WordPress 호스팅 보안 신화에 대한 폭로

WordPress 호스팅은 복잡합니다. 모든 WordPress 사이트는 외부에서 이해하기 어려운 표준과 가치를 가진 회사와 커뮤니티에서 만든 소프트웨어 및 하드웨어 스택에 의존합니다. 이것은 특히 보안과 관련된 오해와 신화를 야기합니다.
이 기사에서는 보안 실수로 이어지는 신화에 특히 중점을 두고 가장 위험한 WordPress 호스팅 신화를 살펴봅니다.

소규모 사이트는 해킹당하지 않습니다

언론은 종종 공격자의 목표가 분명한 것처럼 보이는 심각한 보안 침해에 대해 보도합니다. 피해자는 신원 도용에 사용할 수 있는 기가바이트의 개인 데이터를 저장합니다. 많은 사람들이 명백한 이유로 도난당한 신용 카드 번호를 저장합니다. 일부 공격자는 산업 스파이 활동에 참여하고 있습니다.
소수의 사용자 계정이 있는 소규모 웹사이트에는 해당되지 않습니다. 유용한 개인 데이터가 많지 않습니다. 그들은 신용 카드 번호를 거의 저장하지 않으며 현명하게 지불 프로세서를 사용합니다. 그렇다면 범죄자가 소규모 사이트를 해킹하는 데 투자하는 이유는 무엇입니까?
첫째, 많은 노력이 필요하지 않습니다. 대부분의 해킹은 자동화되어 있습니다. 봇은 웹을 탐색하여 취약한 사이트를 찾아 사전 프로그래밍된 공격으로 손상시킵니다. 공격자는 자신의 봇을 느슨하게 설정하고 IP 주소가 롤인되기를 기다립니다.
둘째, 작은 사이트라도 가치가 있습니다. 맬웨어에 감염될 수 있는 청중이 있습니다. 이는 공격자의 봇넷에 잠입하여 다른 사이트를 손상시키거나 DDoS 공격에 참여하는 데 사용될 수 있습니다. SEO 스팸에 사용할 수 있습니다. 모든 웹사이트는 대역폭, 스토리지 및 처리 능력 패키지를 나타냅니다. 이 모두는 범죄자에게 유용합니다.

작동한다면 왜 업그레이드해야 합니까?

화면의 코드를 쳐다보지 않고 평생을 보내지 않는 사람들은 기술이 해야 할 일을 할 때 매우 만족합니다. 그들은 변화를 가져오는 업데이트가 달갑지 않은 중단이라고 생각할 수 있습니다. WordPress는 배우기가 어렵지 않지만 수백만 명의 사용자 중 일부가 변화에 대한 생각을 걱정할 만큼 충분히 어렵습니다.
매일 WordPress를 사용하는 사람들은 WordPress에 익숙해집니다. 그들은 변화를 위해 변화를 피하는 것을 선호하므로 업데이트를 꺼리는 경우가 많습니다. 결국, 작동하는 것을 변경하는 이유는 무엇입니까?
이에 대한 개발자의 대답은 두 가지입니다. 소프트웨어는 결코 가만히 있지 않으며 세상의 변화에 ​​발맞추기 위해 변화해야 합니다. 그리고 더 중요한 것은 업데이트가 보안 취약성을 유발하는 버그를 수정한다는 것입니다. 몇 달 동안 업데이트되지 않은 사이트는 거의 확실히 취약합니다. 이전 섹션에서 봇넷과 자동화된 해킹에 대해 이야기했습니다. 이러한 봇이 추구하는 것은 패치되지 않은 콘텐츠 관리 시스템입니다. 결국 그들은 패치되지 않은 사이트를 발견하고 해킹을 당할 것입니다.

문제가 있었다면 알았을 것입니다

해킹된 웹사이트는 어떤 모습인가요? 대부분의 경우, 특히 소유자에게는 해킹되지 않은 웹사이트처럼 보입니다. 우리가 논의한 바와 같이, 악의적인 행위자는 웹사이트의 데이터, 리소스, 방문자 또는 SEO 잠재력을 원하기 때문에 웹사이트를 침해합니다. 사이트 소유자가 해킹을 당한 사실을 알게 되면 악의적인 사용자는 해당 리소스에 액세스할 수 없게 됩니다. 그래서 그들은 교활합니다. 그들은 숨기려고 합니다.
자세히 살펴보면 대역폭이나 메모리 사용이 급증하는 것을 알 수 있습니다. 정기적으로 맬웨어를 검사하면 악성 코드를 찾을 수 있습니다. 그러나 사이트를 정상적으로 사용하면 잘못된 점을 발견할 가능성이 거의 없습니다.
SEO 스팸을 예로 들어 보겠습니다. 사이트가 손상되면 공격자가 승격하려는 사이트에 대한 링크가 콘텐츠에 삽입됩니다. 이러한 링크는 Google에 표시되고 일반 방문자에게는 표시될 수 있지만 사이트에 로그인한 사람들에게는 숨겨집니다.
그렇기 때문에 Sucuri 또는 Wordfence 와 같은 도구를 사용하여 사이트를 정기적으로 스캔하는 것이 좋습니다 . 그들은 악성 코드를 발견하고 그것에 대해 알려줍니다. 스캔하지 않으면 Google에서 귀하의 사이트가 안전하지 않다고 청중에게 경고하기 시작할 때 공격에 대해 알게 될 가능성이 가장 큽니다.

SSL은 귀하의 사이트를 안전하게 보호합니다

SSL 인증서에는 두 가지 작업이 있습니다. 네트워크를 통해 서버에서 브라우저로 이동하고 다시 돌아오는 데이터를 암호화합니다. 그리고 브라우저에서 예상하는 호스트에 연결되어 있는지 확인하는 데 사용됩니다. 이것이 SSL 인증서의 전부입니다. 이들은 필수적인 보안 및 개인 정보 보호 도구이지만 사이트 서버에 저장된 데이터를 보호하지는 않습니다. 또한 취약점을 악용하려는 공격자로부터 사이트를 보호하지도 않습니다.

모든 WordPress 플러그인은 무료입니다

이것은 사람들이 맬웨어에 감염된 플러그인을 다운로드하게 하는 해로운 신화입니다. 대부분의 WordPress 플러그인은 GPL 라이선스에 따라 오픈 소스입니다. 개발자가 플러그인을 배포할 때 소스 코드도 배포합니다. 라이센스에 따라 그렇게 해야 합니다.
종종 오픈 소스 소프트웨어는 무료입니다. 사용하는데 돈이 들지 않습니다. WordPress 자체는 오픈 소스이며 무료입니다. 그러나 일부 오픈 소스 소프트웨어 는 무료로 사용할 수 없습니다 . 프리미엄 WordPress 플러그인은 이 범주에 속합니다. 오픈 소스이지만 개발자는 사용자가 플러그인을 사용하기 위해 라이선스 비용을 지불할 것으로 기대합니다.
사용자가 요금을 지불하면 필요에 따라 소스 코드를 받습니다. 그러나 오픈 소스는 개발자가 모든 사람에게 소스 코드를 제공해야 함을 의미하지 않습니다. 플러그인이 배포된 사람, 지불한 사람만 해당됩니다. 이것은 일반적으로 잘못 이해되고 있습니다. 프리미엄 테마의 코드를 지불하고 나면 무료로 제공하는 것은 완전히 합법이지만 명백한 이유로 WordPress 커뮤니티에서는 권장하지 않습니다.
이것이 보안과 어떤 관련이 있는지 궁금할 것입니다. 나쁜 행위자는 사람들이 비용을 지불하지 않고 프리미엄 플러그인을 사용하기를 원한다는 것을 알고 있습니다. 그래서 그들은 플러그인을 가져와서 멀웨어를 추가하고 무료로 제공합니다. 이러한 "nulled" 또는 "pirate" 플러그인에는 백도어 및 기타 악성 코드가 포함되어 있습니다. 순진한 WordPress 사용자가 nulled 플러그인을 설치하면 사이트 제어권을 공격자에게 넘깁니다. 사이트에 해적 플러그인을 설치하는 것은 나쁜 생각입니다.
이 게시물에서 5가지 일반적인 WordPress 호스팅 신화를 다루었으며 더 많이 포함되었을 수 있습니다. 더 많은 WordPress 호스팅 신화에 대해 자세히 알아보는 후속 게시물을 보고 싶다면 댓글로 알려주십시오.