 누군가가 귀하의 로그인 자격 증명을 가지고 있더라도 귀하의 로그인에 액세스하는 것을 매우 어렵게 만듭니다(현재 보안 토큰이 없기 때문에).

따라서 2FA를 활성화하면 로그인을 강화하고 로그인 세부 정보에 대한 무차별 대입 공격을 피할 수 있는 완전한 방법입니다.

PHP 실행 비활성화

해커가 사이트에 액세스하면 가장 먼저 하는 일은 디렉토리 내에서 PHP를 실행하는 것입니다. 현명한 일은 이것을 완전히 비활성화하는 것입니다. 그런 다음 WordPress 웹 사이트에 일부 취약성이 존재하더라도 이 보호 기능은 사이트를 방해하려는 나머지 해커의 노력을 사전에 차단합니다.

이것은 WordPress 보안을 향한 강력한 단계이며 이를 필요로 할 수 있는 특정 테마 및 플러그인의 손상으로 이어질 수 있지만 가장 위험한 디렉토리 wp-include 및 uploads에서 구현하는 것이 좋습니다.

.htaccess 파일에 다음 코드를 추가하여 이 보호 기능을 구현할 수 있습니다.

  • <파일 *.php>
  • 주문 허용, 거부
  • 모두 거부
  • </파일>

파일 편집 비활성화

기본적으로 WordPress 관리자는 PHP 파일을 편집할 수 있기 때문에 웹 사이트를 만드는 초기 단계에 있는 동안 일반적으로 플러그인과 테마 파일을 만지작거립니다. 그러나 웹 사이트가 개발되면 이 편집 옵션을 거의 사용하지 않을 것입니다.

따라서 웹 사이트가 가동되고 활성화되면 WordPress 관리자에 대한 파일 편집을 비활성화하는 것이 좋습니다. 해커가 사이트에 로그인하더라도 편집 권한이 없고 악의적인 계획을 실행하기 위해 파일을 변경할 수 없기 때문입니다. 파일 편집을 비활성화하려면 wp-config.php 파일에 다음 명령을 삽입하십시오. define('DISALLOW_FILE_EDIT', true);

WordPress 데이터베이스 분리

동일한 데이터베이스에 모든 사이트를 만들고 그 중 하나라도 손상되면 동일한 데이터베이스에서 호스팅되는 다른 모든 WordPress 사이트도 해킹을 당할 위험이 큽니다. WordPress를 설치하는 동안 항상 새 데이터베이스를 만들고 별도의 데이터베이스 이름, 데이터베이스 및 암호를 지정해야 합니다. 사용하는 다른 사이트나 로그인과 다른지 확인하십시오.

이것이하는 일은 사이트 중 하나가 해킹되면 동일한 공유 호스팅 계정에서도 감염이 다른 장소로 퍼지는 것을 중단한다는 것입니다.

사용하지 않는 경우 XML-RPC 비활성화

응용 프로그램은 API(응용 프로그래밍 인터페이스)로 알려진 것을 통해 WordPress에 액세스할 수 있습니다. 간단한 용어로 설명하자면 XML-RPC의 예는 전화 애플리케이션을 사용하여 사이트를 업데이트하는 것입니다. XML-RPC 기능을 사용하는 특정 플러그인도 있습니다.

그러나 타사 응용 프로그램을 사용하지 않고 XML-RPC를 통해 웹사이트를 사용하는 WordPress 플러그인이 없는 경우 XML-RPC를 해킹하는 도구로 사용할 수 있으므로 비활성화하는 것이 좋습니다. 대지.

wp-config.php 파일 보호

wp-config.php 파일은 데이터베이스 로그인 세부 정보, 해싱 암호 솔트 등과 같은 많은 필수 구성 설정을 저장하는 가장 중요한 데이터 중 하나입니다. 여기에 침입하는 사람이 없으므로 보안 조치가 필요합니다. 이 중요한 WordPress 구성 파일을 보호하려면 가져와야 합니다.

PHP 실행을 비활성화하지 않은 경우(15번 항목에서 설명) .htaccess 파일에 다음 명령을 추가하십시오.

  • <파일 wp-config.php>
  • 주문 허용, 거부
  • 모두를 부정하다
  • </파일>

방화벽 설치

매우 간단하게 유지하기 위해 Software Fireball은 물건이 들어오지 못하게 하거나 밖으로 나가는 것을 막습니다. 이 경우 해커가 웹사이트(또는 웹사이트 당사자)에 접근하는 것을 방지하는 데 도움이 됩니다. WAF(웹 응용 프로그램 방화벽)를 사용해야 하며 일반적으로 WordPress 호스팅 서비스에서 무료로 제공되는 가장 신뢰할 수 있고 오픈 소스 방화벽 중 하나는 "ModSecurity" 방화벽입니다.
호스팅 서비스에서 이를 제공하는지 확인할 수 있으며 제공되는 경우 사용할 수 있으며 활성화할 수 있습니다.

또한 CDN(콘텐츠 배달 네트워크 방화벽) 을 사용하여 풍부한 리소스를 빠르게 제공하여 사이트 성능을 향상시키는 것이 좋습니다. CDN은 또한 수많은 WordPress 보안 문제로부터 웹사이트를 보호합니다.

PHP 오류 보고 중지

오류 보고는 오류를 인지하고 신속하게 수정할 수 있으므로 웹 사이트를 개발할 때 유용합니다. 그러나 작동 중인 웹 사이트에서 오류 보고가 활성화되면 해커에게 매우 중요한 단서 역할을 하고 해커의 작업을 훨씬 더 편안하게 만듭니다. 오류 보고서는 찾는 사람에게 중요한 정보를 제공할 수 있습니다.

​따라서 사이트가 활성화되면 PHP 오류 보고를 비활성화하면 웹사이트와 관련된 민감한 정보의 공개로 인해 발생하는 최소한 WordPress 보안 위험을 최소화할 수 있습니다. PHP 오류 보고를 비활성화하려면 아래와 같이 php.ini 파일을 변경하십시오.

  • error_reporting = 4339
  • display_errors = 꺼짐
  • display_startup_errors = 꺼짐
  • log_errors = 켜짐
  • error_log = /home/example.com/logs/php_error.log
  • log_errors_max_len = 1024
  • ignore_repeated_errors = 켜짐
  • ignore_repeated_source = 끄기
  • html_errors = 끄기

보안 로깅을 사용하여 WordPress 보안 모니터링

로그를 보면 사이트에서 어떤 공격이 발생하고 있는지 파악하고 이를 차단할 수 있습니다. WordPress 보안을 향상시키는 좋은 방법입니다. 최소한의 예를 들자면, 해킹 시도의 대부분이 특정 영역(귀하의 웹사이트가 처리하지 못하는 영역)에서 온다는 것을 알게 되면 방화벽을 사용하여 해당 영역을 차단할 수 있습니다. 정기적인 감사 로그를 유지하려면 보안 감사 플러그인을 사용하는 것이 좋습니다.

그게 다야!

이것으로 WordPress 사이트를 완전히 보호하기 위한 길고 포괄적인 가이드가 끝났습니다. 이전에 웹사이트를 확인하는 것에 대해 많은 생각을 하지 않았다면 이 체크리스트가 다소 부담스러울 수 있다는 점에는 의심의 여지가 없습니다. 그러나 좋은 점은 대부분의 이러한 단계를 실행하는 데 많은 노력이 필요하지 않으며 시간이 지남에 따라 WordPress 유지 관리 루틴의 정기적인 부분이 된다는 것입니다. 공정하게 말하면, 대부분의 사람들은 위에서 언급한 모든 단계를 수행하지 않을 것이며 괜찮습니다. 그러나 이러한 보안 조치를 많이 취할수록 사이트가 더 안전해집니다. 지금 당신의 약간의 추가 노력은 먼 길을 갈 것입니다!