WordPress 관리 영역을 보호하기 위한 10가지 훌륭한 팁

게시 됨: 2022-07-12

2016년 Hacked Website Report에 따르면 Sucuri에서 알려진 8,000개의 감염된 웹 사이트 중 74%가 WordPress 기반입니다. 이 심각한 통계는 부분적으로 사이트의 웹 보안에 대한 지속적이고 지속적인 우려를 깨닫는 데 도움이 됩니다.

악의적인 제3자는 다양한 방법을 사용하여 WordPress 웹사이트를 공격합니다. 관리자 대시보드는 가장 취약한 대상이 될 것입니다. 중요한 데이터가 포함된 사이트의 허브와 같습니다. 관리자 대시보드에 침입하면 사이트를 크게 손상시키는 위험한 행동을 취합니다.

의심스러운 공격을 효과적으로 방지하려면 WordPress 관리자를 보호해야 합니다. 오늘 우리 기사는 로그인 영역을 좁히는 10가지 방법에 중점을 둡니다. 자세한 내용을 알아보기 전에 관리자 로그인을 보호하는 몇 가지 이유를 간략하게 설명하겠습니다.

WordPress 관리자를 보호하는 이유

웹사이트 익스플로잇에 대해 이야기할 때 우리는 해커가 정교한 컴퓨터 시스템을 사용하여 서버에 침입하는 것을 분명히 생각합니다.

사실 그 과정이 훨씬 쉽습니다. 그들은 단순히 웹 사이트의 백엔드에 액세스하고 제어할 수 있습니다. 그런 다음 데이터 손실, 법적 문제에 직면하고 웹 사이트 청소에 돈을 쓰는 결과를 겪습니다.

대부분의 경우 해커는 사이트에 멀웨어를 남겨 전화번호나 신용 카드 세부 정보와 같은 자격 증명 고객 데이터를 훔칩니다. 이러한 개인정보가 도용되면 고객이 손해를 보고 피해를 입을 뿐만 아니라 브랜드 평판도 훼손됩니다.

구매자는 정보가 완전히 보호되는지 확신할 수 없기 때문에 구매를 위해 온라인 상점으로 돌아가지 않습니다. 고객 데이터를 신중하게 보호하지 않아 소송에 휘말릴 수도 있습니다.

또한 사이버 공격으로 인해 웹 사이트를 정리하는 데 비용이 많이 듭니다. 이 문제를 처리하려면 WordPress 유지 관리 서비스를 고용해야 합니다.

WordPress 관리자를 보호하기 위해 적용할 수 있는 여러 기술이 있습니다. 다음은 기술에 익숙하지 않은 사람부터 기술에 정통한 사람까지 모든 사이트 소유자를 위한 10가지 가장 쉬운 솔루션입니다.

#1 기본 관리자 사용자 이름 변경

WordPress는 모든 웹사이트의 기본 사용자 이름에 관리자 를 할당합니다. 사이버 범죄자들은 ​​이것을 확실히 알고 있습니다. 그들은 귀하의 사이트에 로그인하기 위해 귀하의 비밀번호를 쉽게 추측합니다. 그들은 어딘가에서 그것을 얻거나 무차별 대입 공격을 시도할 수 있습니다.

관리자 로그인을 보호하려면 관리자 가 아닌 다른 사용자 이름을 사용해야 합니다. 다행히 WordPress에서 사용자 이름을 변경하는 것은 케이크 조각입니다.

  1. 웹사이트 관리 메뉴에서 사용자 방문
  2. 모든 사용자 를 선택하고 관리자 프로필을 엽니다.
    pda-all-users
  3. 사용자 이름 및 비밀번호 업데이트
  4. 변경 사항 저장

#2 강력한 암호를 사용하여 WordPress 관리자 보호

해킹된 WordPress 사이트의 8%가 취약한 암호에서 파생된 것으로 추정됩니다. 따라서 계정에 강력한 암호를 사용하는 것을 염두에 두십시오. 비밀번호는 영문, 숫자, 특수문자를 조합하여 8자 이상이어야 합니다. 사용자 이름을 변경하는 사용자 페이지에서 바로 새 비밀번호를 입력할 수 있습니다.

암호 생성기는 임의의 강력한 암호를 만드는 데 크게 도움이 됩니다. 암호에 포함할 요소를 선택하고 도구가 작업을 처리하도록 하십시오.

그러나 관리해야 할 수많은 암호와 계정을 소유하고 있기 때문에 모든 암호를 기억하는 것은 고통스러운 일입니다. 다행히도 비밀번호 관리자 앱이 있어 해킹에 대한 걱정 없이 비밀번호를 안전하게 저장할 수 있습니다.

#3 사용자 정의 로그인 URL 만들기

사용자 이름 외에도 WordPress는 웹 사이트 도메인에 /wp-login.php 를 추가하여 기본 로그인 링크도 제공합니다. 예를 들어, www.example.com/wp-login.php . 기본 로그인 URL과 사용자 이름을 모두 유지하면 해커가 사이트 관리자에 대한 액세스 권한을 절반쯤 확보한 것입니다.

wp-login.php 파일을 편집하여 사용자 정의 관리자 로그인 URL을 만들 수 있지만 플러그인을 사용하는 것이 좋습니다. 서버를 만지거나 웹 사이트를 파괴할 수 있는 파일 및 폴더를 변경할 필요가 없습니다.

WordPress 로그인 링크를 사용자 정의하기 위해 플러그인을 선택할 때 WPS Hide Login을 고려하십시오. 플러그인은 전 ​​세계적으로 100만 명이 넘는 사용자로부터 신뢰를 얻었으며 지금까지 이 틈새 시장에서 가장 인기 있는 솔루션임을 입증했습니다.

플러그인을 시작하려면 아래 4단계를 따르세요.

  1. 사이트에 WPS 로그인 숨기기 설치 및 활성화
  2. 관리자 메뉴에서 설정 으로 이동
  3. WPS 로그인 숨기기 선택
  4. 로그인 URL 상자에 새 로그인 링크를 입력합니다.

변경 사항을 저장하는 것을 잊지 마십시오. 완료되면 새 로그인 링크와 올바른 계정 세부 정보가 있는 사용자만 관리자 페이지에 액세스할 수 있습니다.

#4 비밀번호 보호 wp-admin 폴더

wp-admin 폴더는 루트 디렉토리에 있는 중요한 관리 파일로 구성됩니다. 이 wp-admin 폴더를 암호로 보호하여 관리자를 위한 추가 보안 계층을 만들 수 있습니다.

  1. 호스팅 cPanel에 로그인하거나 FTP 클라이언트에 연결
  2. 비밀번호 보호 디렉토리 또는 디렉토리 개인 정보 보호를 누르십시오.
    pda 비밀번호 보호 디렉토리
  3. /public_html/ 디렉토리에서 wp-admin 폴더를 찾습니다.
  4. 이 디렉터리를 암호로 보호 옵션을 활성화합니다.
  5. 사용자 이름과 비밀번호 제공
    pda-사용자 이름-비밀번호-디렉토리
  6. 저장 클릭

이것은 사용자가 WordPress 관리 페이지를 얻으려고 할 때마다 표시되는 것입니다. 관리자 자격 증명 데이터를 제출하기 전에 첫 번째 인증 계층을 통과하려면 올바른 사용자 이름과 암호를 입력해야 합니다.

pda-admin-authentication

#5 모든 사용자의 비밀번호 재설정

WordPress 관리자를 보호하는 또 다른 방법은 특히 다중 사용자 웹사이트에서 모든 사용자가 비밀번호를 재설정하도록 하는 것입니다. 이를 빠르게 달성하려면 Emergency Password Reset 플러그인의 도움이 필요합니다.

활성화하면 관리자가 클릭 한 번으로 비밀번호를 재설정하고 재설정 링크를 이메일로 자동으로 보낼 수 있습니다. 다음 단계를 따르세요.

  1. 비상 비밀번호 재설정 플러그인 설치
  2. 사용자긴급 비밀번호 재설정 으로 이동
    pda-emergency-password-reset
  3. 모든 비밀번호 재설정 버튼을 누릅니다.

그게 다야!

#6 로그인 시도 제한

WordPress는 사용자가 관리자 영역에 성공적으로 액세스할 때까지 원하는 만큼 로그인 정보를 입력할 수 있도록 허용합니다. 그래도 이 옵션은 해커가 사이트를 무차별 대입 공격할 수 있는 기회를 제공합니다.

이러한 악의적인 사용자는 종종 가장 일반적인 암호 라이브러리를 가지고 있습니다. 해커는 자동화된 스크립트를 사용하고 수천 개의 잠재적인 암호를 통과합니다.

위험을 줄이기 위해 Wordfence 보안 플러그인으로 로그인 시도를 제한할 수 있습니다. 사이트 보안 및 WordPress 방화벽을 담당하는 무차별 대입 공격을 방지하는 플러그인 그 이상입니다. 다음 섹션에서 이 플러그인의 유용성에 대해 논의할 것입니다.

  1. 사이트에 Wordfence 보안 플러그인 설치 및 활성화
  2. Wordfence 를 열고 모든 옵션 을 선택하십시오.
    pda-wordfence-enable-brute-force-attack
  3. 방화벽 옵션 에서 무차별 대입 방지 활성화 켜기
  4. 사용자가 실패한 로그인 정보를 제출할 수 있는 시간을 입력하십시오.

최대 시도 횟수에 도달한 경우에도 로그인할 수 있는 경우 플러그인은 즉시 해당 IP 주소를 차단합니다.

#7 IP 주소로 로그인 액세스 제한

이 방법은 관리 영역에 액세스해야 하는 사용자가 적은 경우에 유용합니다. FTP(파일 전송 프로토콜) 또는 웹 호스트의 파일 관리자를 통해 .htaccess 파일을 편집해야 합니다.

파일에 아래 코드를 추가합니다.

 인증 사용자 파일 /dev/null
인증 그룹 파일 /dev/null
AuthName "WordPress 관리자 액세스 제어"
인증 유형 기본
<리미트 겟>
주문 거부, 허용
모두를 부정하다
# 화이트리스트 IP 주소
xx.xx.xx.xxx에서 허용
</LIMIT>

xx.xx.xx.xxx를 실제 IP 주소로 바꿉니다.

.htaccess 파일을 수정하는 것은 매우 위험합니다. .htaccess 파일을 편집하기 전에 사이트 백업을 생성해야 합니다. 그런 식으로 사이트에 문제가 발생하면 이전 버전을 되돌릴 수 있습니다.

#8 이중 인증 설정

이중 인증(2FA)을 사용하면 WordPress 관리자에게 보안 계층을 추가할 수 있습니다. 예를 들어 모바일 장치로 전송된 보안 코드를 입력하거나 얼굴 ID를 사용합니다.

위에서 소개한 Wordfence 플러그인을 설치했다면 별도의 솔루션 없이도 이 기능을 사용할 수 있습니다.

  1. Wordfence 를 방문하여 로그인 보안 섹션을 엽니다.
  2. 인증 앱으로 QR 코드를 스캔하세요.

#9 로그인 힌트 비활성화

사용자가 관리 대시보드에 로그인하지 못하면 WordPress는 사용자 이름이나 비밀번호가 잘못되었는지 알려주는 오류 메시지를 표시합니다. 이것은 사용자에게 로그인 자격 증명에 대한 힌트를 제공합니다.

임의의 사용자 이름과 비밀번호를 사용하여 관리자 페이지에 액세스하는 해커의 예를 살펴보십시오. 그들이 세부 사항 중 하나를 알고 있다면 올바른 다른 것을 찾아야합니다.

테마의 functions.php 파일을 편집하여 이를 중지할 수 있습니다. WordPress 백엔드에서 AppearanceTheme Editorfunctions.php 로 이동하십시오. 그런 다음 functions.php 파일에 다음 코드를 입력하십시오.

 함수 no_wordpress_errors(){
return '뭔가 잘못되었습니다!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );

#10 웹사이트 애플리케이션 방화벽 사용

방화벽은 WordPress 관리자를 보호하기 위한 오래된 솔루션이 아닙니다. 사이트 트래픽을 모니터링하고 사이트에 액세스하는 악의적인 요청을 차단합니다. 시도해 볼 수 있는 인기 있는 플러그인으로는 Wordfence, iThemes Security 및 Sucuri가 있습니다.

의심스러운 사용자를 차단할 뿐만 아니라 이러한 플러그인은 맬웨어도 검사합니다. 무차별 대입 공격 방지, 이중 인증, CAPTCHA 등 다양한 로그인 보호 옵션을 선택할 수 있습니다.

WordPress 관리자를 보호할 시간

WordPress 익스플로잇의 결과는 치명적입니다. 관리자 로그인 사이버 범죄로 인해 고객, 브랜드 평판 및 돈을 잃게 됩니다.

예방은 항상 치료보다 낫습니다. 플러그인 유무에 관계없이 WordPress 관리 영역을 보호하기 위한 10가지 최고의 팁을 살펴보았습니다.

몇 번의 클릭으로 관리자 사용자 이름과 비밀번호를 변경할 수 있습니다. 플러그인을 설치하여 사용자 정의 로그인 URL을 생성하고, 로그인 시도를 제한하고, 2FA를 설정하고, 방화벽을 적용할 수 있습니다. 코드를 사용하여 wp-admin 폴더를 암호로 보호하고, IP ​​주소로 로그인을 제한하고, 로그인 힌트를 비활성화해야 합니다.

이 방법 중 몇 가지를 적용했습니까? 아래 의견 섹션에서 우리와 공유하십시오.