효과적인 WordPress 웹사이트 보안 전략을 개발하는 방법: 자세한 WordPress 웹사이트 보안 체크리스트
게시 됨: 2024-01-12많은 웹사이트 소유자는 민감한 정보와 고객 데이터를 해커로부터 보호하기 위해 올바른 웹사이트 보안 관행을 따르는 것이 얼마나 중요한지 잘 알고 있지만, 실제로는 대다수의 웹사이트 소유자가 실제로 효과적인 보안 계획을 따르지 않습니다. .
웹사이트 보안은 단순히 보안 비밀번호를 설정하거나 로그인을 위한 이중 인증을 활성화하는 것 이상입니다. WordPress 침해의 8% 만이 발생한다는 사실을 알고 계셨습니까?
웹 해커와 사이버 범죄자는 이전보다 훨씬 더 정교해지고 있으며, 그 결과 인터넷상의 웹사이트와 블로그도 점점 더 취약해지고 있습니다.
하지만 좋은 소식은 웹 사이트 보안과 관련하여 해커를 막고 취약성을 줄이기 위해 방어를 강화하기 위해 할 수 있는 다양한 방법이 있다는 것입니다. 오늘은 이에 대해 이야기하겠습니다. 웹사이트의 보안을 크게 강화하는 데 사용할 수 있는 일련의 단계와 전략을 살펴보겠습니다.
웹사이트 보안이 중요한 이유는 무엇입니까?
웹사이트 보안은 웹사이트 소유자와 사용자를 모두 보호하므로 다양한 이유로 중요합니다. 웹사이트 보안이 중요한 몇 가지 주요 이유는 다음과 같습니다.
- 사용자 데이터 보호
- 데이터 유출 방지
- 사용자 신뢰 유지
- 맬웨어 및 바이러스로부터 보호
- 블랙리스트 방지
- 비즈니스 연속성 보장
- 규제 요구 사항 충족
- 훼손 방지
- SEO 강화
- 재정적 손실 완화.
그러면 WordPress 웹사이트 보안이 왜 중요한지 알 수 있습니다.
완벽한 보안 전략 수립을 위한 10가지 웹사이트 보안 체크리스트
실제로 작동하는 웹사이트 보안 전략을 개발하기 위해 취할 수 있는 몇 가지 기본 단계는 다음과 같습니다.
- 무차별 로그인 시도 중지
- SQL 주입에 주의하세요
- 안전한 호스팅 플랫폼을 선택하세요
- 최신 버전의 플러그인 사용
- SSL 인증서 설치
- 정기적으로 WordPress 버전 업데이트
- 보안 WP-Admin 로그인 자격 증명 사용
- 관리 페이지에 대한 허용 목록 및 차단 목록 설정
- 신뢰할 수 있는 WordPress 테마 사용
- 사용하지 않는 WordPress 플러그인 및 테마를 제거하세요.
자세히 살펴보겠습니다-
무차별 로그인 시도 중지
웹사이트 소유자가 매일 직면하는 가장 일반적인 위협 중 하나는 해커가 무차별 대입 로그인 시도를 시도하는 것입니다 .
무차별 로그인 시도는 해커가 액세스를 허용하는 조합을 찾을 때까지 특수 소프트웨어를 사용하여 기호, 숫자, 문자 및 문자의 모든 조합을 시도하는 것입니다.
귀하의 웹사이트가 사용자 인증을 활용하는 한, 아직 공격을 받지 않았다면 언젠가는 무차별 대입 공격의 표적이 될 가능성이 높습니다.
다행히 무차별 대입 공격을 막을 수 있는 몇 가지 방법이 있습니다. 가장 간단한 방법은 지정된 기간 내에 사용자에게 제한된 횟수의 로그인 시도만 허용하는 것입니다.
그러나 이 방법의 문제는 해커가 방대한 양의 사용자 계정을 잠글 수 있으며 이로 인해 DoS(서비스 거부)가 발생할 수 있다는 것입니다.
사용할 수 있는 훨씬 더 좋은 방법은 로그인 시도가 충분히 실패하면 전체 IP 주소를 로그아웃하는 것입니다. 또는 사용할 수 있는 또 다른 방법은 로그인 시도 횟수가 충분하지 않으면 사용자를 "HTTP 401" 오류 페이지로 안내하도록 웹사이트를 디자인하는 것입니다.
SQL 주입에 주의하세요
SQL 주입 공격은 사이버 범죄자가 입력 필드에 SQL(구조적 쿼리 언어) 문을 삽입하려고 시도하는 코드 주입 해킹 기술입니다.
그들이 이를 달성할 수 있는 이유는 웹 애플리케이션의 잘못된 코딩으로 인해 취약해지기 때문입니다.
따라서 SQL 주입이 발생하기 전에 이를 중지하려면 PHP 또는 Java와 같은 프로그래밍 언어를 사용하여 수행할 수 있는 유형이 지정되고 매개변수화된 데이터베이스 쿼리를 활용해야 합니다.
안전한 호스팅 플랫폼을 선택하세요
웹 호스트를 선택할 때 고려해야 할 가장 중요한 요소 중 하나는 보안입니다.
즉, 웹 호스트와 관련하여 고려해야 할 보안 요소는 하나가 아니라 여러 가지입니다.
최소한 다음과 같은 보안 방법을 모두 알파벳 순서로 제공하는 웹 호스트를 선택하는 것이 좋습니다.
- 방화벽
- DDoS 보호
- 도메인 이름 개인 정보 보호
- 스팸 필터
- 바이러스 방지
이 중에서 가장 중요한 것 중 하나는 웹 서버에 대한 요청을 필터링하도록 설계된 방화벽이나 소프트웨어입니다. 그런 다음 웹 서버에 도달하기 전에 다양한 요인을 기반으로 특정 요청을 차단합니다.
DDoS 보호도 특히 중요합니다. DDoS(분산 서비스 거부) 공격은 수천 개의 요청이 동시에 웹 사이트로 전송되어 웹 사이트에 과부하가 걸리고 종료되는 공격입니다.
선택한 웹 호스트의 DDoS 보호는 웹사이트의 DDoS 활동을 분석하여 합법적인 트래픽이 통과하도록 허용하는 동시에 특정 요청을 차단합니다. 즉, 대부분의 웹 호스팅 제공업체가 방화벽을 제공하지만 모든 웹 호스팅 제공업체가 DDoS 보호 서비스를 제공하는 것은 아니므로 선택에 주의하세요.
최신 버전의 플러그인 사용
플러그인 업데이트는 따라야 할 또 다른 매우 중요한 보안 전략입니다. 업데이트를 받지 못한 채 플러그인이 길어질수록 해킹에 취약할 가능성이 훨씬 커집니다.
이는 평판이 좋은 웹 사이트 플러그인 개발자가 취약점을 패치하고 공격에 덜 노출되도록 플러그인을 업데이트하기 위해 항상 열심히 일하고 있기 때문입니다.
즉, WordPress 웹사이트 5개 중 4개 이상 은 업데이트된 플러그인조차 갖고 있지 않습니다. 플러그인 업데이트가 가장 쉬운 보안 절차 중 하나임에도 불구하고 말입니다.
플러그인을 업데이트하기 위해 해야 할 일은 대시보드의 '플러그인' 탭(WordPress를 실행하는 경우)으로 이동한 다음 오래된 플러그인이 있는지 확인하는 것입니다.
업데이트가 있는 경우 '지금 업데이트'를 선택하면 모든 준비가 완료됩니다. 간단하죠? 그럼에도 불구하고 대다수의 WordPress 웹사이트 소유자가 그렇게 하지 않는다는 것은 놀라운 일입니다.
SSL 인증서 설치
마지막으로 따라야 할 또 다른 중요한 보안 단계는 SSL 인증서를 설치하는 것입니다 .
SSL 인증서는 웹 서버의 세부 정보에 암호화 키를 바인딩하는 단순한 데이터 파일입니다. 이렇게 하면 서버와 웹 브라우저 간의 보안 연결을 허용하는 HTTPS 프로토콜이 활성화됩니다.
SSL 인증서는 일반적으로 금융 데이터 및 정보를 보호하는 데 사용되지만, 실행 중인 웹사이트 유형에 관계없이 사용하는 것이 여전히 매우 중요합니다.
정기적으로 WordPress 버전 업데이트
WordPress의 정기적인 소프트웨어 업데이트는 성능을 향상하고 보안을 강화하여 사이버 위협으로부터 사이트를 효과적으로 보호하는 데 중요합니다.
WordPress 버전 업데이트는 보안을 강화하는 가장 간단하고 효과적인 방법 중 하나입니다. 그럼에도 불구하고 WordPress 사이트의 약 50%는 여전히 이전 버전을 실행하고 있어 잠재적인 위협에 더 취약합니다.
WordPress 버전이 최신인지 확인하려면 WordPress 관리 영역에 로그인하고 왼쪽 메뉴 패널에서 대시보드 → 업데이트 로 이동하세요. 귀하의 버전이 최신이 아닌 것으로 나타나면 즉시 업데이트하는 것이 좋습니다.
사이트에서 오래된 WordPress 버전이 실행되지 않도록 하려면 향후 업데이트 릴리스 날짜를 항상 주의 깊게 살펴보는 것이 중요합니다. 또한 테마와 플러그인을 최신 상태로 유지하는 것이 좋습니다. 오래된 테마와 플러그인은 새로 업데이트된 WordPress 핵심 소프트웨어와 충돌을 일으켜 오류가 발생하고 보안 위협에 대한 취약성이 높아질 수 있습니다.
오래된 테마와 플러그인을 해결하려면 다음의 간단한 단계를 따르세요.
- WordPress 관리 패널로 이동하여 대시보드 → 업데이트로 이동합니다.
- 플러그인 및 테마 섹션까지 아래로 스크롤하여 업데이트 준비가 된 테마 및 플러그인 목록을 검토하세요. 집합적으로 또는 개별적으로 업데이트할 수 있습니다.
- WordPress 사이트의 보안을 유지하고 최신 소프트웨어 버전에서 원활하게 작동하도록 하려면 "플러그인 업데이트"를 클릭하세요.
보안 WP-Admin 로그인 자격 증명 사용
사용자는 "admin", "administrator" 또는 "test"와 같이 쉽게 추측할 수 있는 사용자 이름을 사용하여 사이트가 무차별 대입 공격의 희생양이 될 위험이 높아지는 일반적인 실수를 저지르는 경우가 많습니다. 이 외에도 공격자는 이러한 취약점을 활용하여 강력한 비밀번호 보호 기능이 부족한 WordPress 사이트를 표적으로 삼는 경우가 많습니다.
사이트의 보안을 강화하려면 고유하고 복잡한 사용자 이름-비밀번호 조합을 채택하는 것이 좋습니다. 대안으로 다음 단계에 따라 고유한 사용자 이름을 갖춘 새로운 WordPress 관리자 계정을 만드는 것을 고려해보세요.
- WordPress 대시보드에서 사용자 → 새로 추가 로 이동합니다.
- 새 사용자를 생성하고 관리자 역할을 할당합니다. 비밀번호를 추가하고 완료되면 새 사용자 추가 버튼을 누르세요.
관리자 페이지에 대한 허용 목록 및 차단 목록 설정
URL 잠금을 구현하면 무단 액세스 및 잠재적인 무차별 공격으로부터 로그인 페이지를 보호할 수 있습니다. 여기에는 Cloudflare 또는 Sucuri와 같이 WordPress에 맞춰진 WAF(웹 애플리케이션 방화벽) 서비스를 활용하는 것이 포함됩니다.
Cloudflare를 사용할 때 영역 잠금 규칙을 구성하여 사이트 보안을 강화할 수 있습니다. 이 규칙을 사용하면 잠그려는 특정 URL을 정의하고 이러한 URL에 액세스할 수 있는 허용된 IP 범위를 지정할 수 있습니다. 결과적으로, 지정된 IP 범위 밖의 개인은 지정된 URL에 액세스할 수 없습니다.
신뢰할 수 있는 WordPress 테마 사용
Nulled WordPress 테마는 원래 프리미엄 테마의 무단 복제품으로, 사용자를 유인하기 위해 종종 저렴한 가격으로 판매됩니다. 그러나 이러한 테마에는 일반적으로 수많은 보안 문제가 있습니다.
null로 처리된 테마 제공자는 악성 코드 및 스팸 링크를 포함한 악성 코드를 삽입하여 원래 프리미엄 테마를 손상시킨 해커인 것으로 밝혀지는 경우가 많습니다. 또한 이러한 테마는 다른 악용에 대한 잠재적인 백도어 역할을 하여 WordPress 사이트의 보안에 위협이 될 수 있습니다.
null 테마는 불법적으로 배포되므로 사용자는 합법적인 개발자로부터 어떠한 지원도 받을 수 없습니다. 이는 사이트에 문제가 있는 경우 WordPress 사이트를 독립적으로 문제를 해결하고 보호해야 함을 의미합니다.
해커의 표적이 될 위험을 완화하려면 공식 저장소나 평판이 좋은 개발자로부터 WordPress 테마를 선택하는 것이 좋습니다. 또는 다양한 프리미엄 테마를 제공하여 품질과 보안을 모두 보장하는 ThemeForest와 같은 인정받은 테마 마켓플레이스에서 타사 테마를 탐색해 보세요.
사용하지 않는 WordPress 플러그인 및 테마 제거
사용하지 않는 플러그인과 테마를 사이트에 유지하는 것은 해로울 수 있습니다. 특히 플러그인과 테마가 업데이트되지 않은 경우 더욱 그렇습니다. 오래된 플러그인과 테마는 해커가 이를 사용하여 사이트에 액세스할 수 있으므로 사이버 공격의 위험을 증가시킵니다.
사용하지 않는 WordPress 플러그인을 삭제하려면 다음 단계를 따르세요.
- 플러그인 → 설치된 플러그인 으로 이동합니다.
- 설치된 모든 플러그인 목록이 표시됩니다. 플러그인 이름 아래에서 삭제를 클릭하세요.
삭제 버튼은 플러그인을 비활성화한 후에만 사용할 수 있습니다.
그 동안 사용하지 않는 테마를 삭제하는 단계는 다음과 같습니다.
- WordPress 관리 대시보드에서 모양 → 테마 로 이동하세요.
- 삭제하려는 테마를 클릭하세요.
- 테마 세부정보를 보여주는 팝업 창이 나타납니다. 오른쪽 하단에 있는 삭제 버튼을 클릭하세요.
다음을 따르면 완벽한 WordPress 웹사이트 보안 체크리스트를 만들 수 있습니다.
보너스: WordPress 보안 플러그인을 사용하여 WordPress 웹사이트 보안을 활용하는 방법
WordPress에는 웹사이트 보안에 도움이 되는 몇 가지 효과적인 보안 플러그인이 있습니다. 이 플러그인을 사용하면 작업이 쉬워지고 기술적 지식 없이도 복잡한 작업을 처리할 수 있습니다.
WordPress 플러그인을 활용하는 방법은 다음과 같습니다.
- WP-Admin에 대한 2단계 인증 활성화 : WordFence Security 와 같은 플러그인을 사용하면 2단계 인증을 활성화할 수 있습니다. WordPress 사이트에 두 번째 보호 계층을 추가합니다.
- 정기적으로 WordPress 백업 : WordPress 또는 플러그인/테마 업데이트로 인해 사이트가 중단되거나 데이터가 손실될 수 있습니다. WordPress 플러그인을 사용하면 웹사이트를 정기적으로 백업할 수 있습니다.
- 로그인 시도 제한 : WordPress에서는 로그인 시도를 무제한으로 허용하며 외부 공격에 노출됩니다. Loginizer와 같은 플러그인을 사용하여 로그인 시도를 제한할 수 있습니다.
- WordPress 로그인 페이지 URL 변경 : 모든 WordPress 웹사이트는 동일한 기본 로그인 URL( yourdomain.com/wp-admin ) 을 공유합니다. 이 기본 로그인 URL을 사용하면 공격자에게 예측 가능한 대상을 제공하므로 해킹 시도에 취약해질 수 있습니다. 보안을 강화하기 위해 WPS 로그인 숨기기 및 wp-admin 로그인 변경과 같은 플러그인은 로그인 URL을 사용자 정의하는 옵션을 제공합니다.
- 사용자 활동 모니터링 : 사용자가 수행하는 작업도 웹사이트 보안의 중요한 부분입니다. 이를 도와주는 WordPress 활동 로그 플러그인이 꽤 많이 있습니다.
웹사이트 보안에 도움이 되는 가이드:
- 악성 코드로부터 WordPress 사이트를 감지, 제거 및 보호하는 방법
- 최고의 WordPress 보안 플러그인
- WordPress 방화벽 및 보안 플러그인이 웹사이트를 보호하는 방법
결론
대부분의 웹사이트 소유자가 위의 보안 조치를 취할 것이라고 생각하겠지만, 사실은 대부분 그렇지 않습니다.
만약 당신이 이 글의 보안 전략 중 하나 이상을 건너뛰고 있는 웹사이트 소유자 중 한 명이라면, 좋은 소식은 오늘 당장 이를 변경하기 위한 조치를 취할 수 있다는 것입니다.
이것은 Samuel Bocetta 의 게스트 게시물입니다. 그는 은퇴한 사이버 보안 분석가로서 현재 암호화 및 사이버 범죄 동향을 보고하고 있습니다.