WordPress 보안에 대한 7가지 오해: 완전히 밝혀지고 사실이 아님이 폭로되었습니다.

세계에서 가장 인기 있는 콘텐츠 관리 시스템임에도 불구하고 WordPress 플랫폼의 보안에 대한 오해는 계속해서 퍼지고 있습니다. 오픈 소스 특성으로 인해 경험이 없는 사용자는 상용 제품보다 덜 안전하다고 생각할 수 있습니다. 또한 뉴스에 나오는 WordPress 보안 문제에 대한 보고로 인해 불안해할 수도 있습니다.

오해 #1: 보안은 호스팅 제공업체의 임무입니다

초보자 또는 처음 웹사이트 소유자라면 웹사이트를 안전하게 유지하는 것이 웹사이트를 온라인에 유지하기 위해 돈을 지불하는 사람들의 영역이라고 생각할 수도 있습니다. 그리고 그것은 어떤 면에서는 사실입니다. 귀하의 웹 호스팅 제공업체는 실제로 첫 번째 방어선입니다. 귀하의 웹 서버가 쉽게 접근할 수 없도록 하고 귀하의 사이트가 있는 물리적 개체를 보호하는 것이 그들의 임무입니다. 그렇지 않다면 그들은 단순히 나쁜 호스트일 뿐입니다.

웹사이트 보안은 주로 귀하의 책임입니다

그러나 그 외에도 호스팅 공급자가 WordPress 웹 사이트 보안에 얼마나 관여하는지는 실제로 계획에 따라 다릅니다. 공유 호스트, VPS 호스트 또는 전용 서버에서는 기본적으로 서버 공간만 임대합니다. 당신이 무엇을 할지는 당신에게 달려있습니다.

즉, 호스팅 제공업체는 WordPress 웹사이트를 안전하게 유지하는 데 어떤 방식으로도 도움을 주지 않습니다. 그것이 당신의 일입니다.

물론 일부 공급자는 방화벽이나 CDN과 같은 추가 보안 기능을 제공합니다. 또한 서버에서 맬웨어, 바이러스 등을 모니터링하고 사이트에서 무언가를 발견하면 조치를 취합니다. 그러나 이는 종종 사이트를 비활성화하고 수정을 요청한다는 의미이기도 합니다. 특히 초보자라면 이상적인 솔루션은 아닙니다.

관리형 호스팅이 도움이 될 수 있습니다

호스팅 제공업체가 WordPress 웹사이트의 안전을 위해 보다 적극적인 역할을 하도록 하려면 관리형 호스팅을 선택해야 합니다. 관리형 호스팅 제공업체는 서버 공간을 제공하는 것 외에도 웹 사이트를 운영하는 데 따른 일상적인 작업 중 일부를 인계받기 때문에 그렇게 불립니다. 보안은 속도 최적화, 사이트 업데이트 및 전문가 지원과 마찬가지로 그 중 하나입니다.

물론 이러한 종류의 서비스에는 추가 비용이 들지만, 사이트 보안에 대한 귀하의 기술 수준에 대한 신뢰도에 따라 그만한 가치가 있는 경우가 많습니다. 그것은 마음의 평화를 많이 제공할 수 있습니다.

그러나 전체적으로 이 WordPress 보안 신화를 완전히 없애겠습니다. 예약한 서비스의 일부가 아닌 이상 호스팅 제공업체는 웹사이트의 안전과 침해 및 해킹을 방지할 책임이 없습니다. 그 책임은 당신의 것입니다.

오해 #2: WordPress 자체가 보안 위험입니다

이제 여러분은 "그래, 호스팅 제공업체가 나를 위해 이 작업을 수행하지 않으면 무료 소프트웨어에 의존하는 것이 위험하지 않을까?"라고 생각할 수도 있습니다. 많은 자원봉사자들이 여가 시간에 만드는 것이 얼마나 좋을까요? 게다가 TV에서 Wix 사람들이 WordPress도 안전하지 않다고 말하는 걸 봤어요.”

좋습니다. 다음에는 이 문제를 다루겠습니다.

가장 먼저 이해해야 할 것은 인터넷에 연결된 어떤 것도 완전히 안전하지 않다는 것입니다. 가장 큰 것부터 가장 작은 것까지 매일 수천 개의 웹사이트가 해킹당합니다. 그것은 인생과 같습니다. 결국에는 다양한 수준의 불안이 있으며 나쁜 일이 일어날 가능성을 최대한 낮추는 것입니다.

WordPress에는 광범위한 안전 조치가 있습니다.

여기서 WordPress는 다른 것보다 나쁘지 않습니다. 실제로 수년에 걸쳐 플랫폼은 핵심 제품의 보안 문제를 발견하고 해결하기 위한 강력한 시스템을 구현해 왔습니다.

수석 개발자, 보안 연구원, 기타 웹 보안 전문가 등 약 50명의 전문가로 구성된 보안 전담팀이 있습니다. 그들 중 다수는 전체 비즈니스의 기반이 되는 소프트웨어의 안전 장치에 관심이 있는 회사인 WordPress.com에서 근무합니다.

또한 팀은 다른 호스팅 회사의 안전 팀 및 콘텐츠 관리 시스템과도 협의합니다.

그들의 역할은 WordPress의 취약점을 적극적으로 모니터링하고 발견되는 모든 것에 신속하게 대응하는 것입니다. 보고된 내용이 충분히 심각한 경우 즉시 패치를 만들어 출시할 수 있습니다. 이 기능을 특별히 끄지 않는 한 버전 3.7 이상의 WordPress 웹사이트에 자동으로 설치됩니다.

그 외에도 WordPress에서는 일반적으로 사소한 업데이트, 유지 관리 및 보안 업데이트가 포함된 연간 약 2~3개의 새로운 주요 버전으로 자주 업데이트됩니다. 각각에는 잠재적인 보안 문제에 대한 수정 사항과 광범위한 테스트 프로세스가 함께 제공됩니다.

커뮤니티는 주요 자산입니다

위의 내용 외에도 이 "자원봉사자 그룹"이 실제로 어떤 모습인지에 대한 잘못된 이미지가 있을 수 있습니다. 그들 중 다수는 WordPress를 비즈니스에 사용하는 수백만 달러 규모의 회사의 직원입니다. 게다가 그들 모두는 자신의 생계를 유지하는 소프트웨어를 안전하게 보호할 수 있는 능력을 갖고 있습니다.

일반적으로 WordPress의 오픈 소스 특성은 WordPress의 강점 중 하나입니다. 소스 코드는 무료로 제공되며 누구나 검사하고 보안 허점을 찾아서 보고할 수 있습니다. 그리고 많은 사람들이 그렇습니다. WordPress 6.3의 기여자 수를 살펴보세요.

마지막으로 WordPress 웹사이트의 안전성을 더욱 향상시키는 전문 호스팅 제공업체와 보안 플러그인이 많이 있습니다. 말할 것도 없이, 사용자가 보안 조치를 구현하는 데 도움이 되는 수천 개의 블로그 게시물과 튜토리얼도 있습니다.

그렇다면 이 WordPress 보안 신화에 대해 무엇을 말해야 할까요? 그것은 사실이 아닙니다. 워드프레스 핵심 제품의 안전성과 난공불락성을 보장하기 위해 마련된 시스템은 상업 기관과 동등하거나 그 이상입니다.

오해# 3: WordPress는 가장 많이 해킹된 플랫폼입니다.

WordPress 사용에 대한 불안감에 기여할 수 있는 것은 WordPress가 가장 많이 해킹된 CMS라는 통계입니다. 그리고 이 플랫폼이 과거에 세간의 이목을 끄는 보안 문제로 뉴스에 등장한 것은 사실입니다. 내 말은, 이 그래프를 보면 WordPress를 심각한 용도로 사용하는 것에 회의적이지 않습니까?

WordPress의 크기를 고려하십시오.

이 시점에서 우리는 서문에서 가장 먼저 말한 것 중 하나를 다시 언급해야 합니다. WordPress는 가장 인기 있는 콘텐츠 관리 시스템입니다.

얼마나 인기가 있나요?
W3techs에 따르면 이는 인터넷상의 모든 웹사이트 중 43% 이상을 지원합니다.

절대 수치로 따지면 4억 7천만 개가 넘는 사이트입니다. 그것은 많은 웹 사이트입니다. 게다가 위 그래프에서 볼 수 있듯이 다른 어떤 시스템도 이 통계에 근접하지 않습니다.

그렇다면 왜 WordPress가 가장 많이 해킹된 플랫폼일까요? 해킹할 WordPress 웹사이트가 훨씬 더 많기 때문입니다.

생각해 보십시오. 당신이 생계를 위해 다른 사람의 웹사이트에 침입하는 사람이라면 어떤 시스템을 표적으로 삼겠습니까? 잠재적 희생자가 끝없이 공급되고 누군가가 옆문을 열어 둘 가능성이 더 많은 곳, 아니면 목표물이 멀리 떨어져 있는 곳? 아마도 당신은 답을 알고 있을 것입니다.

WordPress 핵심은 문제가 아닙니다

마지막으로, 통계를 더 자세히 살펴보면 성공적인 WordPress 해킹 중 극히 일부만이 WordPress 자체로 인해 발생한다는 사실을 금방 알 수 있습니다. 이러한 경우에도 웹사이트가 오래된 버전을 실행하고 있기 때문에 발생하는 경우가 많습니다.

취약점의 대부분은 WordPress 확장 프로그램, 특히 플러그인을 통해 발생합니다.

그렇습니다. WordPress는 실제로 가장 많이 침해된 플랫폼입니다. 이러한 보안 신화의 대부분은 사실입니다. 그러나 그 이유는 훨씬 더 미묘합니다.

오해 #4: 그렇다면 WordPress 플러그인은 안전하지 않습니다.

예리한 관찰자라면(당신도 그렇겠지만) 우리가 우리의 모든 논쟁을 저 위의 버스 아래로 던졌다는 것을 알아차렸을 것입니다. 분명히 우리는 WordPress 플러그인이 큰 보안 문제라는 것을 인정했습니다.

이는 WordPress 생태계 및 경험의 핵심 부분이므로(모든 사람이 이를 사용하여 웹 사이트에 더 많은 기능을 추가하기 때문에) WordPress로 안전하지 않은 웹 사이트를 구축할 수밖에 없다는 의미입니다.

아 안돼, 망했어!

플러그인 문제

당연히 여기서도 좀 더 미묘한 차이를 가져야 합니다.

예, 분명히 WordPress 플러그인에 문제가 있습니다. 이는 웹사이트에 대한 일반적인 진입점입니다.

그러나 이를 관점에서 살펴보려면 먼저 존재하는 플러그인의 수를 살펴봐야 합니다. WordPress 저장소에만 약 60,000개가 있습니다. 게다가 웹상의 다른 상점에서도 더 많은 제품을 구입할 수 있습니다.

그러나 WordPress 생태계의 자산은 책임이 될 수도 있습니다. 이러한 플러그인의 작성자는 기술 수준이 다르며 모든 플러그인이 적극적으로 유지 관리되고 업데이트되는 것은 아닙니다. 따라서 코드 품질과 보안 수준이 다를 수 있습니다.

WordPress 커뮤니티는 이를 인지하고 있으며 이 문제에 대응하기 위해 최선을 다하고 있습니다. 알려진 문제가 있는 플러그인이 플러그인 디렉토리에서 제거된 경우가 있었습니다. 또한 WordPress 플러그인의 전반적인 품질을 높이기 위해 테마 검사 플러그인과 유사한 플러그인 검사기를 작업하는 사람들이 있습니다.

따라서 이 보안 위험을 방지하는 첫 번째 규칙은 a) 평판이 좋은 소스에서 제공되고 b) 적극적인 지원 및 유지 관리를 받는 플러그인을 사용하는지 확인하는 것입니다.

플러그인에 관한 것이 아니라 플러그인을 사용하는 방법에 관한 것입니다.

그러나 플러그인 자체는 방정식의 일부일뿐입니다. 대부분의 경우 문제는 사람들이 사이트에서 이를 사용하는 방식과 관련이 있습니다. 위에서 언급한 동일한 보고서에서는 해킹된 사이트의 36%에 오래된 플러그인이 설치되어 있다고 나와 있습니다.

따라서 WordPress 코어와 마찬가지로 반드시 소프트웨어에만 문제가 있는 것은 아닙니다. 보안 문제가 실제로 해결되고 있기 때문에 사용자가 해당 수정 사항을 적용하지 않는다는 것입니다.

또한 플러그인 개수에 문제가 있는 경우도 많습니다. 위에서 분명히 알 수 있듯이 확장에는 약간의 위험이 따릅니다. 따라서 더 많은 정보를 보유할수록 사이트에 더 많은 잠재적인 측면 문을 도입할 수 있습니다.

해결책: 작업을 완료하는 데 필요한 만큼만 플러그인을 설치하십시오. 플러그인을 적극적으로 사용하지 않는 경우 삭제하세요. 아무것도 하지 않고 오래되어 잠재적으로 보안 위험을 제공하는 웹사이트에 그대로 두지 마십시오.

오해 #5: 귀하의 사이트는 타겟이 아니며 아무도 관심을 두지 않습니다.

이것은 WordPress 외부에서도 웹사이트 보안에 대한 고전적인 신화입니다. 많은 사람들, 특히 취미생활이나 소규모 웹사이트를 운영하는 사람들은 해커가 공격에 관심을 가질 만큼 수익성 있는 표적을 제공하지 않는다고 생각합니다. 내 말은, 애완용 햄스터 사진만 게시한다면 누군가가 웹사이트를 위반하여 무엇을 얻을 수 있겠습니까?

해킹은 개인적인 것이 아니다

여기서 이해해야 할 두 가지가 있습니다. 우선, 웹사이트 해킹은 영화에서 보는 것과는 전혀 다릅니다. 후드티를 입고 노트북 앞에 앉아 사이트를 직접 선택한 다음 수동으로 사이트에 들어갈 방법을 찾는 데 시간을 소비하는 사람은 없습니다.

아니요, 대부분의 공격은 자동으로 발생합니다. 웹사이트의 알려진 취약점을 찾기 위해 웹을 지속적으로 검사하고, 발견하면 이를 활용하는 자동화된 봇 군대가 있습니다. 대부분의 경우 당신은 단순히 기회의 희생자일 뿐입니다.

귀하의 사이트를 장악하는 것이 실제로 목표는 아닙니다

둘째, 웹사이트 해킹은 금융 데이터나 기타 민감한 정보를 훔치는 것이 아닌 경우가 많습니다. 대부분의 경우 해커는 자신의 이익을 위해 사이트를 사용하기 위해 사이트의 일부를 차지하려고 합니다.

• DDoS 공격과 같은 용도로 사용하려면 봇넷의 일부로 모집합니다.
• 메일 서버에서 스팸 보내기
• 방문자의 컴퓨터에 악성 코드를 확산시킵니다.
• 사이트에 사기성 웹사이트 링크 게시

어떤 사람들은 단순히 사이트를 훼손하고 자신의 기술을 증명하기 위해 그렇게 합니다.

그러니 명심하세요. 이건 당신에 관한 것이 아닙니다. 그것은 단순히 악용될 수 있는 표적이 되는 것에 관한 것이며, 이를 피하기 위해 최선을 다해야 합니다.

오해 #6: 강력한 비밀번호를 사용하면 사이트가 안전하게 유지됩니다.

보안 로그인 정보를 사용하는 것은 분명히 WordPress 보안의 일부이며, 그 정도는 신화가 아닙니다. 취약한 비밀번호와 사용자 이름이 사용자를 괴롭히는 경우는 여러 가지가 있습니다.

• 무차별 대입 공격 – 문제가 해결될 때까지 프로그램이 무작위로 다른 사용자 이름과 비밀번호 조합을 시도하는 것을 의미합니다.
• 크리덴셜 스터핑(Credential Stuffing) – 무차별 대입 공격과 비슷하지만 더 표적화되어 있습니다. 이 경우 해커는 이미 손상된 자격 증명(예: 다른 사이버 공격에서 공개된 자격 증명)을 사용합니다. 이 공격은 많은 사람들이 자신의 사용자 이름과 비밀번호를 재사용한다는 사실을 기반으로 합니다.

이것이 그렇게 나쁘다고 생각하지 않는다면, 해커가 비밀번호의 복잡성을 기반으로 평균적으로 얼마나 빨리 비밀번호를 해독할 수 있는지 보여주는 인포그래픽이 있습니다.

따라서 강력한 비밀번호는 사이트를 보호하는 데 도움이 됩니다. 그렇다면 이 점이 WordPress 보안 신화 목록에 나타나는 이유는 무엇입니까?

강력한 비밀번호만으로는 불가능하기 때문입니다. 웹사이트 보안은 퍼즐의 한 조각일 뿐입니다. 나머지 사항을 무시하면 공격자가 웹 사이트를 침해할 수 있는 중요한 경로가 여전히 열려 있는 것입니다.

게다가 비밀번호는 시작에 불과합니다. 로그인 페이지를 실제로 잠그려면 로그인 시도를 제한하고 다단계 인증을 사용하며 방화벽을 고려하는 것이 가장 좋습니다. 또한 강력한 자격 증명은 사이트 자체뿐만 아니라 호스팅 및 FTP 계정과 같은 사이트와 관련된 모든 것에도 중요합니다.

오해 #7: 보안 플러그인만 설치하면 작업 완료

WordPress 보안에 대해 잘 모르는 많은 초보자는 사이트를 안전하게 유지하기 위해 플러그인에 의존합니다. WordFence, MalCare 또는 Sucuri와 같은 WordPress 보안 플러그인은 이를 위한 신의 선물입니다. 경험이 부족한 사용자가 단 몇 번의 클릭만으로 공격자로부터 사이트를 강화할 수 있도록 지원하는 데 매우 유용합니다.

그러나 이것이 사이트를 안전하게 유지하는 확실한 방법은 아닙니다. 이러한 플러그인의 영향을 미치는 영역에는 한계가 있습니다. 실제로 사이트 자체만 잠글 수 있지만 더 큰 환경에 대해서는 권한이 없습니다.

귀하의 사이트가 보안되지 않은 서버에 있거나 귀하의 호스팅 계정이 취약한 비밀번호로 인해 침해된 경우, 귀하의 보안 플러그인은 이에 대해 귀하의 사이트를 방어할 힘이 없습니다. 다시 말하지만 WordPress 보안 플러그인 자체는 신화가 아니며 단지 자체적으로 작업을 수행할 수 없다는 것입니다.

최종 오해: WordPress 보안은 복잡하다

WordPress 웹사이트를 안전하게 유지하는 것이 어렵다는 생각은 사람들이 WordPress 웹사이트를 시작하는 것을 방해하는 또 다른 신화입니다. 이것은 중요한 주제이지만 로켓 과학도 아닙니다. 결국 웹사이트 보안의 대부분은 다음과 같은 몇 가지 모범 사례를 따르는 것으로 귀결됩니다.

• 적절한 호스팅 제공업체를 이용하세요. 보안에 대한 도움이 필요하면 관리형 호스팅을 이용하세요.
• WordPress와 모든 플러그인 및 테마를 최신 상태로 유지하세요.
• 사이트에 최소한의 확장 기능만 두고, 적극적으로 사용하지 않는 확장 기능을 비활성화 및 삭제하고, 사이트에 있는 확장 기능이 잘 유지되는지 확인하세요.
• 로그인 자격 증명이 강력한지 확인하고 안전하게 유지하세요. 로그인 시도를 제한하고 다단계 인증을 통해 보안을 강화하세요.
• 이전 버전으로 롤백하려면 웹사이트를 정기적으로 백업하세요.
• 도움을 받으려면 WordPress 보안 플러그인을 사용하되 제어할 수 없는 부분도 고려하세요.

이를 적용하면 사이트에 어떤 일이 일어날 가능성이 크게 줄어들 수 있습니다. 비록 그것이 0이 될 수는 없지만 말입니다.

정기적으로 듣거나 구독하는 데 사용한 WordPress 보안 신화는 무엇입니까? 댓글로 알려주세요!