WordPress 보안을 강화하는 12가지 중요한 방법

WordPress는 세계에서 가장 인기 있는 웹사이트 빌더 중 하나입니다. 세계에서 가장 큰 브랜드 및 조직을 포함하여 수백만 명의 사람들이 사용하고 있습니다.

그러나 WordPress 사이트를 가능한 한 안전하게 유지하는 것을 포함하여 큰 책임에는 큰 힘이 따릅니다. 최근 몇 년 동안 유명 WordPress 사이트가 해킹을 당했으므로 사이트를 보호하기 위한 조치를 취하는 것이 중요합니다.

Sucuri의 연구에 따르면 WordPress 사이트의 43%가 공격에 취약합니다.

다음은 WordPress 보안을 강화하는 몇 가지 방법입니다.

WordPress를 최신 상태로 유지

WordPress 보안을 강화하기 위해 할 수 있는 가장 중요한 일 중 하나는 WordPress 사이트를 최신 상태로 유지하는 것입니다.

즉, WordPress 자체는 물론 설치한 테마와 플러그인도 업데이트해야 합니다. WordPress의 새 버전은 정기적으로 릴리스되며 각각의 새 버전에는 발견된 취약점에 대한 보안 수정 사항이 포함되어 있습니다.

WordPress를 업데이트하려면 대시보드 > 업데이트 페이지로 이동하여 "지금 업데이트" 버튼을 클릭하십시오.

테마와 플러그인을 업데이트하는 것도 중요합니다. 대부분의 테마 및 플러그인 개발자는 보안 취약점을 수정하기 위해 정기적으로 업데이트를 릴리스합니다.

대시보드 > 업데이트 페이지에서 테마와 플러그인을 업데이트하거나 WP 업데이트 알리미 플러그인을 설치하면 업데이트가 있을 때 이메일로 알려드립니다.

WordPress 버전 번호 숨기기

WordPress가 인기를 얻으면서 해커들의 표적이 되었습니다.

그들이 찾는 것 중 하나는 모든 WordPress 사이트의 소스 코드에 표시되는 WordPress 버전 번호입니다. 해커는 실행 중인 WordPress 버전을 파악하여 특정 취약점을 표적으로 삼을 수 있습니다. 또한 일부 WordPress 보안 플러그인은 특정 버전의 WordPress에서만 작동합니다.

따라서 WordPress 버전 번호를 숨기는 것이 필수적입니다. 대부분의 WordPress 테마에는 이를 수행할 수 있는 옵션이 있거나 WP-Hardening Plugin과 같은 플러그인을 설치할 수 있습니다.

functions.php 파일에 이 코드를 붙여넣어 수동으로 숨길 수도 있습니다.

function remove_version_info() { return ''; } add_filter('the_generator', 'remove_version_info');


강력한 암호 사용

WordPress 보안을 높이는 또 다른 중요한 방법은 강력한 암호를 사용하는 것입니다.

강력한 암호는 최소 8자 이상이어야 하며 대문자와 소문자, 숫자 및 기호가 혼합되어 있어야 합니다. 방문하는 웹사이트마다 다른 비밀번호를 사용하는 것도 필수입니다. 그렇게 하면 한 사이트가 해킹되더라도 다른 계정은 안전합니다. LastPass 또는 KeePass와 같은 암호 관리자를 사용하여 강력한 암호를 생성하고 기억할 수 있습니다.

Imperva의 연구에 따르면 강력한 암호를 사용하는 것이 일반적인 WordPress 해킹인 무차별 대입 공격을 방지하는 가장 효과적인 방법입니다.

암호 생성기 웹사이트를 사용하여 매우 강력한 암호를 생성하십시오. 다음은 최고의 비밀번호 생성기입니다.

• 마지막 통과
• 노턴
• 1비밀번호

이중 인증 사용

2단계 인증(2단계 인증이라고도 함)은 WordPress 사이트를 보호하는 데 도움이 되는 추가 보안 계층입니다.

이중 인증을 사용하면 일반적으로 스마트폰의 앱에서 생성되는 비밀번호와 두 번째 코드를 입력해야 합니다. 그렇게 하면 누군가 귀하의 비밀번호를 알아맞춘 경우에도 귀하의 스마트폰이 없으면 로그인할 수 없습니다.

WordPress에는 기본적으로 이중 인증이 포함되어 있지 않지만 Google Authenticator 또는 Duo Security와 같은 플러그인을 설치할 수 있습니다.

그러나 스마트폰을 분실하면 이중 인증이 작동하지 않으므로 보조 이메일 주소나 전화번호와 같은 백업 방법이 있어야 합니다.

로그인 시도 제한

WordPress 보안을 강화하는 또 다른 방법은 로그인 시도를 제한하는 것입니다.

기본적으로 WordPress는 로그인 시도 횟수에 제한이 없으므로 해커가 암호를 추측할 수 있는 충분한 기회를 제공합니다. 로그인 시도를 제한하여 무차별 대입 공격을 방지할 수 있습니다. 로그인 시도 제한 및 로그인 잠금과 같은 일부 플러그인을 사용하면 이 작업을 수행할 수 있습니다.

Wordfence의 연구에 따르면 로그인 시도를 제한하면 무차별 대입 공격의 99.99%를 차단할 수 있습니다.

또한 암호를 잊어버린 경우 자신과 같은 합법적인 사용자를 잠그지 않는 플러그인을 선택하십시오.

SSL 사용

SSL(Secure Sockets Layer)은 웹사이트와 사용자의 웹 브라우저 간에 전송되는 데이터를 암호화하는 프로토콜입니다. 즉, 누군가가 데이터를 가로채려고 해도 읽을 수 없습니다. 과거에 전자 상거래 웹사이트는 주로 SSL을 사용하여 신용 카드 정보를 보호했습니다.

그러나 요즘에는 로그인 자격 증명 및 연락처 양식 제출과 같은 민감한 데이터를 보호하기 위해 점점 더 많은 WordPress 사이트가 SSL을 사용하고 있습니다. 몇 가지 다른 방법으로 WordPress 사이트에 SSL을 추가할 수 있습니다. 예를 들어, 일부 웹 호스팅 회사는 무료 SSL 인증서를 제공하거나 Symantec 또는 Comodo와 같은 회사에서 인증서를 구입할 수 있습니다. SSL 인증서가 있으면 WordPress SSL 플러그인을 설치하고 활성화해야 합니다.

플러그인 디렉토리에 대한 액세스 제한

WordPress 플러그인 디렉토리는 사이트에 설치한 모든 플러그인을 포함하는 서버의 폴더입니다.

기본적으로 누구나 이 폴더에 액세스하여 자신이 사용하는 플러그인을 볼 수 있습니다. 해커가 사용 중인 플러그인을 알고 있으면 해당 플러그인의 취약점을 대상으로 할 수 있습니다. 따라서 플러그인 디렉토리에 대한 액세스를 제한하는 것이 필수적입니다. .htaccess 파일에 간단한 코드 줄을 추가하면 됩니다.

서버에서 파일을 편집하는 것이 불편하다면 iThemes Security와 같은 플러그인을 설치하여 코드를 추가할 수 있습니다. .htaccess 파일을 편집하는 경우 변경하기 전에 백업을 생성해야 합니다.

관리자 사용자 이름 변경

WordPress를 설치할 때 기본 관리자 사용자 이름은 "admin"입니다. 해커가 추측하기 쉽기 때문에 그다지 안전하지 않습니다.

따라서 WordPress를 설치한 후 가장 먼저 해야 할 일은 관리자 사용자 이름을 변경하는 것입니다. 관리자 권한으로 새 사용자를 만든 다음 이전 "admin" 사용자를 삭제할 수 있습니다. 또는 기본 관리자 사용자 이름을 포함하여 안전하지 않은 설정에 대해 사이트를 스캔하는 WP Security Scan과 같은 플러그인을 설치할 수 있습니다.

관리자 사용자 이름을 변경한 후 WordPress 계정에서 로그아웃하고 새 사용자 이름으로 다시 로그인합니다. 많은 사람들이 이 작업을 잊어버리고 WordPress 사이트에 액세스할 수 없는 이유를 궁금해합니다.

로그인 화면에서 CAPTCHA 또는 reCAPTCHA 사용

CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart)는 사람만 웹사이트에 액세스하거나 특정 작업을 수행할 수 있는지 확인하는 데 사용되는 시도-응답 테스트입니다. reCAPTCHA는 Google이 소유한 CAPTCHA 버전입니다. 고급 위험 분석 기술을 사용하여 자동화된 소프트웨어가 웹사이트에서 악의적인 활동에 참여하지 못하도록 하기 때문에 기존 보안 문자보다 더 안전합니다. CAPTCHA 또는 reCAPTCHA를 WordPress 로그인 화면에 추가하려면 WP-reCAPTCHA와 같은 플러그인을 설치할 수 있습니다.

플러그인이 설치되고 활성화되면 reCAPTCHA로 무료 계정에 가입해야 합니다. 그런 다음 플러그인 설정에 입력해야 하는 사이트 키와 비밀 키가 제공됩니다.

유휴 사용자 자동 로그아웃

WordPress 사이트에 로그인하면 브라우저 창을 닫거나 컴퓨터에서 멀어져도 로그인 상태를 무기한 유지할 수 있습니다. 이는 컴퓨터에 액세스할 수 있는 모든 사람이 WordPress 사이트에도 액세스할 수 있다는 의미이기 때문에 그다지 안전하지 않습니다.

Idle User Logout과 같은 플러그인을 설치하여 이 문제를 해결할 수 있습니다. 이 플러그인은 일정 기간 동안 비활성 사용자를 자동으로 로그아웃합니다.

예를 들어 15분 동안 활동하지 않은 사용자를 로그아웃하도록 설정할 수 있습니다. 그렇게 하면 누군가가 귀하의 컴퓨터에 액세스하더라도 귀하의 WordPress 사이트에 로그인된 상태를 유지할 수 없습니다. 공유 컴퓨터가 있거나 공용 Wi-Fi를 사용하는 경우 플러그인이 필수적입니다.

SFTP를 사용하여 서버에 연결

WordPress 사이트에 연결할 때 서버에 연결하는 것입니다.

기본적으로 대부분의 사람들은 FTP(파일 전송 프로토콜)를 사용하여 서버에 연결합니다. 그러나 FTP는 데이터를 암호화하지 않기 때문에 안전하지 않은 프로토콜입니다. 즉, 연결을 모니터링하는 사람은 누구나 사용자 이름과 암호를 볼 수 있습니다.

따라서 SFTP(Secure File Transfer Protocol)를 사용하는 것이 필수적입니다. SFTP는 데이터를 암호화하는 보안 프로토콜이므로 누군가가 연결을 가로채고 자격 증명을 훔치는 것이 훨씬 더 어렵습니다. SFTP를 사용하려면 SSH 키 쌍을 생성하고 서버에 공개 키를 추가해야 합니다. 대부분의 호스팅 제공업체에는 이 작업을 수행하는 방법에 대한 지침이 있습니다.

맬웨어 모니터링

맬웨어는 WordPress 사이트를 감염시키고 많은 문제를 일으킬 수 있는 악성 소프트웨어입니다.

예를 들어 멀웨어는 방문자를 다른 웹사이트로 리디렉션하거나 사용자의 허락 없이 사이트에 광고를 표시할 수 있습니다. 맬웨어는 암호 및 신용 카드 번호와 같은 민감한 정보도 훔칠 수 있습니다. 따라서 정기적으로 WordPress 사이트에서 맬웨어를 검사하고 발견한 모든 것을 제거하는 것이 중요합니다. 이를 수행하는 몇 가지 다른 방법이 있습니다. 예를 들어, Wordfence Security와 같은 플러그인을 사용할 수 있습니다. 이 플러그인은 사이트에서 맬웨어를 검색하고 발견하면 자동으로 제거합니다.

또는 Sucuri SiteCheck와 같은 서비스를 사용할 수 있습니다. 이 서비스는 사이트를 스캔한 다음 발견한 모든 맬웨어에 대한 보고서를 제공합니다.

결론

이것은 WordPress 보안을 강화할 수 있는 여러 가지 방법 중 일부일 뿐입니다. 이러한 조치를 취하면 해커 및 기타 악의적인 사용자로부터 WordPress 사이트를 보호하는 데 도움이 될 수 있습니다. 이러한 팁 중 상당수는 구현하기 쉽기 때문에 조치를 취하지 않을 이유가 없습니다. 귀하의 WordPress 사이트는 귀하가 만든 만큼만 안전하다는 것을 기억하십시오. 따라서 보안에 대해 생각하기에는 너무 늦을 때까지 기다리지 마십시오. 지금 조치를 취하고 WordPress 사이트를 안전하게 유지하세요.