공격으로부터 WordPress 웹사이트를 보호하는 3가지 방법

게시 됨: 2017-12-27

오늘날 모든 웹사이트는 보안을 중요하게 생각해야 합니다. WordPress와 같은 콘텐츠 관리 시스템(CMS)을 사용하는 경우 특히 그렇습니다. 이러한 유형의 플랫폼은 일반적으로 많은 민감한 정보를 저장하므로 대상이 됩니다. 누군가 귀하의 웹사이트에 침입하면 침입한 경로를 파악하고 피해를 복구하는 데 귀중한 시간을 할애해야 합니다.

좋은 소식은 WordPress가 웹 사이트의 보안 조치를 강화할 때 매우 유연하다는 것입니다. 예를 들어, 공격으로부터 로그인 페이지를 보호하고 모르는 사람들로부터 숨길 수 있는 몇 가지 방법이 있습니다. 여기저기서 약간의 조정만 하면 웹사이트가 빠르게 요새가 될 수 있습니다.

이 기사에서는 WordPress 보안의 중요성에 대해 논의할 것입니다. 그런 다음 웹 사이트를 더 안전하게 만드는 데 사용할 수 있는 세 가지 방법을 소개합니다. 가자!

WordPress 보안이 중요한 이유

분명히 하자면, WordPress는 이미 즉시 사용 가능한 매우 안전한 플랫폼입니다. 그러나 수백만 명의 사용자와 수천 개의 플러그인 및 테마 옵션이 있는 방대한 소프트웨어이기도 합니다. 너무 많은 일이 진행됨에 따라 일부 사용자가 결국 보안 문제를 처리해야 하는 것은 당연합니다. 대부분의 경우 이러한 문제를 쉽게 크랙된 자격 증명, 일관성 있는 업데이트 실패 및 기타 사용자 오류로 추적할 수 있습니다.

반면에 최신 버전의 WordPress를 사용하고 사용하는 모든 플러그인과 테마를 모니터링하는 사람이라면 훨씬 더 안전할 것입니다. 사이트의 보안을 유지하는 것이 많은 작업처럼 들릴 수 있지만 조심하는 것이 최선의 조치입니다. 이유는 다음과 같습니다.

  • WordPress는 공격 대상입니다. CMS(콘텐츠 관리 시스템)의 인기로 인해 온라인 공격자들이 선호합니다. 결국 단일 플러그인이나 테마에서 취약점을 찾는 것은 수천 개의 웹사이트에 액세스하는 데 도움이 될 수 있습니다.
  • 민감한 사용자 정보를 보호해야 합니다. 웹사이트를 통해 신용 카드 번호를 다루지 않는다고 해서 사용자의 개인 정보를 보호해서는 안 된다는 의미는 아닙니다.
  • 하이재커는 웹사이트를 통해 맬웨어를 퍼뜨릴 수 있습니다. 요즘에는 공격자가 해킹된 사이트를 사용하여 방문자에게 맬웨어를 제공하는 것이 일반적입니다. 말할 필요도 없이 느슨한 보안 관행으로 인해 사용자의 장치가 감염되는 것을 원하지 않습니다.

다행히 WordPress 웹사이트를 선제적으로 보호하기 위해 할 수 있는 일이 많이 있습니다. 예를 들어, 지속적으로 업데이트되는 잘 코딩된 테마를 사용하는 것은 항상 현명한 생각입니다. 예를 들어 자체 Uncode 테마는 우수한 등급과 보안 기능을 갖추고 있으며 웹 사이트를 추가로 보호하는 방법에 대한 질문에 항상 답변해 드립니다. 테마를 정리한 후 취할 수 있는 몇 가지 간단한 조치가 있습니다.

공격으로부터 WordPress 웹사이트를 보호하는 3가지 방법

이 섹션에서는 플러그인을 사용하거나 사용하지 않고 WordPress 웹사이트를 공격으로부터 보호하는 세 가지 방법을 알려드립니다. 웹사이트 기능에 상당한 변경을 가할 것이기 때문에 시작하기 전에 백업을 생성해야 합니다. 그렇게 하면 문제가 발생하면(그렇지 않아야 합니다!) 몇 분 안에 사이트를 복원하고 다시 시도할 수 있습니다.

1. 이중 인증(2FA) 사용

일반적으로 웹사이트에 로그인하는 데 필요한 모든 것은 사용자 이름과 비밀번호입니다. 그러나 일부 사이트에서는 한 단계 더 나아가 이메일이나 스마트폰으로 전송된 1회용 코드를 입력하도록 요청합니다. 이를 2단계 인증(2FA)이라고 합니다. 이 방법을 사용하면 다른 사람이 귀하의 자격 증명을 보유하더라도 귀하의 계정에 액세스할 수 없습니다.

WordPress는 기본적으로 2FA를 지원하지 않습니다. 그러나 올바른 도구를 사용하여 구현할 있습니다. 사용 가능한 우수한 2FA 플러그인이 많이 있지만 제공하는 모든 기능 때문에 miniOrange Two Factor Authentication에 부분적입니다.

miniOrange 2단계 인증 플러그인.

이 기술을 시작하려면 먼저 플러그인을 설치하고 활성화해야 합니다. 그런 다음 대시보드에서 새로운 miniOrange 2-Factor 탭에 액세스할 수 있습니다. 처음 클릭할 때 miniOrange 계정을 등록하려면 몇 가지 필드를 작성해야 합니다.

miniOrange 계정을 등록합니다.

그 후, 플러그인을 활성화하는 데 사용할 수 있는 이메일이나 문자 메시지를 통해 일회성 코드를 받게 됩니다.

완료되면 화면 상단의 2단계 설정 탭으로 이동하여 방문자가 사용할 수 있는 2FA 유형을 선택할 수 있습니다. 사용자에게 대부분의 옵션을 제공하려면 이메일 확인 을 기본 방법으로 사용하는 것이 좋습니다.

이메일 인증을 2FA 방법으로 선택합니다.

원하는 방법을 선택한 후 로그아웃할 수 있습니다. 다음에 대시보드에 액세스하려고 하면 계정에 대해 2FA를 활성화하는 옵션이 표시됩니다. 이제 사이트의 모든 사용자가 2FA를 선택할 수 있습니다. 귀하의 WordPress 웹 사이트는 더 안전합니다!

2. 대시보드에 액세스할 수 있는 IP 주소를 화이트리스트에 추가

WordPress 대시보드는 대부분의 마법이 일어나는 곳입니다. 따라서 아무나 액세스하는 것을 원하지 않습니다. 신뢰할 수 있는 팀 구성원만 사이트 대시보드에 액세스하여 주요 기능을 사용할 수 있어야 합니다.

로그인 페이지는 원치 않는 침입에 대한 기본 방어선입니다. 그러나 때때로 공격자가 팀 구성원의 자격 증명 중 하나에 액세스할 수 있습니다. 그런 일이 발생하면 그들을 막을 2차 방어선이 필요합니다. 여기에서 .htaccess 파일이 들어옵니다.

이 파일을 사용하면 서버에 특정 지침을 제공할 수 있습니다. 예를 들어 IP가 사전 승인된 목록에 없는 사람의 대시보드에 대한 액세스를 차단하도록 지시할 수 있습니다. 해당 목록에 IP 주소를 추가하면 '허용 목록에 추가'됩니다. 이 방법은 약간의 선행 작업이 필요하지만 웹 사이트를 요새로 만들 수 있습니다.

먼저 모든 동료의 IP 주소를 알아야 합니다. 최상의 결과를 얻으려면 해당 IP가 정적인지도 확인해야 합니다. 팀 구성원은 What is My IP와 같은 사이트를 사용하여 주소가 무엇인지 확인하고 고정 주소가 없는 경우 고정 주소를 할당받을 수 있도록 인터넷 제공업체에 문의할 수 있습니다.

귀하의 IP 주소가 무엇인지 알아내십시오.

화이트리스트에 있는 모든 IP를 한 번에 입력할 수 있도록 이러한 작업을 먼저 제거하는 것이 가장 좋습니다. 주소 목록이 준비되면 사이트의 .htaccess 파일을 찾아 액세스해야 합니다. 그렇게 하려면 FTP(파일 전송 프로토콜) 및 FileZilla와 같은 도구를 사용하는 것이 좋습니다.

FTP 자격 증명을 사용하여 웹사이트에 로그인하고 public_html 폴더에 액세스하기만 하면 됩니다. 그런 다음 다음에서 .htaccess 파일을 찾습니다.

htaccess 파일.

이제 파일을 마우스 오른쪽 버튼으로 클릭하고 보기/편집 옵션을 선택합니다. 이렇게 하면 기본 텍스트 편집기를 사용하여 컴퓨터에서 파일이 열립니다. 변경하고 싶지 않은 몇 줄의 코드가 이미 내부에 있어야 합니다. 대신 파일 맨 아래로 스크롤하여 #END WordPress 행을 찾으십시오.

해당 줄 바로 앞에 다음 스니펫을 붙여넣어야 합니다.

 <IfModule mod_rewrite.c>
RewriteEngine 켜기
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^190.46.268.21$
RewriteCond %{REMOTE_ADDR} !^190.45.281.27$
RewriteRule ^(.*)$ - [R=403,L]
</If 모듈>

이 다섯 줄의 코드는 WordPress에 대시보드에 액세스하려는 사람의 IP 주소를 확인하도록 지시합니다. 주소가 허용 목록에 있는 주소 중 하나와 일치하지 않으면(위의 예에는 두 개 있음) 403 오류가 발생합니다.

403 오류의 예입니다.

동일한 형식을 사용하여 원하는 만큼 주소를 추가하고 다른 페이지도 차단할 수 있습니다. 예를 들어 허용 목록에 있는 사람을 제외한 모든 사람의 로그인 페이지를 차단하려면 코드를 한 줄만 추가하면 됩니다.

 <IfModule mod_rewrite.c>
RewriteEngine 켜기
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [또는]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^190.46.268.21$
RewriteCond %{REMOTE_ADDR} !^190.45.281.27$
RewriteRule ^(.*)$ - [R=403,L]
</If 모듈>

.htaccess 를 변경했으면 파일을 저장하고 텍스트 편집기를 닫습니다. 자신의 IP 주소를 화이트리스트에 등록하는 것을 잊은 경우가 아니라면 평소와 같이 대시보드와 로그인 페이지에 계속 액세스할 수 있어야 합니다!

3. 포괄적인 WordPress 보안 플러그인 사용

WordPress 웹 사이트를 보호하기 위해 한 가지 조치만 취하기로 선택한 경우 보안 플러그인을 사용하면 가장 많은 마일리지를 얻을 수 있습니다. 사용 가능한 인기 있는 보안 플러그인이 많이 있으며 대부분의 유형의 공격으로부터 웹사이트를 보호할 수 있습니다.

우리가 가장 좋아하는 것 중 하나는 All In One WP Security & Firewall입니다. 다양한 기능 사용자 친화적인 인터페이스를 제공합니다.

올인원 WP 보안 방화벽 플러그인.

지금까지 WordPress 로그인 및 대시보드 페이지 보안에 대해 많은 이야기를 했습니다. 이 플러그인을 사용하면 몇 번의 클릭으로 켤 수 있는 내장 기능을 사용하여 두 가지를 모두 수행할 수 있습니다. 예를 들어, 사이트에서 일시적으로 잠기기 전에 누군가가 할 수 있는 로그인 시도 횟수를 제한할 수 있습니다. 이 기능은 WP 보안 > 사용자 로그인 탭에서 사용할 수 있습니다.

최대 로그인 시도 횟수를 구성합니다.

누군가 로그인 페이지에서 잠겼을 때 알려주고 IP 주소 완전히 차단하도록 플러그인을 구성할 수도 있습니다. 올인원 WP 보안 및 방화벽에는 WP 보안 > 방화벽 탭에서 구성할 수 있는 포괄적인 방화벽도 포함되어 있습니다.

웹사이트에 방화벽을 활성화합니다.

플러그인을 활성화하자마자 가장 먼저 해야 할 일은 해당 문서를 살펴보는 것입니다. 사용법을 배우는 데 필요한 설정이 많이 있지만 빠른 집중 과정에서는 웹사이트를 보호하기 위해 알아야 할 모든 것을 알려줄 것입니다.

마지막으로 Kinsta에는 사이트 잠금에 대한 몇 가지 훌륭한 통찰력이 있습니다. WordPress 보안에 대한 추가 팁이 필요한 경우 확인하십시오.

결론

WordPress 보안은 사전 예방적이어야 합니다. 처음부터 웹사이트를 보호하는 데 약간의 노력을 기울이면 앞으로의 많은 골칫거리를 줄일 수 있습니다. 운이 좋다면 웹 사이트에 대한 원치 않는 침입으로 인한 결과를 처리할 필요가 없으며 대신 웹 사이트 개선에 집중할 수 있습니다.

좋은 소식은 웹사이트를 보호할 수 있는 쉬운 방법이 많이 있다는 것입니다. 다시 한 번, 다음은 우리가 가장 좋아하는 세 가지입니다.

  1. 로그인 페이지에서 2FA를 사용하십시오.
  2. 팀원의 IP 주소를 화이트리스트에 추가하세요.
  3. 포괄적인 WordPress 보안 플러그인을 사용하세요.

WordPress 웹 사이트를 보호하는 방법에 대해 질문이 있습니까? 아래 댓글 섹션에서 물어보세요!