WordPress 웹 사이트를 보호하는 방법: 작업 보안 팁
게시 됨: 2021-11-30
WPMU 개발 20% 할인
이 기사에서는 WPMU DEV 호스팅 및 도구를 사용합니다. 멤버십에서 WPMU DEV를 20% 할인받을 수 있습니다.
WordPress 보안은 큰 주제입니다. WordPress 사이트를 보호하고 해커와 취약점이 전자상거래 사이트나 블로그를 손상시키는 것을 방지하기 위해 취할 수 있는 몇 가지 방법이 있습니다.
WordPress 핵심 소프트웨어는 매우 안전하고 수백 명의 엔지니어가 자주 검토하지만 사이트를 안전하게 유지하기 위해 할 수 있는 일은 여전히 많습니다.
어느 날 아침 일어나서 혼란스러운 웹 사이트를 찾고 싶지 않습니다. 그래서 오늘 우리는 WordPress 보안을 개선하고 안전을 유지하기 위해 활용할 수 있는 다양한 방법, 전술 및 접근 방식을 다룰 것입니다.
웹사이트 보안이 중요한 이유는 무엇입니까?
손상된 WordPress 웹 사이트는 현금 흐름과 신뢰성을 크게 해칠 수 있습니다. 공격자는 고객 데이터, 암호를 획득하거나 악성 프로그램을 주입하거나 사용자를 맬웨어로 감염시킬 수 있습니다.
끔찍한 사례 시나리오, 회사는 웹 사이트에 대한 액세스를 복구하기 위해 공격자에게 랜섬웨어를 지출하도록 만들 수 있습니다. Google에 따르면 5천만 명 이상의 웹사이트 사용자가 방문하는 웹페이지에 멀웨어가 포함되어 있거나 데이터를 도용할 수 있다는 경고를 받았습니다.
이것은 실시간 통계 웹사이트가 하루 만에 해킹당하는 것입니다.
또한 Google은 매주 약 20,000개의 웹사이트에서 멀웨어를 차단하고 약 50,000개의 웹사이트를 피싱으로 차단합니다. 회사 페이지를 운영하는 경우 웹사이트 보안을 중요하게 생각합니다.
실제 상점 시설을 보호하는 것이 귀하의 책임인 것과 동일한 방식으로 귀하의 비즈니스 웹사이트를 보호하는 것은 온라인 사업자로서 귀하의 임무입니다.
워드프레스는 안전한 플랫폼인가요?
워드프레스는 안전한가요?
아마도 가장 먼저 떠오르는 질문일 것입니다. 예, 대부분입니다.
WordPress는 웹 사이트 소유자가 보안을 심각하게 생각하고 권장 사항을 준수하는 한 안전합니다. 안전한 플러그인과 테마를 사용하고, 책임 있는 로그인 프로세스를 유지하고, 보안 플러그인을 사용하여 사이트를 모니터링하고, 주기적으로 업데이트하는 것이 모두 좋은 방법입니다.
반면에 워드프레스는 보안 결함이 있는 경향이 있어 비즈니스에 활용하기에 안전한 플랫폼이 아니라는 평판이 있습니다. 대부분의 경우 이는 사용자가 업계에서 입증된 최악의 보안 관행을 계속 따르기 때문입니다.
해커는 오래된 WordPress 소프트웨어, nulled 플러그인, 열악한 시스템 관리, 자격 증명 관리, 비기술적 WordPress 사용자 사이에 필요한 웹 및 보안 전문 지식 부족을 사용하여 사이버 범죄 게임의 선두에 서 있습니다. 업계 선두주자가 최상의 방법을 따르지 않는 경우도 있습니다. 이전 버전의 WordPress를 사용하고 있었기 때문에 Reuters가 해킹되었습니다.
이것은 취약점이 존재하지 않는다고 주장하는 것이 아닙니다. WordPress는 다중 플랫폼 보안 기업인 Sucuri가 2017년 3분기 설문 조사에서 작업한 감염된 웹 사이트를 계속 지배하고 있습니다(83%). 이는 전년도(74%)보다 증가한 수치다.
WordPress가 인터넷에 있는 모든 웹사이트의 42% 이상을 지원하고 수십만 개의 테마 및 플러그인 조합 중에서 선택할 수 있기 때문에 취약점이 존재하고 지속적으로 식별되고 있다는 것은 놀라운 일이 아닙니다. 그러나 WordPress 플랫폼을 둘러싼 강력한 커뮤니티가 있어 이러한 문제가 가능한 한 빨리 해결되도록 합니다. 2021년 현재 WordPress 보안 팀은 수석 개발자 및 보안 연구원을 포함하여 약 50명의 전문가로 구성됩니다(2017년 25명에서 증가). 약 절반은 Automattic 직원이고 일부는 웹 보안 분야에서 일합니다.
적절한 호스팅 시작하기
여러 계층의 보안을 제공하는 호스트를 사용하는 것이 웹사이트를 안전하게 유지하는 가장 쉬운 방법입니다.
웹사이트 호스팅 비용을 절약한다는 것은 조직 내 다른 곳에서 돈을 쓸 수 있다는 것을 의미하므로 저렴한 호스팅 제공업체에 가입하고 싶은 마음이 들 수 있습니다. 그러나 이 유혹을 물리쳐야 합니다.
값싼 호스트는 미래에 두통을 유발할 수 있습니다. URL과 연결된 데이터가 완전히 삭제되고 URL이 다른 곳으로 리디렉션되기 시작할 수 있습니다. 몇 가지 예를 들자면, 귀하의 비즈니스에 적합하지 않은 저렴한 호스팅을 피해야 하는 몇 가지 이유가 더 있습니다.
당신이 조금 더 지불하면 양질의 호스트가 제공하는 추가 보안은 자동으로 귀하의 웹사이트에 귀속됩니다. 또한 좋은 WordPress 호스팅 서비스를 사용하여 WordPress 사이트의 성능을 향상시킬 수 있습니다.
사이트 백업 만들기
시작하려면 웹 사이트를 수정하기 전에 WordPress 백업을 백업하십시오.
동일한 목표를 달성하는 데 사용할 수 있는 수많은 WordPress 백업 플러그인이 있습니다.
무료 및 유료 모두 액세스할 수 있습니다. 그러나 제안된 것 중 일부만 무료입니다.
- 업드래프트플러스
- BackWPup
백업 WordPress 플러그인 중 하나를 설치하고 사용했다고 가정합니다. 이제 다음 단계로 넘어갈 준비가 되었습니다.
각 게시물이 게시되면 백업을 예약하는 것이 좋습니다. 게시물 또는 블로그 데이터베이스를 수정한 후.
강력한 암호 생성
WordPress 웹 사이트를 보호하기 위해 많은 일을 할 수 있지만 기본 사항에 주의를 기울이는 사람은 거의 없습니다.
안전한 암호를 만드는 것은 모든 소셜 미디어 사이트와 이메일 계정에 대해 수행해야 하는 작업입니다.
마찬가지로 WordPress 사이트는 다른 모든 것과 마찬가지로 해킹되기 때문에 WordPress 사이트에 대해 동일한 예방 조치를 취하는 것이 중요합니다. 블로그가 얼마나 큰지는 더 이상 중요하지 않습니다. 모두 해커의 호기심을 자극합니다. ㅋㅋㅋ!
강력한 암호를 사용한다는 것은 개인 정보를 사용하지 않는다는 의미입니다. 이름, 생년월일, 직원 ID, 여자 친구 이름 및 추측할 수 있는 모든 것을 포함하여 거의 모든 것을 피해야 합니다.
암호를 해독하는 데 시간이 걸립니다.
창의적인 비밀번호 아이디어를 떠올리는 데 문제가 있습니까? 안전한 암호를 설정하기 위해 항상 온라인 암호 생성 도구를 사용할 수 있습니다. 나는 LastPass 암호 생성기를 사용합니다.
WP 로그인 URL 변경
"yoursite.com/wp-admin"은 WordPress에 로그인하기 위한 기본 URL입니다.
그대로 두면 사용자 이름/암호 조합을 해독하기 위한 무차별 대입 공격의 희생자가 될 위험이 있습니다.
사용자가 구독 계정에 등록하도록 허용하면 많은 스팸 등록을 받을 수 있습니다. 이를 방지하려면 관리자 로그인 URL을 변경하거나 등록 및 로그인 페이지에 보안 질문을 추가하십시오.
사용자 정의 로그인 URL 또는 WPS 로그인 숨기기와 같은 플러그인을 설치하여 wp-login URL을 변경할 수 있습니다.
워드프레스 사용자 이름 변경
블로그를 만들 때 블로그나 웹사이트에 로그인하는 데 사용할 사용자 이름을 입력할 수 있습니다.
대부분의 사람들은 기본적으로 " admin "으로 두고 나중에 변경하는 것을 잊습니다.
형편없는 해커라도 그것을 예측하는 것이 얼마나 간단한 일인지 생각해 보십시오. ㅋ! 나는 당신의 얼굴에 미소를 보았다.
당신은 그것을 유일하고 추측할 수 없도록 만들어야 합니다. 어떻게 하는지 잘 모르겠다면 워드프레스 사용자 이름 변경에 대한 간단한 튜토리얼을 준비했습니다.
이중 인증
이전에 Gmail 계정에 이중 인증을 사용한 적이 있습니까? 잘 아시는 분이라면 아마 제가 무슨 말을 하는지 이해하셨을 겁니다.
이중 인증은 WordPress 사이트를 해커로부터 안전하게 보호하는 간단한 기술입니다.
2단계 인증을 위해 블로그를 휴대폰에 연결하면 로그인 시 OTP를 받게 됩니다. 해당 번호를 입력하시면 로그인이 가능합니다.
이것은 보안을 새로운 수준으로 끌어올리고 믹스에 또 다른 레이어를 추가합니다. WordPress 2단계 인증에 대한 간단한 강의는 여기에서 찾을 수 있습니다.
비밀번호 보호 WordPress 관리자 및 로그인 페이지
일반적으로 해커는 wp-admin 폴더 및 로그인 페이지에 무제한으로 액세스할 수 있습니다. 이를 통해 해킹 기술을 테스트하거나 DDoS 공격을 시작할 수 있습니다.
서버 측에서 추가 암호 보호를 구현할 수 있습니다. 그러면 이러한 요청이 본질적으로 중지됩니다.
단계별 단계에 따라 WordPress wp-admin을 암호로 보호하십시오.
로그인 시도 제한
WordPress에서는 기본적으로 사용자가 원하는 만큼 로그인을 시도할 수 있습니다. 어떤 문자가 대문자인지 자주 잊어버리면 도움이 될 수 있지만 무차별 대입 공격에 노출되기도 합니다.
사용자가 일시적으로 차단될 때까지 로그인 시도 횟수를 제한할 수 있습니다. 공격이 완료되기 전에 해커가 잠겨 있기 때문에 무차별 대입 공격을 받을 가능성이 줄어듭니다.
WordPress 로그인 제한 시도 플러그인을 사용하면 이 기능을 쉽게 활성화할 수 있습니다.
설정 > 로그인 제한 시도를 사용하여 플러그인을 설치한 후 로그인 시도 횟수를 변경할 수 있습니다.
WordPress의 유휴 사용자 로그아웃
로그인한 사용자는 때때로 화면에서 벗어나 보안 위험을 초래할 수 있습니다. 누군가가 자신의 세션을 제어하고 암호를 변경하고 계정을 수정할 수 있습니다.
이것이 많은 은행 및 금융 웹사이트가 유휴 사용자를 자동으로 차단하는 이유입니다. WordPress 사이트에서도 유사한 기능을 구현할 수 있습니다.
비활성 로그아웃 플러그인을 설치하고 활성화해야 합니다. 플러그인 설정을 구성하려면 설정 » 활성화 후 비활성화 로그아웃을 클릭하십시오.
타이머와 로그아웃 메시지를 설정하면 완료됩니다. 변경 사항 저장 버튼을 클릭하여 변경 사항을 저장하는 것을 잊지 마십시오.
WordPress 로그인 화면에 보안 질문 추가
WordPress 로그인 화면에 보안 질문을 추가하면 무단 액세스를 얻는 것이 훨씬 더 어려워집니다.
WP 보안 질문 플러그인 을 설치하면 보안 질문을 추가할 수 있습니다. 플러그인 설정을 구성하려면 활성화된 후 설정 » 보안 질문으로 이동하세요.
자세한 내용은 WordPress에 보안 질문을 추가하는 방법에 대한 자습서를 참조하십시오.
디렉토리 탐색 비활성화
웹마스터가 검토하는 또 다른 단계는 이것입니다. 웹 사이트 보안과 관련하여 이것은 잘 알려지지 않은 사실입니다.
그러나 루트 디렉토리 탐색이 활성화된 경우. 테마, 플러그인, 이미지 등과 같은 파일은 독자, 방문자 또는 해커가 액세스할 수 있습니다.
다음은 .htaccess 파일을 사용하여 WordPress에서 디렉토리 탐색을 방지하는 방법입니다.
파일 편집 비활성화
WordPress 대시보드에는 사이트를 설정할 때 테마와 플러그인을 변경할 수 있는 코드 편집기 도구가 있습니다.
모양>편집기에서 찾을 수 있습니다. 플러그인> 편집기로 이동하여 플러그인 편집기에 액세스할 수도 있습니다.
사이트가 온라인 상태가 되면 이 기능을 비활성화하는 것이 좋습니다. 해커는 WordPress 관리자 패널에 액세스할 수 있는 경우 테마 및 플러그인에 미묘하고 유해한 코드를 도입할 수 있습니다.
코딩은 너무 미묘해서 너무 늦을 때까지 아무 것도 잘못되었다는 것을 깨닫지 못할 때가 많습니다.
wp-config.php 파일에 다음 코드를 입력하기만 하면 됩니다.
define('DISALLOW_FILE_EDIT', true);이 프로세스는 대시보드에서 플러그인 및 테마 파일을 변경하는 기능을 방지하는 데 도움이 됩니다.
WordPress에서 XML-RPC 비활성화
WordPress 3.5부터 XML-RPC가 기본적으로 활성화되어 WordPress 사이트를 모바일 앱 및 웹 서비스와 연결할 수 있습니다.
무차별 대입 공격은 XML-RPC의 강력한 특성으로 인해 크게 증폭될 수 있습니다.
과거에는 해커가 사이트에서 500가지 다른 비밀번호를 시도하려면 500번 로그인해야 했습니다. 로그인 잠금 플러그인은 이러한 시도를 포착하고 차단합니다.
그러나 XML-RPC를 사용하면 해커가 system.multicall 함수를 사용하여 단 20~50개의 요청으로 수천 개의 암호를 시도할 수 있습니다.
따라서 XML-RPC를 사용하지 않는다면 비활성화해야 합니다. 위에서 언급한 웹 응용 프로그램 방화벽을 사용하는 경우 방화벽에서 처리할 수 있습니다.
wp-config.php 및 .htaccess 파일 숨기기
해커가 액세스하지 못하도록 사이트의 .htaccess 및 wp-config.php 파일을 숨기는 것이 사이트 보안을 강화하는 정교한 방법이지만 보안에 대해 진지한 경우 현명한 방법입니다.
사이트를 먼저 백업하고 주의하여 계속하는 것이 중요하므로 숙련된 개발자는 이 옵션을 채택하는 것이 좋습니다. 오류가 발생하면 웹사이트를 사용할 수 없게 될 수 있습니다.
백업을 만든 후 파일을 숨기려면 다음 두 가지 작업을 수행해야 합니다.
시작하려면 wp-config.php 파일에 다음 코드를 추가하세요.
<Files wp-config.php> order allow,deny deny from all </Files>비슷한 방식으로 .htaccess 파일에 다음 코드를 추가합니다.
<Files .htaccess> order allow,deny deny from all </Files>절차는 간단하지만 문제가 발생할 경우를 대비하여 백업을 해야 합니다.
WP 버전 제거
우리는 이전에 WordPress 업그레이드에 대해 논의했습니다. 이제 해커로부터 WordPress 버전을 숨기는 것이 논리적입니다.
로그인 자격 증명이 있는 경우 사용 중인 WordPress 버전을 어떻게 볼 수 있는지 궁금합니다.
해커는 소스 페이지를 보고 WordPress 버전을 쉽게 확인할 수 있습니다. 이제 그들이 해야 할 일은
CTRL F – 오른쪽 클릭(웹페이지에서) – 페이지 소스 보기(버전 검색). 아래에 표시된 태그와 유사합니다.
웹 응용 프로그램 방화벽 활성화
다양한 유형의 악의적인 공격으로부터 컴퓨터를 보호하는 데 도움이 되는 프로그램인 방화벽의 개념을 알고 있을 것입니다. 거의 확실하게 PC에 방화벽이 설치되어 있습니다.
WAF(웹 응용 프로그램 방화벽)는 웹 사이트를 보호하도록 특별히 설계된 방화벽 유형입니다. 서버, 특정 웹사이트 또는 대규모 웹사이트 그룹을 모두 보호할 수 있습니다.
WordPress 사이트의 WAF(웹 애플리케이션 방화벽)는 사이트와 나머지 인터넷 사이에서 방화벽 역할을 합니다. 방화벽은 의심스러운 행동을 감시하고 공격, 바이러스 및 기타 원치 않는 발생을 탐지하고 위험하다고 판단되는 모든 것을 차단합니다.
SSL 인증서 설치
SSL(Secure Sockets Layer)은 이제 모든 유형의 웹사이트에 널리 사용됩니다. 처음에는 결제 처리와 같은 특정 프로세스에서 웹사이트를 안전하게 만들기 위해 SSL이 필요했습니다. 그러나 오늘날 Google은 그 중요성을 깨닫고 SSL 지원 웹사이트를 검색 결과에서 더 높은 순위에 둡니다.
SSL은 암호나 신용 카드 번호와 같은 민감한 데이터를 처리하는 모든 사이트에 필요합니다. SSL 인증서가 없으면 사용자의 웹 브라우저와 웹 서버 간의 모든 데이터가 일반 텍스트로 전송됩니다.
해커는 이것을 읽을 수 있습니다. SSL을 사용하면 중요한 정보가 브라우저와 서버 간에 전송되기 전에 암호화되어 읽기가 더 어려워지고 사이트 보안이 강화됩니다.
민감한 정보를 허용하는 웹사이트의 평균 SSL 가격은 연간 약 $70-$199입니다. 민감한 데이터를 수락하지 않는 경우 SSL 인증서 비용을 지불할 필요가 없습니다. 거의 모든 호스팅 제공업체는 웹사이트를 보호하는 데 사용할 수 있는 무료 Let's Encrypt SSL 인증서를 제공합니다.
Nulled 테마에 거부
프리미엄 WordPress 테마는 무료 테마보다 더 전문적으로 보이고 더 많은 사용자 정의 옵션을 제공합니다. 그럼에도 불구하고 무료 테마로 비용을 지불한다고 주장하는 것은 어렵습니다.
모든 프리미엄 테마는 경험이 풍부한 개발자가 설계했으며 게시되기 전에 테스트를 거쳤습니다. 사이트에 문제가 발생하면 전폭적인 지원을 받을 수 있습니다. 테마 사용자 지정에는 제한이 없습니다. 또한 테마 업데이트는 정기적입니다.
null 또는 금이 간 테마를 제공하는 사이트도 있습니다. Nulled 테마는 해킹되어 불법적으로 사용 가능한 프리미엄 테마 버전입니다. 이것은 귀하의 사이트를 위험에 빠뜨릴 수 있습니다. 이러한 테마에 숨겨진 악성 코드는 웹사이트와 데이터베이스를 손상시키거나 로그인 자격 증명을 도용할 수 있습니다.
약간의 돈을 절약할 수는 있지만 모든 웹사이트 소유자가 이러한 nulled WordPress 테마를 사용하지 않는 것이 중요합니다.
정기적인 WordPress 버전 업데이트
WordPress 웹 사이트를 안전하게 유지하는 가장 효과적인 방법은 최신 상태로 유지하는 것입니다. 보안 업데이트를 포함하여 업데이트할 때마다 몇 가지 변경 사항이 적용되는 경우가 많습니다. 소프트웨어를 정기적으로 업데이트하면 해커가 사이트에 액세스하기 위해 이용하는 것으로 알려진 악용 및 허점의 대상이 되는 것을 방지할 수 있습니다.
플러그인 및 테마 업데이트에도 동일한 이유가 적용됩니다.
사소한 업데이트는 기본적으로 WordPress에 의해 자동으로 다운로드됩니다. 그러나 주요 변경이 필요한 업데이트는 WordPress 관리자 대시보드를 통해 직접 수행해야 합니다.
데이터베이스 테이블 접두사 변경
서버에 WordPress를 설치하는 동안 wp_와 같은 것을 시작하기 위해 특정 접두사를 묻는 대화창을 보셨을 것입니다. 그것이 의미하는 바입니다. 이것은 WordPress 사이트의 데이터베이스입니다. 폴더 이름은 wp_입니다.
흔한 것이 무엇이든지 소위 해커가 추론할 수 있다는 것은 놀라운 일이 아닙니다. 생성한 모든 항목의 접두사를 수정하는 것도 좋은 생각입니다. mywpsite_, friendswp_ 등에 무엇이든지 들어갑니다.
귀하의 웹사이트 데이터베이스에 액세스하여 간단히 이 작업을 수행할 수 있습니다. 그러나 모든 기술적 세부 사항에 익숙하지 않은 경우 플러그인을 항상 사용할 수 있습니다.
최고의 WordPress 보안 플러그인 설치
WordPress에는 무료 및 프리미엄의 여러 보안 플러그인이 있습니다. WordPress 웹사이트용 플러그인 중 하나를 설치하는 것도 좋은 선택입니다.
이 가이드에서는 WPMU DEV에서 구축한 Defender Pro를 통해 WordPress 사이트 주변에 견고한 보안 환경을 만드는 방법을 알아봅니다.
Defender Pro 하이라이트 기능
Defender의 강력한 WordPress 보안 장벽 및 해커, 무차별 대입 공격자 및 유해한 봇에 대한 은폐 기술.
- 정기적인 보안 점검
- 지리적 위치 IP 잠금
- 로그인 마스킹 및 보호
- 감사 기록
- 두 가지 요소를 사용한 인증
- 차단 목록 모니터링
- 취약점에 대한 보고서
- 변경된 파일 복원 및 복구
Defender Pro WordPress 플러그인 설치
Defender Pro를 설치하면 초보자도 쉽게 이해할 수 있는 범주화된 옵션을 찾을 수 있습니다.
대시보드, 권장 사항, 맬웨어 검사, 감사 로깅, 방화벽, WAF, 2FA 도구, 설정, 자습서.
스캔을 완료하면 Defender Pro Dashboard에 다음과 같은 화면이 표시됩니다.
사이트에서 보안 문제를 발견하면 플러그인은 해결 방법을 진행하는 방법에 대한 조언을 제공합니다. 흥미롭네요.
Defender Pro는 사이트에 맞게 조정되고 현재 및 미래의 위험을 해결하는 철저하고 실행 가능한 제안을 제공하여 한 단계 더 나아갑니다.
이러한 제안이 눈에 띄는 이유는 수행하는 작업을 미세 조정할 수 있다는 것입니다.
실수로 " 이전 보안 키 업데이트 "를 활성화한 경우에도 알림 빈도를 비활성화하거나 변경할 수 있습니다. 이렇게 하면 사이트가 안전하고 최신 상태로 유지됩니다.
결론 – WordPress 보안
WordPress 사이트를 보호하는 방법은 시간이 걸릴 수 있지만 결국에는 가치가 있습니다. 내 WordPress 웹 사이트가 해킹 당했다고 말하는 대신.
DIY 사용자를 위한 방법과 플러그인 방법을 모두 보여 드렸습니다. 어느 쪽이든 보안을 선택하면 WordPress 웹 사이트는 모든 사용자에게 중요합니다.
WPMU 개발 20% 할인
Defender Pro는 WordPress 웹사이트를 보호하는 환상적인 보안 플러그인입니다. 멤버십에서 WPMU DEV를 20% 할인받을 수 있습니다.