5가지 WooCommerce 보안 문제 및 12단계 보호 계획
게시 됨: 2018-02-01미국 인구조사국 보고서에 따르면 2021년 4분기 온라인 매출은 2,185억 달러로 2020년 4분기 대비 9.4% 증가했습니다. 더욱 인상적인 것은 전자상거래가 온라인 매출의 12.9%를 차지했다는 사실입니다. 2021년 4분기 총 소매판매.
온라인 쇼핑이 소비자에게 더욱 실용적이고 편리한 옵션이 되면서 전자상거래 기업은 더 많은 비즈니스를 성사시키는 데 방해가 되는 고유한 장애물을 해결해야 할 때입니다. WordPress 사용자의 경우 가장 먼저 살펴봐야 할 것 중 하나는 잠재적인 WooCommerce 보안 위협 입니다.
문제는 다음과 같습니다. 고객이 돈과 개인 정보에 대해 온라인 비즈니스를 신뢰하는 법을 배웠다고 해서 온라인 쇼핑이 얼마나 안전한지에 대해 의구심을 갖지 않는다는 의미는 아닙니다. 그리고 그들이 긴장할 만한 충분한 이유가 있습니다.
WooCommerce 보안 위협은 대형 소매업체만을 표적으로 삼는 것이 아닙니다. 귀하의 전자상거래 사이트에 훔칠 만한 가치가 있는 것이 있다면 언젠가 귀하의 사이트도 해커의 표적이 될 수 있습니다 .
이러한 위협 중 하나가 사이트에 도달할 때까지 기다리기보다는 도움을 받거나 WordPress 웹 사이트를 직접 보호하는 등 사전 예방 계획을 세우는 데 노력해야 합니다.
예방의 열쇠는? 위협이 무엇인지, 어디서 공격할지, 위협을 차단하는 방법을 이해합니다. 가장 큰 WooCommerce 보안 위협과 대응 솔루션을 확인해 보세요.
알아야 할 WooCommerce 보안 위협
귀하의 비즈니스가 온라인에 존재하는 경우 일반적으로 보안에 관심을 가져야 합니다. 하지만 매일 금전 거래를 하는 전자상거래 기업의 경우 보안에 대한 걱정만으로는 충분하지 않습니다. 이러한 보안 위협이 무엇인지, 그리고 이를 사이트에서 멀리하는 방법에 대해 집중 해야 합니다.
WooCommerce 사용자가 직면하는 가장 일반적인 위협은 다음과 같습니다.
1. 스팸
블로그 댓글과 문의 양식은 귀하의 사이트에 감염된 링크를 남기거나 받은 편지함에서 귀하와 귀하의 직원을 기다리고 싶어하는 스패머에게 공개적으로 초대하는 것입니다. 이는 사이트 보안뿐만 아니라 사이트 속도에도 영향을 미칩니다.
2. 무차별 대입 공격
때때로 해커는 결국 정확하게 추측하기 위해 많은 암호나 패스프레이즈를 제출하는 무차별 대입 공격을 사용합니다.
이는 /wp-login.php 및 /wp-admin/이 기본 로그인 페이지이기 때문에 WordPress 사이트에 특히 위험합니다. 이러한 종류의 공격으로부터 보호하는 가장 쉬운 방법은 로그인 주소를 변경하거나 보안 플러그인을 사용하여 반복적인 로그인 시도를 차단하는 것입니다.
3. 암호화 부족
요즘 대부분의 웹사이트 탐색 표시줄에 녹색 자물쇠가 있는 것을 본 적이 있나요? 이는 웹사이트가 SSL을 사용하여 보호되고 있음을 방문자에게 나타내는 배지입니다. SSL은 데이터를 암호화하고 누구도 귀하의 연결을 가로채지 못하도록 보장하는 보안 프로토콜입니다.
간단히 말해서, SSL이 없으면 제3자가 웹사이트와 주고받는 데이터를 가로챌 수 있습니다. 여기에는 비밀번호, 신용카드 정보, 민감한 파일 등이 포함될 수 있습니다.
하지만 그게 전부는 아닙니다. 보안과 개인정보 보호를 촉진하기 위한 노력의 일환으로 Google은 SSL이 없는 사이트에 불이익을 주기 시작했습니다. 따라서 이를 갖지 않는 것은 안전하지 않을 뿐만 아니라 유기적인 트래픽에도 해를 끼칠 수 있습니다.
4. 악성코드
사이트 간 스크립팅, SQL 삽입, 악성 광고, 랜섬웨어… 이는 귀하와 귀하 고객의 민감한 데이터를 훔칠 목적으로 웹 사이트의 백엔드에 침투하는 것을 목표로 하는 다양한 유형의 악성 코드입니다. 연구원인 Willem de Groot는 2015년에 처음으로 6,000개의 온라인 상점을 조사했을 때 그 중 절반 이상이 악성 JavaScript 코딩에 감염된 것으로 나타났습니다. 연말까지 거의 모든 매장이 위협에 노출되었습니다.
악성코드 주입으로 인한 불안한 사례는 이 뿐만이 아닙니다.
2014년에 데이터베이스가 해킹된 eBay가 있었습니다. 보안 위협으로 인해 고객이 직접적인 금전적 손실을 입은 것은 아니지만 로그인 정보와 비밀번호 정보가 손상되었습니다.
2013년에는 보안되지 않은 시스템을 갖춘 제3자 공급업체와의 파트너십을 통해 공격을 당한 Target도 있었습니다. 수천만 명의 고객으로부터 신용카드와 개인 데이터가 도난당했고 그 결과 Target은 1,800만 달러 이상의 소송을 지불해야 했습니다.
5. 디도스
DDoS(분산 서비스 거부) 공격은 이름에서 알 수 있듯이 정확하게 수행됩니다. 즉, 사이트 서버를 압도하고 사이트를 오프라인 상태로 만듭니다. 2016년 Dyn을 대상으로 한 봇 공격은 이러한 유형의 위협 중 가장 주목받는 사례 중 하나입니다.
WooCommerce 보안 및 위협 방지 계획
고객의 신용 카드 정보나 개인 정보를 도용할 목적으로 사이트에 대한 공격이 항상 발생하는 것은 아니라는 점에 유의하는 것이 중요합니다. 해커와 봇은 회사 데이터에 액세스하기 위해 사이트를 탐색할 수도 있습니다. 목표가 본질적으로 금전적인 것이 아닐 때도 있습니다.
직면한 보안 위협의 유형에 관계없이 이로 인해 귀하의 수익 과 평판이 얼마나 큰 손실을 입을 수 있는지 상상할 수 있습니다. 따라서 위협 방지 계획이 시작되는 곳입니다.
1. 서버 보안
무엇보다도 사이트 보안을 최우선으로 생각하는 신뢰할 수 있는 웹 호스팅 회사를 이용하고 있는지 확인하세요.
즉, 서버측 방화벽, CDN 추가 옵션, SSL 인증서 가용성, 다른 웹사이트와 서버 환경을 공유할 필요가 없는 호스팅 계획이 있어야 합니다.
호스팅 서버를 더 잘 보호하기 위해 할 수 있는 작업에 관해서는 Apache 보안 모범 사례를 살펴보세요.
2. 결제 게이트웨이 보안
결제 게이트웨이 플러그인은 WooCommerce의 신용 카드 보안에 중요한 부분입니다. 간단히 말해서, 귀하의 결제 서비스 제공업체는 모든 고객 거래를 처리하고 고객 데이터의 보안을 보장하는 업체입니다.
결제 게이트웨이 제공업체를 찾는 데 어려움을 겪고 계시다면 WooCommerce의 자체 결제 플러그인을 이용해 보세요. WooCommerce Payments는 모든 민감한 데이터가 사이트 데이터베이스에 저장되지 않고 결제 프로세서로 직접 전송되도록 보장하여 공격자로부터 안전하게 보호합니다.
3. 바이러스 백신 및 맬웨어 방지 소프트웨어
네트워크 컴퓨터에 바이러스 백신 및 맬웨어 방지 소프트웨어를 설치하십시오.
4. 방화벽
이상적으로는 웹 호스트에 서버용 방화벽이 마련되어 있습니다. 또한 웹사이트 자체뿐만 아니라 컴퓨터용으로도 하나 구입하는 것을 고려해야 합니다. 많은 보안 플러그인(예: 올인원 WP 보안 및 방화벽)에는 방화벽이 내장되어 있으므로 이를 목록에서 제외하는 동시에 WordPress 보안을 강화할 수 있습니다.
5. 스팸 차단기
위에서 언급한 것처럼 전자상거래 사이트에 블로그나 일반 문의 양식이 있는 경우 스팸이 문제가 될 수 있습니다. 그렇다면 Akismet 플러그인을 사용하여 사이트에서 알려진 위협을 차단하세요.
6. SSL 인증서
적어도 Google 표준에 따르면 SSL 인증서는 더 이상 전자상거래 사이트의 선택 사항이 아닙니다. 이는 그곳에서 발생하는 거래에 추가 암호화 계층을 추가하는 쉬운(그리고 종종 무료인) 방법입니다.
7. PCI 규정 준수
PCI 보안 표준 위원회는 전자 상거래에 참여하는 경우 웹사이트를 보호하는 방법에 대한 엄격한 지침을 가지고 있습니다.
여기에는 웹 호스팅 유형, 결제 처리 수준의 보안 수준 등에 대한 규칙이 포함됩니다. 사이트를 구축하고 유지 관리할 때 이러한 사항을 숙지하고 준수하십시오.
8. CDN
CDN은 웹사이트에 대한 DDoS 공격을 방지하는 좋은 방법입니다. CDN을 전자상거래 웹사이트를 위한 또 다른 호스팅 계층으로 생각하세요. 이는 추가 보안 계층도 의미합니다.
9. 보안 플러그인
위에서 언급했듯이 보안 플러그인은 WordPress 설치와 사이트의 프런트 엔드를 안전하게 유지하기 위한 현명한 조치입니다.
보안 플러그인은 맬웨어 및 DDoS 공격으로부터 사이트를 보호하는 것 외에도 반복적인 로그인 시도를 차단하고 누군가가 사이트에 무차별 공격을 시도하고 있음을 경고할 수도 있습니다. 이를 위해 iThemes Security Pro를 권장합니다.
10. 백업 플러그인
백업 및 복원 플러그인을 갖는 것을 잊지 마십시오. 전자 상거래 사이트가 아무리 강력하더라도 해커는 전 세계에서 새로운 침입 방법을 실험할 시간이 항상 있습니다.
사이트에 문제가 발생할 경우 신속하게 복구할 수 있는 방법을 준비하는 것이 중요합니다.
11. 정기적으로 업데이트
소프트웨어가 공급자의 필수 업데이트나 권장 업데이트 없이 실행되면 전자상거래 비즈니스가 위험에 빠지게 됩니다. 그러므로 모든 것을 최신 상태로 유지하고 정기적으로 수행하십시오. 여기에는 다음이 포함됩니다.
- 너의 컴퓨터
- 회사의 네트워크
- 귀하의 서버 소프트웨어
- 귀하의 PHP 버전
- 워드프레스 코어
- WordPress 플러그인 및 테마
12. 비밀번호
해커가 신용 카드 정보를 직접 노릴 것이라고 예상할 수도 있지만(실제로 그렇습니다), 그들은 사용자 로그인 정보도 표적으로 삼습니다.
실제로 CMSWire의 보고서에 따르면 2016년 연휴 기간 동안 전자상거래 사이트에 대한 모든 공격의 75%가 로그인을 표적으로 삼았습니다. 말할 필요도 없이 엄격한 비밀번호 보안 정책(2단계 인증 포함)이 필수입니다.
WooCommerce와 Shopify 어느 것이 보안에 더 좋나요?
전자 상거래를 막 시작했다면 어떤 플랫폼이 비즈니스에 더 적합한지 결정하기가 어려울 수 있습니다. 특히 보안만큼 중요한 경우라면 더욱 그렇습니다.
안타깝게도 안전 측면에서 Shopify와 WooCommerce 사이에는 확실한 승자가 없습니다.
한편, 호스팅 플랫폼인 Shopify는 설정이 거의 필요하지 않으며 다양한 보안 기능을 포함합니다. 반면에 WooCommerce를 사용하면 직접 설정하여 보안 조치를 훨씬 더 발전시킬 수 있습니다.
결국 개인의 선택에 달렸습니다. 컴퓨터에 능숙한 비즈니스 소유자는 WordPress 생태계의 다양성을 위해 WooCommerce를 선택할 수 있지만 기술에 익숙하지 않은 사람은 Shopify를 선호할 수 있습니다.
요약
결국 귀하의 목표는 고객이 온라인 쇼핑을 할 수 있는 안전한 장소를 제공하는 것입니다. 또한 귀하는 수익을 보호하는 방식으로 비즈니스를 수행하기를 원합니다.
위의 WordPress WooCommerce 보안 위협 및 솔루션 외에도 WordPress 사이트에서 정기적인 보안 감사를 수행하는 것도 고려해야 합니다.
프로세스가 겁이 나거나 WooCommerce 사이트가 직면하고 있는 모든 유형의 위협에 맞서 싸울 시간이 있는지 확실하지 않은 경우 신뢰할 수 있는 WordPress 유지 관리 파트너를 고용하여 도움을 받으세요. 아니면 다른 최고의 전자상거래 플랫폼을 살펴보거나 자신만의 온라인 부티크를 시작하는 것을 고려해 볼 수도 있습니다.
피드백을 제공하고 싶거나 대화에 참여하고 싶으신가요?Twitter에 의견을 추가하세요.
저장 저장
저장 저장
저장 저장