WordPress 웹사이트 보안: 7가지 입증된 보안 전략

WordPress 웹 사이트 보안에 대해 우려하고 필요한 조치에 대해 확신이 없으십니까? 더 이상 보지 마세요. 이 블로그가 도와드리겠습니다!

4억 5,500만 개 이상의 웹사이트에서 WordPress를 사용하고 있으며 인터넷에서 백만 개 이상의 WordPress 테마를 사용할 수 있다는 소식을 들어 보셨습니까? 이는 웹 호스팅 거물이 웹사이트에 대한 글로벌 시장 점유율의 놀라운 35%를 제어하고 있음을 나타냅니다. 매월 WordPress는 전 세계에서 최소 4억 명이 사용합니다. 결과적으로 WordPress 사이트를 인간이 가능한 한 사이버 공격에 대한 저항력으로 만들려는 요구가 증가하는 이유가 분명해야 합니다.

그럼에도 불구하고 WordPress는 상위 50개 SaaS 회사 중 하나가 아님에도 불구하고 세계에서 가장 널리 사용되는 콘텐츠 관리 시스템 중 하나입니다. 하지만 사이버공격에 취약한 콘텐츠라면 우수하다고 평가받는 CMS를 쓴다고 무슨 소용이 있겠는가.

실제로 2018년에 도난당한 모든 콘텐츠 관리 시스템 웹사이트의 90%가 WordPress에 의해 구동되었습니다. 반면 데이터 유출의 2%만이 WordPress의 기본 보안 취약점으로 인해 발생했습니다. 즉, 사용자는 가장 일반적으로 안전하지 않은 플러그인을 사용하여 웹 사이트를 다양한 위험에 노출시키는 책임이 있습니다.

당신이 가장 원하지 않는 것은 웹사이트가 WordPress에 의해 구동되는 경우 사이버 공격의 혼란 속에서 발견되는 것일 가능성이 높으며 이는 절대적인 최악의 시나리오가 될 것입니다. 오늘날 인터넷에서 발견될 수 있는 위험이 계속 증가함에 따라 웹사이트를 개발할 때 웹사이트의 안전을 보장하는 것이 최우선 순위 중 하나가 되어야 합니다.

WordPress 웹사이트의 안전을 유지하는 데 도움이 되도록 가장 효과적인 7가지 전략 및 모범 사례 목록을 개발했습니다. 웹 사이트와 해당 데이터를 안전하게 유지하는 방법을 알아 보려면 계속 읽으십시오.

WordPress 웹사이트 보안을 유지하는 데 도움이 되는 7가지 팁

작업을 시작하기 위해 워드프레스 웹사이트를 더 안전하게 만들기 위해 구현할 수 있는 몇 가지 단축키(말장난을 용서해 주세요)를 제공하겠습니다.

1. 보안을 제공하는 WordPress 호스트 선택

프로젝트의 위험 관리와 관련하여 고려해야 할 가장 중요한 사항 중 하나는 신뢰할 수 있는 WordPress 호스트를 선택하는 것입니다. 선택한 WordPress 호스트는 웹 사이트의 전반적인 보호에 중요한 역할을 하기 때문에 이전 호스팅 서비스를 선택할 여유가 없습니다. 서버 수준에서 여러 계층의 보안을 제공하는 옵션을 선택해야 합니다.

WordPress 사이트의 호스트를 선택하기 위해 서두르지 마십시오. 오히려 시간을 들여 다양한 가능성을 살펴보십시오. 의심스러울 정도로 저렴한 호스팅 서비스를 피해야 한다는 것은 말할 필요도 없습니다.

결국 평균보다 상대적으로 저렴한 가격으로 서비스를 판매하고 있다는 사실은 거의 항상 숨겨진 문제를 나타냅니다. 기술에 대해 잘 알지 못하는 경우 개인 VPS(가상 사설 서버)에서 WordPress 사이트를 호스팅하려는 유혹을 피해야 합니다. 보안 이벤트를 성공적으로 처리할 수 있는 호스트를 찾는 것이 더 나은 대안입니다. 이것은 당신이 믿을 수 있는 웹 호스트 서비스가 될 것입니다.

평판이 좋은 호스팅 제공업체의 서비스를 사용하고 계획에 가입하면 웹사이트가 가능한 모든 방법으로 보호될 것이라고 확신할 수 있습니다. 또한 이러한 모든 호스팅 공급자가 고객에게 제공하는 반복적인 원격 지원의 수많은 계층을 조사할 수 있습니다.

일반적으로 이상적인 WordPress 호스트는 매일 바이러스 검사를 수행하고 24시간 내내 도움을 제공하는 호스트입니다. 고려 중인 잠재적인 WordPress 호스트가 자동 배포자를 사용하여 고객의 통화를 파악하고 있는지 확인하십시오. 이것은 24시간 지원 제공자가 고객의 전화를 처리하는 가장 일반적인 방법 중 하나입니다.

2. PHP 버전이 항상 최신인지 확인하십시오.

WordPress 웹사이트는 PHP라고도 하는 하이퍼텍스트 전처리기가 없으면 제대로 작동하지 않습니다. 웹사이트 서버에서는 항상 최신 버전을 사용해야 합니다.

일반적으로 PHP의 새 릴리스는 새 버전으로 교체될 때까지 약 2년 동안 완전한 지원을 받습니다. 2년의 기간 동안 개발자는 주기적인 수정 및 패치가 필요할 수 있는 소프트웨어의 다양한 취약성을 알게 될 수 있습니다.

PHP 7.4는 현재 PHP 프로그래밍 언어의 최신 버전입니다. 그럼에도 불구하고 PHP.net은 버전 7.2 및 7.3에 대한 지원을 계속 제공합니다. 즉, 여전히 PHP 버전 7.1 이하를 사용하는 WordPress 사용자는 사이버 범죄자의 표적이 될 위험이 더 큽니다(또한 읽기: PHP 101).

WordPress에서 제공한 통계에 따르면 놀랍게도 32%의 고객이 오래된 버전의 PHP를 사용하여 웹 사이트를 운영하고 있습니다. 웹 사이트를 지속적으로 노출시키는 사이버 보안의 다양한 취약점을 고려하는 것은 끔찍합니다. 비즈니스 소유자와 웹사이트 소유자가 새 버전의 PHP와 코드의 호환성을 테스트하는 데 시간이 필요한 것은 사실이지만 적절한 보안 지원 없이 웹사이트를 실행하는 것에 대한 정당성을 인정할 수는 없습니다.

반응형 웹사이트를 개발할 때 레이아웃 템플릿보다 더 많은 것을 고려해야 합니다. 이전 버전의 PHP를 사용하면 웹 사이트의 성능과 효율성 모두에 부정적인 영향을 미칠 수 있으며 이로 인해 발생하는 보안 위험도 있습니다. WordPress 웹사이트에서 최신 PHP 릴리스를 사용하는 것이 가장 현명한 조치입니다. 소셜 플랫폼에는 특정 상황에서 어떤 조치를 취해야 할지 확신이 서지 않을 때 서비스 공급자에게 필요한 지원을 더 간단하게 요청할 수 있는 CPaaS(Positive as a Service) 솔루션이 있습니다.

3. 비밀번호의 안전성 확보

이 조언이 애용하는 것으로 보일 수 있고 약간 깨진 기록처럼 보일 수 있음에도 불구하고 얼마나 많은 개인이 안전한 암호를 설정하지 않는지 알면 놀랄 것입니다.

SplashData에 따르면 숫자 "123456"은 2018년 내내 가장 일반적으로 사용된 비밀번호였습니다. 해당 정보가 귀하를 놀라게 하지 않았다면 목록의 다음 항목은 "password"라는 단어였습니다.

이러한 암호를 사용하면 WordPress 사이트가 해커의 손쉬운 표적이 됩니다. 이는 웹 전문가의 도움 없이도 이미 알고 있을 것입니다. 이 때문에 종종 MDM으로 알려진 모바일 장치 관리는 대부분의 프로젝트에서 필수적인 구성 요소입니다. 이는 장치를 보호하는 데만 전념하는 장치와 팀이 있음을 나타냅니다.

스스로 하는 데 문제가 있는 경우 사이트의 안전한 암호를 선택하는 데 도움이 필요한 경우 디지털 고객 지원에 문의할 수 있습니다. 디지털 고객 서비스가 무엇인지 궁금하시다면 VoIP 전화 시스템을 사용하는 것이 아니라 다양한 디지털 플랫폼을 사용하여 질문에 대한 답변을 제공하는 시스템입니다. 이러한 플랫폼의 예로는 문자 메시지, 채팅 메시지 및 소셜 네트워킹이 있습니다.

디지털 시스템을 보호하려는 사람은 고유하고 평균적으로 추측하기 어려운 암호를 사용하는 모범 사례를 따라야 합니다. 강력한 암호는 침입으로부터 WordPress 사이트를 보호하는 훌륭한 전략이지만 많은 사용자는 암호를 너무 복잡하게 만든 후에 암호를 잊어버린다고 불평합니다.

워드프레스 계정의 암호를 개인용 컴퓨터에서 암호화된 데이터베이스에 저장하거나 온라인에서 액세스할 수 있는 암호 관리자를 사용할 수 있습니다. 다양한 옵션을 사용할 수 있습니다. 이렇게 하면 클라우드 저장소의 암호가 보호됩니다.

어떤 옵션을 선택하든 WordPress 웹사이트에 사용하는 비밀번호가 안전하고 가장 중요하게 구별되는지 확인해야 합니다.

4. WordPress 웹사이트에 2단계 인증이 있는지 확인합니다.

2FA라고도 하는 2단계 인증은 사람들이 하나가 아닌 두 가지 고유한 인증 방법을 사용하여 신원을 인증하도록 요구하는 추가 인터넷 보안 계층입니다. 대부분의 경우 이것은 개인의 장치에 문자로 전송되거나 주소로 이메일로 전송되는 코드 또는 기밀 개인 문의로 구성됩니다.

2단계 인증이라는 절차를 구현하여 WordPress 웹사이트의 보호 수준을 높이는 것이 효율적인 접근 방식입니다. 암호화된 파일을 서로 공유하는 것과 같은 작업에도 유용합니다. 가장 큰 특징은 사용할 두 개의 인증 모듈을 선택할 수 있다는 것입니다.

많은 사람들이 Google Authenticator 앱을 사용하기로 결정합니다. 이 앱은 독특한 코드를 문자 메시지 형태로 휴대전화에 전달합니다. 응용 프로그램은 의심할 여지 없이 귀하가 그러한 SMS를 받을 수 있는 유일한 사람임을 확인합니다.

5. 안전한 플러그인만 설치하세요.

사용자에게 온라인 활동을 향상시키고 군중과 자신을 구별하는 데 도움을 주는 플러그인을 설치하는 것은 WordPress 웹사이트의 주요 디자인 트렌드 중 하나입니다. 그럼에도 불구하고 이 자유는 때때로 그 자체로 보안 위험을 나타낼 수 있습니다.

Wordfence에 따르면 2016년 WordPress 사용자 사이에서 발생한 데이터 유출의 약 60%는 안전하지 않은 플러그인으로 인해 발생했습니다. 따라서 보시다시피 보안 수준이 인증되지 않은 플러그인으로 사이트를 운영하면 웹 사이트가 위험. 결과적으로 안전하고 신뢰할 수 있는 플러그인을 웹사이트에 설치하는 것이 가장 좋습니다.

이것이 사실인지 확인하려면 WordPress 사이트에서 "인기 있는" 또는 "추천" 범주를 확인하거나 개발자로부터 직접 가져오는 것으로 시작할 수 있습니다. 이 두 옵션 모두 살펴보기 좋은 곳입니다. 보안에 대한 구체적인 정책이 있는지 확인하기 위해 작은 글씨를 항상 주의 깊게 읽으십시오.

일부 플러그인은 사용자에게 내장된 맬웨어 스캐너, 방화벽 및 자동화된 데이터베이스 백업에 대한 액세스 권한을 부여하기도 합니다. 이것이 주시해야 할 아주 좋은 징조라는 것은 의심의 여지가 없습니다. 안전한 것으로 알려진 플러그인을 설치한 후에도 항상 최신 상태로 유지해야 합니다. 최신 버그 수정, 보안 업데이트 및 버전 업그레이드를 다운로드하지 않으면 플러그인을 위험에 빠뜨리고 사이버 범죄자의 도관을 열 수 있습니다.

6. 사용자가 로그인을 시도할 수 있는 최대 횟수를 설정합니다.

기본적으로 설정된 WordPress 계정에 로그인을 시도할 수 있는 횟수에는 제한이 없습니다. 비밀번호가 기억나지 않으면 웹사이트가 잠기지 않고 계속해서 접속을 시도할 수 있습니다. 암호를 잊어버린 이력이 있는 경우 이것이 이점이라고 생각할 수도 있지만 실제로는 WordPress 사이트를 위험에 빠뜨립니다.

사이버 범죄자들도 이 취약점을 알고 있으며 이를 악용한다는 점을 이해해야 합니다. 대부분의 경우 일반적인 사용자 이름과 비밀번호 목록을 작성하는 것으로 시작한 다음 훔치거나 구입한 사용자 데이터를 추가합니다. 그런 다음 WordPress에서 제공하는 웹 사이트로 이동하고 봇을 사용하여 한 시간도 안 되는 시간 동안 수백 가지의 다양한 로그인 및 암호 콤보를 시도합니다. 성공하는 경우도 있고 그렇지 않은 경우도 있습니다. 강력한 공격은 이 컴퓨터 해킹 방법에 부여된 이름입니다.

그러나 사용자가 사이트에 로그인을 시도할 수 있는 횟수를 제한하면 웹 사이트가 악의적인 사이버 공격의 대상이 될 가능성을 크게 줄일 수 있습니다. 예를 들어 최대 시도 제한을 3개로 설정하면 해당 숫자에 도달하면 웹 사이트에서 특정 시간 동안 해당 사람(또는 봇)에 대한 액세스를 차단합니다.

7. SSL을 사용하여 웹사이트의 데이터 암호화

마지막으로 보안 소켓 레이어를 설치하는 것은 WordPress 웹사이트(SSL)를 보호하기 위해 수행할 수 있는 가장 효과적인 조치 중 하나입니다. 웹사이트에 SSL 인증서를 설치하면 서버와 사이트 방문자 간에 발생하는 모든 데이터 전송이 암호화됩니다. 또한 웹사이트의 프로토콜을 HTTP에서 HTTPS로 변경합니다. 조직이 전자 상거래에 대한 접근 방식을 개선하려는 경우 SSL은 절대적으로 필요합니다.

알다시피 해커는 HTTP 웹사이트에서 중간자 공격이라는 것을 사용할 수 있습니다. 이를 통해 웹사이트 사용자가 서버로 전송하는 데이터를 검사할 수 있습니다. 이로 인해 데이터 위반 및 기타 사이버 공격 결과가 발생할 수 있습니다. HTTPS를 사용하는 웹사이트는 모든 사이트 트래픽과 데이터를 암호화하여 다른 사람이 볼 수 없도록 합니다.

다행스럽게도 SSL 인증서를 받는 절차는 다소 기본적인 절차라고 할 수 있습니다. 인증 기관에서 구입한 다음 WordPress 웹 사이트에 설치하여 프로세스를 완료하기만 하면 됩니다.

그런 다음 접두사 HTTPS를 표시하도록 웹사이트 주소를 조정해야 합니다. 인증 기관은 적절한 클라우드 기반 콜 센터 소프트웨어를 활용하여 프로그램의 구매 및 궁극적인 설치를 도울 수 있습니다. 귀하의 웹사이트에 아직 SSL 인증서가 없는 경우 가능한 한 빨리 SSL 인증서를 취득하는 것이 중요합니다.

저자 약력

Travis Dillard는 텍사스 알링턴에 거주하는 비즈니스 컨설턴트이자 조직 심리학자입니다. 일반적으로 마케팅, 소셜 네트워크 및 비즈니스에 열정적입니다. 여가 시간에는 DigitalStrategyOne의 새로운 비즈니스 전략과 디지털 마케팅에 대해 많은 글을 씁니다.