[WordPress 보안 통계] WordPress 사이트가 해킹되는 4가지 주요 원인과 방지 방법
게시 됨: 2021-02-22인터넷에 있는 모든 웹사이트의 34%를 구동하고 CMS 시장에서 60.8%의 시장 점유율을 차지하는 WordPress는 의심의 여지 없이 세계에서 가장 인기 있는 콘텐츠 관리 시스템입니다. 그러나 이러한 엄청난 인기에는 대가가 따릅니다.
수년에 걸쳐 WordPress 보안은 항상 불타는 문제였습니다. Sucuri 연구에 따르면 8,000개의 감염된 웹사이트 중 74%가 WordPress를 기반으로 구축되었습니다. Wordfence는 또한 WordPress 사이트에서 분당 최대 90,000건의 공격이 발생한다는 사실을 발견했습니다.
그렇다면 WordPress가 해커의 표적이 되는 이유는 무엇입니까?
WordPress 사이트가 해킹되는 데에는 여러 가지 이유가 있습니다. 이 기사에서는 다양한 소스를 통해 선별된 실제 WordPress 해킹 통계와 함께 4가지 주요 이유에 중점을 둘 것입니다. 또한 WordPress 보안을 보장하는 방법에 대한 유용한 조언도 제공합니다.
뛰어들자!
- 안전하지 않은 웹 호스팅
- 약한 암호
- 오래된 WordPress 사이트
- 오래되거나 무효화된 테마 및 플러그인
- WordPress 보안을 보장하는 방법
안전하지 않은 웹 호스팅
"워드프레스 사이트의 41%는 취약한 호스팅 플랫폼 때문에 공격을 받습니다."
모든 웹 사이트와 마찬가지로 WordPress는 웹 호스트 또는 서버에서 호스팅됩니다. 대부분의 WordPress 사이트 소유자는 웹 호스팅을 선택할 때 진지하게 고려하지 않는 것 같습니다. 일반적으로 더 저렴하기 때문에 공유 호스팅 계획에서 웹사이트를 호스팅합니다. 이것은 불행히도 공격자에게 유리한 먹이가 되는 것으로 판명되었습니다.
해커가 해킹된 사이트를 통해 사이트에 액세스할 수 있으므로 해당 공유 서버에 대한 해킹 시도가 성공하면 사이트의 취약점이 발생할 수 있습니다.
약한 암호
이것은 성공적인 무차별 대입 공격의 가장 흔한 원인 중 하나입니다. WP Smackdown은 WordPress 사이트의 8%가 취약한 비밀번호로 인해 해킹당한다는 것을 증명합니다.
놀랍게도 오늘날까지도 사람들은 사이트를 보호하기 위해 "123456" 또는 "password"와 같은 추측하기 쉽고 일반적인 암호를 사용하고 있습니다. NordPass는 2020년 최고의 비밀번호 사용을 요약했으며 그들이 공개한 내용은 당신을 놀라게 할 것입니다.
| 상위 10개 비밀번호 | 사용자 수 | 그것을 깨는 시간 |
| 123456 | 2,543,285 | 1초 미만 |
| 123456789 | 961,435 | 1초 미만 |
| 그림1 | 371,612 | 3 시간 |
| 비밀번호 | 360,467 | 1초 미만 |
| 12345678 | 322,187 | 1초 미만 |
| 111111 | 230,507 | 1초 미만 |
| 123123 | 189,327 | 1초 미만 |
| 12345 | 188,268 | 1초 미만 |
| 1234567890 | 171,724 | 1초 미만 |
| 센하 | 167,728 | 10 초 |
그들의 연구에 따르면 사용자는 기억하기 쉬운 숫자나 문자열을 비밀번호로 설정하는 경향이 있습니다. 또한 편의성 때문에 여러 계정에 동일한 비밀번호를 재사용하는 경향이 있습니다. 가장 중요한 것은 기억하기 쉬운 비밀번호일수록 크랙에 취약하다는 것입니다.
오래된 WordPress 버전
오래된 WordPress 버전은 사이트가 해킹되는 가장 큰 이유 중 하나입니다. Sucuri의 연구에 따르면 해킹된 웹사이트의 36.7%가 오래된 버전을 실행한 것으로 나타났습니다.
새 버전에는 더 나은 고급 기능이 추가되고 이전 버전의 취약점이 수정됩니다. 그러나 일부 사용자는 자동 업데이트 기능을 비활성화하기도 합니다. WordPress에 따르면 WordPress 사용자의 32.2%만이 사이트를 최신 버전인 5.6으로 업데이트했습니다.
사용자가 사이트를 최신 상태로 유지하는 것을 거부하는 이유는 무엇입니까?
주요 변명은 다음과 같습니다.
- 그들은 바쁨(또는 게으름)로 인해 업데이트 알림을 지연하거나 잊어버리는 경향이 있습니다.
- 그들은 업데이트가 사이트 성능에 영향을 미칠까 걱정합니다.
그러나 때때로 무지로 인해 많은 비용이 발생한다는 것을 알고 있습니다. 2012년 로이터 블로깅 플랫폼 해킹은 전형적인 교훈입니다.
Reuters는 해커가 사이트를 공격할 수 있도록 WordPress 설치를 최신 상태로 유지하는 것을 잊었습니다. 그들은 시베리아 반군 지도자와의 인터뷰 혐의를 포함하여 로이터의 웹사이트에 수많은 허위 게시물을 올렸습니다. 당시 Reuters는 3.4.1 대신 3.1.1 버전을 사용하고 있었습니다.
오래되거나 무효화된 테마 및 플러그인
많은 웹사이트 소유자가 테마 및 플러그인 취약점으로 인해 공격을 경험했습니다. WordPress는 보안 패치로 핵심을 즉시 업데이트하지만 해당 개선 사항은 플러그인에 적용되지 않습니다.
WP Scan의 통계에 따르면 2020년까지 21,936개의 WordPress 취약점이 있었습니다. 그 중 보고된 워드프레스 취약점의 52%와 11%는 각각 플러그인과 테마와 관련이 있으며 나머지는 워드프레스 코어가 차지합니다.
또한 Wordfence 2020 WordPress 보고서에서 Wordfence는 nulled 플러그인 및 테마의 맬웨어가 WordPress 보안에 위협이 된다고 강조했습니다. WP Scan과 Wordfence는 Cross-site Scripting과 SQL Injection이 WordPress 플러그인 및 테마에서 가장 널리 사용되는 취약점 유형이라는 데 동의합니다.
Wpwhitesecurity(2020년 10월 8일 마지막 업데이트)가 나열한 가장 취약한 상위 10개 테마 및 플러그인을 확인하면 놀랄 것입니다.
가장 취약한 상위 10개 플러그인: 
위 그래프에서 Nextgen Gallery, Ninja Forms, WooCommerce가 20개 이상의 취약점으로 상위 3위를 차지했습니다. "All In One WP Security & Firewall"이라는 보안 플러그인도 이 목록에 표시됩니다. 이는 보안 플러그인도 해커의 표적이 될 수 있음을 의미합니다.
가장 취약한 상위 10개 테마: 
첨부된 그래프는 테마가 플러그인에 비해 많은 취약점을 유발하지 않음을 보여줍니다. 가장 높은 취약점 수는 5개이며 Echelon and Traveler 주제에 해당합니다. 테마는 플러그인처럼 기능 확장을 포함하지 않기 때문입니다. 그들은 주로 WordPress 사이트의 모양과 느낌을 책임집니다.
WordPress 보안을 보장하는 방법
위의 놀라운 WordPress 보안 통계 및 사실을 바탕으로 WordPress 보안을 보장하는 데 도움이 되는 5가지 실행 가능한 솔루션을 결론지었습니다. 지금 해야 할 일은 다음과 같습니다.
- 웹 호스팅에 투자하세요
- 고유한 비밀번호 생성
- 사이트를 최신 상태로 유지
- WordPress 보안 플러그인 사용
- nulled 테마 및 플러그인 사용 피하기
웹 호스팅에 투자하세요
당신은 당신이 지불하는 것을 얻습니다. 안정적인 웹 호스팅을 선택하면 사이트가 해킹될 가능성이 크게 줄어듭니다. 고품질 웹 호스팅은 최신 버전의 PHP 및 MySQL을 지원할 뿐만 아니라 멀웨어 검사 및 정기 백업도 제공합니다.
가장 안전한 호스팅 옵션으로 전용 서버를 적극 권장합니다. 물론 비용이 많이 들지만 사이트에 트래픽이 많고 민감한 데이터가 포함된 경우 매우 유용합니다.
공유 호스팅 솔루션을 멀리하십시오. 그러나 이미 공유 호스팅 계획을 사용하고 있다면 VPS 호스팅으로 전환하십시오.
고유한 암호 만들기
워드프레스 관리자 계정 뿐만 아니라 웹호스팅, FTP 계정, MySQL 데이터베이스에도 안전한 비밀번호가 필요합니다.
강력한 암호를 생성하려면 먼저 "1234567" 또는 "abcdef"와 같은 일반적인 인접 숫자나 문자와 "abc123" 또는 "111111111"과 같은 반복 문자를 사용하지 않아야 합니다.
이와 함께 다른 웹사이트에 동일한 비밀번호를 사용하지 마십시오. 각 계정에 대해 최소 8자를 포함하는 길고 복잡하며 강력한 암호를 만들어야 합니다.
이상적인 암호는 단어, 숫자 및 기호를 혼합해야 합니다(예: !wdf34*de5). 90일마다 정기적으로 비밀번호를 재설정하는 것을 잊지 마십시오.
사이트를 최신 상태로 유지
두 번째 Reuters가 되지 않으려면 WordPress 사이트를 최신 버전으로 업데이트해야 합니다. 대시보드의 업데이트 알림에 주의하십시오.
업데이트로 인해 사이트가 손상될 것이 우려되는 경우 업데이트를 실행하기 전에 백업을 만들고 스테이징 사이트에서 업데이트를 테스트해야 합니다.
WordPress 보안 플러그인 사용
WordPress 보안 플러그인을 설치하는 것은 맬웨어를 포함한 모든 유형의 공격으로부터 사이트를 보호하기 위한 가장 간단하면서도 가장 효과적인 솔루션입니다.
취약점을 스캔하고, 강력한 암호를 적용하고, 악성 네트워크를 차단하고, 방화벽을 구현하는 등의 작업을 수행할 수 있는 보안 플러그인을 선택합니다. 이 분야에는 Sucuri, Wordfence 및 BlogVault가 포함된 다양한 신뢰할 수 있는 WordPress 보안 플러그인이 있습니다.
Nulled 테마 및 플러그인 사용 피하기
Nulled 플러그인 및 테마는 라이선스 확인 기능이 없는 프리미엄 버전의 해킹된 버전입니다. 일반적으로 해당 기능은 이러한 플러그인 및 테마에서 비활성화되거나 제거되어 잠재적으로 악성 맬웨어로 이어집니다.
nulled 플러그인과 테마는 무료이고 다운로드하기 쉽기 때문에 유혹적이라는 것을 부인할 수 없습니다. 그러나 이 아이디어를 고려하십시오. 이러한 해적 사본을 사용하는 경우 개발자로부터 사용 가능한 업데이트가 없기 때문에 보안 수정 사항이 없습니다.
따라서 신뢰할 수 있는 웹사이트에서 원본 플러그인이나 테마를 다운로드하거나 프리미엄에 돈을 투자하는 것이 좋습니다. 장기적으로 생각해보면 사이트를 보호하고 새로운 기능을 받거나 보안 수정 사항에 대한 추가 지원을 받을 수 있습니다.
결론
이 기사에서는 WordPress가 실제 수치로 해킹되는 4가지 주요 이유를 안내했습니다. 제공된 WordPress 해킹 통계는 WordPress 보안을 강화하는 것이 얼마나 중요한지 강조하는 것을 목표로 합니다.
또한 잠재적인 공격으로부터 WordPress를 방지하는 방법에 대한 유용한 조언을 제공했습니다. "예방이 치료보다 낫다." 웹 호스팅 선택, WordPress 코어, 플러그인 및 테마 업데이트, 강력한 암호 생성에 특별한 주의를 기울여야 합니다.
이 기사에서 공유하고 싶지만 놓친 WordPress 해킹 통계가 있습니까? 웹사이트를 악용한 경험이 있습니까? 아래 댓글 섹션에서 자유롭게 공유해 주세요!