WordPress 보안: 다음 단계를 통해 사이트 보안 향상

웹에서 가장 많은 수의 웹사이트가 워드프레스 플랫폼에서 실행되고 있습니다. WordPress가 웹을 지배하고 있음을 의미합니다. 웹에서 악성 요소의 주의를 끕니다. 따라서 Google은 매년 거의 20,000개의 맬웨어용 웹사이트와 50,000개의 피싱용 웹사이트를 금지합니다.

이러한 암울한 시나리오에서는 웹 사이트 보안 이 중요해집니다. 기록된 공격 사건은 WordPress 코드로 실행되는 웹 사이트 수가 많기 때문에 WordPress 플랫폼에서 가장 높습니다. 따라서 오늘 저는 WordPress 웹사이트를 보호하는 데 도움이 되는 몇 가지 실행 가능한 단계를 강조하고 싶습니다.

WordPress 웹사이트 사용자의 진입 보호

실생활에서 우리는 집, 사무실, 공장과 같은 전제를 확보하고자 할 때 먼저 장난이나 악의적인 요소가 침입을 시도할 수 있는 액세스 포인트를 봅니다. WordPress 웹사이트를 보호하기 위해 동일한 전략을 적용해야 합니다.

이제 해커를 통해 가능한 진입점을 평가하거나 악의적인 사용자가 백엔드 또는 소스 코드에 액세스할 수 있습니다. 기본적으로 WordPress 백엔드 액세스 URL은 다음으로 끝납니다.

/wp-login.php 또는 /wp-admin/

따라서 WordPress 백엔드 페이지에 원치 않는 사용자의 진입을 차단하기 위해 적절한 조치를 취해야 합니다.

로그인 URL 변경

WordPress 개발자인 경우 사이트 백엔드의 기본 URL을 변경하는 방법을 이미 알고 있지만 고급 사용자 또는 DIY 유형의 사용자의 경우 고급 보안 플러그인 또는 확장을 사용하여 변경할 수 있습니다. 따라서 변경할 수 있습니다.

• /wp-login.php에서 /Your-Domain-Name-login.php로
• /wp-admin/또는 /Your-Domain-Name-admin/
• /wp-login.php?action=register 또는 /Your-Domain-Name-registration

따라서 이러한 종류의 사용자 정의 URL은 무차별 대입 공격으로부터 보호하는 데 크게 도움이 될 수 있습니다.

사용자 이름 변경

기본적으로 대부분의 워드프레스 개발자는 'Admin/admin' 키워드를 사용자 이름으로 설정합니다. 해커와 원치 않는 사용자가 WordPress 사이트 백엔드에 쉽게 액세스할 수 있도록 하며 GWDb(게스 작업 데이터베이스)를 사용하여 암호를 추측해야 합니다.

기본 사용자 이름을 이메일 주소와 같이 예측할 수 없는 것으로 변경하면 공격자와 소프트웨어의 위협을 줄일 수 있습니다.

비밀번호 변경

사용자 이름과 마찬가지로 비밀번호는 항상 위협을 받고 있습니다. 암호 추측 활동을 보호하는 방법에는 여러 가지가 있습니다. 예를 들어, 소문자, 대문자, 숫자 및 기호가 조합된 매우 복잡한 암호를 사용합니다.

그러나 2단계 인증 의 최근 경향은 모든 수준의 사용자가 백엔드에 대한 액세스를 보호하는 훌륭하고 확실한 방법입니다. 모바일/스마트폰은 OTP(One-Time Password)에 접속하여 2FA 시스템을 인증할 수 있는 편리한 기기입니다.

잠금 및 금지 설정

무차별 대입 시도를 방지하고 해당 IP 주소의 잠금 또는 금지를 구현하기 위해 반복적인 로그인 또는 등록 시도를 인식하는 데 사용할 수 있는 많은 플러그인과 소프트웨어가 있습니다. 플러그인을 사용하면 실패한 시도 횟수를 설정하고 웹 사이트 백엔드가 무단 액세스를 방지하는 다른 기능을 제공할 수 있습니다.

WordPress 웹사이트의 관리 대시보드 보안

WordPress 백엔드 사용자의 경우 대시보드는 백엔드에서 가장 매력적이고 많이 사용되는 부분입니다. 기본 사용에서 사용자 정의에 이르기까지 전체 웹 사이트를 관리할 수 있는 모든 도구와 옵션을 제공합니다. 누군가 대시보드를 성공적으로 해킹하면 해커에게는 가장 큰 승리가 될 것이고 웹사이트 소유자에게는 가장 큰 피해가 될 것입니다.

따라서 워드프레스 관리자 대시보드 에 대한 특별한 조치를 취해야 합니다. 앞으로 고려할 수 있는 가능한 조치는 다음과 같습니다.

'wp-admin' 디렉토리 관리

모든 것은 리소스와 파일을 포함한 전체 웹사이트를 관리할 수 있는 wp-admin 디렉토리에 있습니다. 따라서 디렉토리에 대한 무단 액세스를 방지한다는 것은 최악의 상황을 미리 제거하는 것을 의미합니다.

디렉토리 비밀번호를 보호하기 위해 WordPress 커뮤니티에서 개발한 플러그인이 있습니다. 따라서 WordPress 관리자는 대시보드에 액세스하기 위해 두 개의 다른 비밀번호를 사용해야 합니다. 하나는 로그인 페이지용이고 다른 하나는 대시보드용입니다. 이러한 플러그인은 자동으로 [.htpasswd] 파일을 생성한 다음 암호를 암호화하고 파일 권한을 구성합니다.

충분한 주의를 기울여 관리 사용자 추가

백엔드의 모든 권한을 가진 최고 관리자 외에 다른 사용자도 백엔드 기능에 대한 다양한 수준의 액세스 권한을 가진 백엔드에 액세스할 수 있습니다. 백엔드에 대한 역할 기반 액세스가 가능하며 가장 안전하다고 생각되는 비밀번호와 다른 사용자 이름을 부여할 수 있습니다.

관리 디렉토리의 중요한 파일 모니터링

일부 플러그인을 사용하여 모든 관리자가 의심스러운 활동을 모니터링 하여 보안 위협이 감지될 때마다 실시간 조치를 취할 수 있습니다.

데이터 암호화

최신 암호화 기술을 사용하여 저장 및 교환되는 데이터를 보호하는 SSL( Security Socket Certificate )을 구현했다면 그 사이에 문제가 발생하는 것을 방지하고 웹사이트는 물론 WP 관리 영역 전체를 보호할 수 있습니다.

WordPress 사이트의 데이터베이스 보안

워드프레스 플랫폼은 텍스트, 이미지, 레이아웃 코드, 멀티미디어 콘텐츠 등 모든 웹사이트 자산이 SQL 유형의 데이터베이스에서 대부분 테이블 형식으로 데이터베이스에 저장되기 때문에 데이터베이스에 크게 의존합니다. 워드프레스 사이트의 모든 것은 데이터베이스에 위치합니다.

SQL Injection 및 기타 사이버 공격으로부터 데이터베이스를 보호하기 위해 다음 조치를 통해 데이터베이스를 보호할 수 있습니다.

데이터베이스 비밀번호 설정

데이터베이스에 대한 강력한 암호를 설정하고 데이터베이스에 대한 액세스를 최고 관리자 역할까지 제한할 수 있으므로 데이터베이스 변조 또는 실수 가능성을 최소화할 수 있습니다.

WP 접두사 변경

WordPress 웹 사이트를 설치하려는 경우 데이터베이스 테이블에 대한 설정이 발생할 수 있으며 이는 WP 테이블 접두사입니다. 기본적으로 wp-이고 데이터베이스 공격과 같은 SQL 주입을 방지하기 위해 변경해야 합니다. 사용자 정의 접두사처럼 wp-에서 Your-Domain-Name으로 변경할 수 있습니다.

데이터베이스를 정기적으로 백업하십시오.

전체 웹 사이트를 정기적으로 백업하거나 백업하지 않을 수 있지만 데이터베이스 백업을 정렬하면 알려지거나 알려지지 않은 다양한 이유로 인해 발생하는 데이터 손실을 방지할 수 있습니다. 오늘날 우리는 다른 빈도로 데이터베이스 백업 을 수행할 수 있는 특별한 권한을 가진 백업 플러그인 을 가지고 있습니다.

WordPress 사이트 호스팅 보안

검색 엔진은 순위 요구 사항을 충족하기 위해 이상적인 SEO 친화적인 호스팅이 필요하기 때문에 오늘날 웹 사이트 호스팅은 성공에 매우 중요합니다. 마찬가지로 백엔드 사용자와 프론트엔드 사용자를 포함한 웹사이트 사용자, 성능 최적화 , 전환 최적화 및 사용자 경험은 호스팅 환경과 전체 호스팅 품질에 크게 좌우됩니다.

오늘날 우리는 공유 호스팅, VPS 호스팅, 전용 호스팅과 같은 기본 WordPress 커뮤니티 호스팅 서비스 외에도 다양한 규모와 크기의 웹사이트를 위한 Kinsta 와 같은 가장 중요한 클라우드 기반 호스팅 서비스를 제공합니다.

보안 wp-config.php 파일

WordPress wp-config.php 파일 액세스는 전체 WordPress 설치에 관한 매우 중요한 정보를 포함하고 있기 때문에 해커가 나쁜 의도를 쉽게 달성할 수 있는 중요한 성과입니다.

가장 좋은 방법은 파일을 루트 디렉터리보다 높은 수준으로 이동하는 것입니다. 워드프레스의 루트 디렉토리 외부에 위치하더라도 워드프레스에서 볼 수 있기 때문에 쉽게 할 수 있습니다. 따라서 서버는 상위 수준에서 쉽게 찾을 수 있습니다.

파일 편집 금지

호스팅 서버에서 웹사이트 소스에는 사이트를 원활하게 운영하기 위한 중요한 정보와 권한이 포함된 여러 파일이 있습니다. 해커나 악의적인 요소가 서버를 해킹하고 해당 파일에 액세스하면 다양한 강도의 피해를 줄 수 있습니다.

최고 관리자를 제외한 모든 사람에게 파일 편집을 허용하지 않으면 이러한 손실을 쉽게 방지할 수 있습니다. wp-config 파일 끝에 코드 줄을 추가하기만 하면 됩니다.

디렉토리 권한을 설정할 때 주의하십시오

호스팅 서버의 디렉터리, 하위 디렉터리 및 파일은 중요한 WordPress 보안 측면입니다. 웹 사이트의 이러한 구성 요소에 대한 권한을 잘못 설정한 경우. 어쨌든 서버가 손상되면 공격 가능성이 높아질 수 있습니다.

따라서 디렉토리/하위 ​​디렉토리에 대한 755 권한과 파일에 644 권한을 설정해야 합니다. 호스팅/c-Panel에서 제공되는 파일 관리자 도구를 사용하여 쉽게 권한을 설정하거나 변경할 수 있습니다. 파일 권한에 대한 자세한 정보 – 파일 권한 이해 및 사이트 보안을 위한 사용 .

올바른 서버 연결

전통적으로 우리는 서버 연결을 위해 FTP 프로토콜을 사용합니다. 그러나 SFTP 또는 SSH는 오늘날 서버 연결을 만드는 더 안전하고 안정적인 방법입니다.

WordPress 사이트의 테마 및 플러그인 보호

대부분의 WordPress 테마 및 플러그인은 타사 개발자가 개발합니다. 보안 관점에서 완전히 신뢰할 수 있는 것은 아닙니다. 따라서 안전하게 렌더링하려면 몇 가지 조치를 취해야 합니다. 예를 들어:

정기 업데이트 받기

WordPress 웹사이트와 마찬가지로 플러그인 및 테마 개발자/회사도 WordPress 버전에 보조를 맞추고 사용자 피드백을 통해 알게 된 버그와 문제를 수정하기 위해 업데이트를 발행합니다. 따라서 적절한 플러그인을 사용하여 대시보드를 통해 정기적으로 업데이트를 설치하십시오.

WordPress 버전 정보 숨기기

공격자의 경우 숫자와 같은 WordPress 버전 정보를 알면 맞춤형 공격을 개발하는 데 도움이 될 수 있으며 버전 정보는 WordPress 소스에서 쉽게 사용할 수 있습니다. 해당 버전 정보를 DIY 또는 전용 WordPress 개발자 의 도움으로 제거할 수 있다면 공격자의 삶을 조금 힘들게 만들 수 있습니다.

결론

나는 초보자와 중급 WordPress 개발자뿐만 아니라 전용 WordPress 플러그인 개발자를 염두에두고 위의 게시물을 작성했습니다. 따라서 적절한 최신 WordPress 보안 플러그인을 사용하지 않고 WordPress 사이트를 보호하기 위해 설명된 팁을 구현하는 것은 어려운 일입니다. 귀하의 사이트에 설치하고 그 어느 때보다 보안을 강화하려면 다음 플러그인을 사용하는 것이 좋습니다.

• 올인원 WP 보안 및 방화벽
• 무차별 대입 로그인 보호
• 방탄 보안
• 구글 인증기
• iThemes Security, 이전의 Better WP Security
• Sucuri 보안 WordPress 플러그인
• 워드펜스
• WP 안티바이러스 사이트 보호

여전히 혼란스럽고 전문가의 도움을 받고 싶다면. Perception System은 워드프레스 개발 서비스와 워드프레스 개발자를 고용하여 어려운 고객이 사이트를 완전히 안전하고 안전하게 만들 수 있도록 지원하는 시설을 제공합니다.