WordPress 보안 – 모든 사이트 소유자를 위한 필수 팁

WordPress 웹사이트에서 1분 에 90,978건 이상의 공격이 발생한다는 사실을 알고 계셨습니까 ? 운 좋게도 이 숫자가 엄청나게 많아 보이지만 기본 보안 규칙을 따르면 잠재적인 공격의 대부분을 방지하고 웹사이트 공격을 방지할 수 있습니다.

아니면 최소한 침입하기가 너무 어려워 해커가 보안이 취약한 수천 개의 공격 중 하나를 표적으로 삼을 것입니다. 특히 자동화된 취약성 스캐너가 잠재적인 방법을 찾은 후에 많은 공격이 수행된다는 점을 고려하면 어느 것이 그렇게 어렵지 않은 일이 아닙니다. 그렇다면 WordPress 사이트 보안을 급증시키는 방법은 무엇입니까? 다음은 6가지 필수 팁입니다.

1. WP 설치, 테마 및 플러그인 업데이트 유지

당연하지만 자주 무시되는 것. WordPress.org 에 따르면 모든 WordPress 웹사이트의 1/3 이 최신 버전으로 업데이트되지 않았습니다. 게다가 모든 웹 호스트의 거의 2/3가 PHP 7.0 이전 버전을 사용합니다. 오래된 WordPress 설치 및 서버 프레임워크는 사이트에 큰 위협이 되고 해커가 패치되지 않은 취약점을 사용하여 웹사이트에 액세스하려고 시도하므로 성공적인 침해 위험이 높아집니다.

실제로 모든 테마, 플러그인 및 WordPress를 최신 상태로 유지하면 모든 합법적인 사이트의 75%보다 더 안전 할 것입니다. 운 좋게도 최신 버전의 WP 플러그인, 테마 및 WP 자체를 얻는 것은 매우 간단합니다. 필요한 것은 몇 번의 버튼 클릭 뿐입니다.

동시에 서버가 최신 PHP 버전을 실행하고 있는지 확인하는 데 시간이 좀 더 걸릴 수 있습니다. 그렇기 때문에 호스팅 지원팀에 연락하여 직접 업그레이드할 수 있는 방법에 대한 가이드를 알려달라고 요청하거나 업그레이드를 요청하는 것이 가장 좋습니다.

2. 맬웨어 스캐너 및 방화벽 설치

자신의 PC만 맬웨어, 바이러스 및 무차별 대입 공격의 영향을 받을 수 있다고 생각했다면 더 이상 틀릴 수 없습니다. WordPress가 영향을 받을 수 있을 뿐만 아니라 실제로 가장 많이 감염된 웹사이트 CMS 입니다.

좋은 소식은 WordPress용 무료 및 유료 방화벽과 맬웨어 스캐너가 많이 있다는 것입니다. 가장 인기 있는 것 중 하나는 맬웨어 검사와 방화벽을 모두 제공하고 무료 및 유료 버전으로 제공되는 Wordfence Security 입니다.

3. VPS를 얻고 요새로 바꾸십시오

공유 호스팅과 비교하여 VPS를 사용하면 구성의 모든 측면을 제어할 수 있습니다. 덕분에 웹 사이트를 더 빠르게 만들 수 있을 뿐만 아니라 호스팅 환경(서버)이 적절하게 보호되도록 할 수 있습니다.

관리되지 않는 VPS에서 OS(예: CentOS는 Ubuntu에 비해 더 안전한 것으로 간주됨), 방화벽 및 멀웨어 스캐너(WordPress 및 서버 자체).

또한 루트 액세스 권한이 있는 VPS에 WordPress를 설치하면 MySQL 암호와 같은 항목을 변경하거나 WordPress 폴더의 이름을 변경하고 파일을 재구성하여 잠재적인 공격 가능성을 줄이는 것이 쉽습니다. 그 중 일부는 보안 플러그인을 사용하여 수행할 수도 있지만

당연히 가상 사설 서버의 모든 이점(예: 속도, 유연성 및 확장성)을 얻으려면 더 많은 리소스가 필요할 경우 업그레이드하기 쉬운 다양한 가격 패키지를 제공하는 회사에서 서버를 임대해야 합니다. 여기 에서 그러한 제안의 좋은 예를 볼 수 있습니다 .

4. /wp-admin 및 WordPress 설치 숨기기

왜 당신이 WordPress에서 실행 중인지 처음부터 세상에 알려야 합니까? 훌륭한 콘텐츠 관리 시스템이지만 실행에 대해 자랑할 필요는 없습니다. 특히 잠재적인 침입자에게 귀중한 정보를 제공합니다. 예를 들어 WordPress를 숨기지 않는 한 What WordPress Theme is That? 사용하는 테마뿐만 아니라 일부 플러그인에 대한 정보를 공개합니다. 해커에게 ' 안녕하세요 '라고 말하는 것과 같습니다 . 내부로 들어갈 수 있는 방법은 다음과 같습니다.

그렇다면 잠재적인 침입자의 엿보는 눈으로부터 WP 사이트 정보를 어떻게 숨길 수 있습니까? 다행히도 기술이 전혀 필요하지 않습니다. 수요가 있는 곳에 WordPress 플러그인이 있습니다. 이 플러그인을 사용하면 로그인 페이지를 숨길 수 있고 WordPress 웹사이트에 대한 세부 정보를 보이지 않게 할 수 있는 Hide My WP by the wave가 있습니다. 무료 버전 없음).

또는 iThemes Security 의 무료 버전을 얻을 수 있습니다. 이 버전은 많은 숨기기 옵션을 제공하지 않지만(로그인 페이지를 숨길 수 있음) 다른 많은 보안 특전을 제공합니다.

5. WP 사용자 이름 변경 및 숨기기

비밀번호라는 단어를 실제 비밀번호 로 사용하면 안 되는 것처럼 기본 WordPress 사용자 이름인 admin 을 그대로 두는 것은 심각한 결과를 초래할 수 있습니다. 결국 잠재적인 침입자가 추측하려고 시도하는 첫 번째 항목일 것이므로 이를 사용하면 관리자 계정의 세부 정보를 매우 쉽게 파악할 수 있습니다.

그것을 변경하는 방법? 그렇게 할 수 있는 두 가지 방법이 있습니다. 당신을 위해 그것을 할 수 있는 플러그인을 찾거나 수동 방식으로 갈 수 있습니다. 개인적으로 저는 후자를 선호합니다. 빠르고 쉽고 누구나 할 수 있기 때문입니다. 그러나 WordPress는 즉시 변경할 수 있는 옵션을 제공하지 않으므로 작은 해결 방법을 사용해야 합니다. 먼저 사이트에 로그인하고 사용자 > 새로 추가로 이동합니다.

거기에 새 관리자 계정의 사용자 이름을 삽입하고 사용자 역할을 관리자 로 설정했는지 확인하십시오 . 완료되면 암호 표시 를 클릭 하고 기본(보안) 암호를 변경하거나 복사합니다.

사용자가 생성되면 사이트에서 로그아웃하고 새 사용자로 로그인합니다. 사용자 > 모든 사용자로 이동하여 이전 WordPress 관리자 계정을 제거합니다. 하지만 그게 다가 아닙니다. 게시물을 게시하려면 계정이 필요합니다. 맞죠? 퍼머링크로 인해 사용자 이름을 쉽게 추측할 수 있는 관리자를 사용하여 게시하는 대신(놀지 않는 한) 별도의 계정을 만드세요. 이번에는 역할을 관리자로 설정하는 대신 관리자 권한이 없는 역할(작성자, 편집자 등)로 설정합니다.

완료되면 모든 기존 게시물의 작성자를 새 사용자로 설정합니다(각 기사 아래의 모든 게시물 > 빠른 편집에서 수행할 수 있음).

6. 기존 WordPress 사용자 계정 보호

가상 비서와 함께 일하거나 WordPress 웹 사이트에 액세스할 수 있는 직원이 있습니까? 이 경우 모든 플러그인과 데이터에 대한 액세스 권한을 부여하지 않는 것이 가장 좋습니다. 결국 그들은 사이트의 모든 플러그인을 구성할 수 있어야 하는 것은 아닙니다. 그리고 신뢰할 수 있는 개발자가 아니라면 테마 편집기에 대한 액세스 권한이 없어야 합니다. 액세스를 제한하는 방법은 무엇입니까? 방법 중 하나는 계정을 만들고 기여자, 작성자 또는 편집자의 기본 역할 중 하나로 역할을 설정하는 것입니다.

그러나 기본 설정에서 제공하지 않는 웹 사이트의 일부에 대한 액세스 권한을 부여하면서 이러한 역할이 제한하는 것 이상으로 사용자를 차단하려면 어떻게 해야 합니까? 이 경우 사용자 역할 편집기 와 같은 무료 플러그인을 사용할 수 있습니다. 이 플러그인 을 사용하면 새 역할을 생성하고 해당 역할이 액세스할 수 있는 웹사이트 요소를 설정할 수 있습니다.

7. 감사 로그를 통한 활동 모니터링

사용자가 웹사이트에 있는 대부분의 취약한 요소에 액세스하지 못하도록 제한할 수는 없지만 문제가 발생할 경우를 대비하여 최소한 누가 무엇을 변경하거나 편집했는지 알고 싶다면 어떻게 해야 할까요? 포괄적인 감사 로그 형식의 개요를 보려면 WP 보안 감사 로그 를 설치할 수 있습니다 . 무료 버전은 직원 및 VA의 활동에 대한 편리한 개요를 제공하기에 충분합니다.

8. Google OTP를 사용하여 로그인을 더욱 안전하게 만드세요

사용자에 대해 말하자면, 사이트를 더욱 안전하게 만들기 위해 할 수 있는 일이 한 가지 더 있습니다. WordPress 자격 증명(또는 직원의 자격 증명)이 도난당했다고 상상해 보십시오. 이 경우 직원의 사용자 역할에 따라 침입자가 전체 WP 웹사이트에 액세스할 수 있습니다. 이를 방지하려면 로그인 시 2단계 인증을 추가하는 것이 좋습니다. 가장 쉬운 방법은 Google Authenticator 플러그인 입니다. 이 작업이 완료되면 누군가 사용자 이름과 비밀번호를 알아도 Google OTP 앱에서 제공한 코드 없이는 로그인할 수 없습니다.

보시다시피 WordPress는 인기 있는 모든 콘텐츠 관리 시스템 중에서 가장 취약한 콘텐츠 관리 시스템으로 간주되지만 가장 일반적인 위험을 최소화하거나 완전히 제거하고 웹사이트에서 가장 위험한 요소를 보호하는 것은 그리 어렵지 않습니다.

위의 팁을 따르고 다른 사람에게 사이트에 대한 액세스 권한을 부여할 때 주의를 기울이고 사이트의 요소를 최신 상태로 유지하고 웹사이트를 사용하면 잠재적인 침입자로부터 비즈니스를 안전하게 보호할 수 있습니다. 보안 침해를 방지할 수 있을 뿐 아니라 얼마나 절약할 수 있는지는 말할 것도 없습니다.