DDoS 공격으로부터 WordPress 사이트를 보호하는 방법

2021년에만 사이버 범죄자가 975만 건 이상의 DDoS 공격을 시작했습니다. WordPress를 실행하는 웹 사이트의 비율이 높기 때문에 잠재적인 DDoS 위협으로부터 웹 사이트를 보호하는 것이 최우선 순위여야 합니다.

WordPress는 세계에서 가장 인기 있는 CMS 플랫폼으로 온라인 웹사이트의 43% 이상을 지원합니다. CMS는 무료이고 사용하기 쉽기 때문에 WordPress 웹사이트를 운영하는 많은 개인은 포괄적인 보안을 갖추지 못할 수 있습니다.

"게시"를 누르기 전에 WordPress 게시물을 최적화해야 하는 것처럼 WordPress 웹사이트는 대중에게 공개되기 전에 약간의 보호가 필요합니다.

DDoS 공격이란

DDoS(분산 서비스 거부) 공격은 악의적인 공격자가 WordPress 사이트를 대상으로 하는 데 사용하는 한 가지 방법입니다. 이러한 공격의 목적은 간단합니다. 공격자는 대상 웹사이트에 너무 많은 요청을 쏟아부어 충돌하거나 너무 느려서 쓸모 없게 될 것입니다.

그렇게 함으로써 공격자는 합법적인 방문자가 웹사이트에 액세스하는 것을 방지합니다. 또한 웹 사이트 소유자가 일정 기간 동안 사이버 보안 비용을 증가시켜야 할 수도 있습니다.

DDoS 공격의 작동 방식

DDoS 공격의 목적은 대상 웹사이트를 압도하는 것입니다. 그러나 단일 서버에서 발생하는 공격은 차단하기 쉽습니다. 이 때문에 사이버 범죄자들은 ​​종종 봇넷을 사용합니다. 이들은 공격자가 제어할 수 있는 맬웨어에 감염된 손상된 컴퓨터의 네트워크입니다.

또한 봇넷을 사용하면 포렌식 팀이 조사가 시작되면 공격의 출처를 식별하기가 더 어려워집니다.

DDoS가 일으킬 수 있는 잠재적 피해

DDoS 공격이 WordPress 웹 사이트를 공격하면 많은 피해를 줄 수 있습니다. 비 비즈니스 WordPress 웹 사이트에 대한 재정적 영향은 적지만 파괴적일 수 있습니다. DDoS가 웹사이트에 공격을 가하면 짧은 기간 동안 웹사이트에 액세스할 수 없게 될 수 있습니다.

비즈니스 웹사이트는 훨씬 더 큰 위험에 처해 있으며 상당한 손실을 입을 수 있습니다. 다음은 몇 가지 잠재적인 결과입니다.

• 판매 손실의 즉각적인 재정적 영향
• 공격 후 포렌식에 발생하는 높은 수수료
• 데이터 침해로 인한 잠재적 위험
• 부정적인 고객 의견으로 인한 잠재적 브랜드 손상

그리고 더.

DDoS 공격의 문제는 완화하기 어려울 수 있다는 것입니다. 그럼에도 불구하고 이러한 공격에 대해 WordPress 웹 사이트의 복원력을 향상시키는 몇 가지 방법이 있습니다.

DDoS 공격으로부터 WordPress 웹 사이트 보호

1. 신뢰할 수 있는 웹 호스트 선택

   모든 WordPress 웹 사이트의 첫 번째 방어선은 항상 웹 호스팅 서비스 제공업체입니다. 많은 신규 사용자는 종종 웹 호스팅의 기본 사항에 중점을 둡니다. 여기에는 가격, 리소스, 계획 유형 및 무료로 제공되는 혜택이 포함됩니다.

   보안은 필수적이지만 종종 간과되는 측면입니다. 일부 웹 호스팅 제공업체는 네트워크를 더 잘 보호하기 위해 Sucuri와 같은 인정받는 보안 브랜드와 협력합니다. UltaHost와 같은 다른 회사에는 전용 VPS DDoS 계획이 있습니다.

   이것이 당신을 혼란스럽게 해도 걱정하지 마십시오. WordPress는 인기가 높기 때문에 많은 호스트에서 관리형 WordPress 호스팅 옵션도 제공합니다. 이러한 특정 계획을 사용하면 서비스 공급자가 보안과 같은 기술 세부 사항을 처리하는 동안 WordPress 사이트 구축 및 실행에 집중할 수 있습니다.

2. 콘텐츠 전송 네트워크 사용

   
   CDN(콘텐츠 전송 네트워크)은 웹 사이트의 정적 자산을 빠르고 안정적으로 전달하기 위해 함께 작동하는 전 세계에 분산된 서버 모음입니다. 목표는 웹사이트가 빠르게 로드되도록 하는 것입니다.

   그러나 CDN은 사용자가 알지 못하는 추가 보안 이점도 제공합니다. 글로벌 서버 네트워크 덕분에 웹 사이트는 부하를 분산하여 잠재적인 공격 노출 영역을 줄일 수 있습니다. 본질적으로 웹사이트 트래픽 처리 가능성을 인위적으로 늘리기 위해 CDN 서버를 빌리고 있습니다.

   이 기능 덕분에 공격자는 DDoS 공격이 성공하려면 훨씬 더 많은 리소스를 소비해야 합니다. 공격자가 결정되면 여전히 CDN을 사용하는 웹 사이트를 극복할 수 있습니다.

   

   대부분의 CDN에는 유료 구독이 필요하지만 Cloudflare는 개인 및 소규모 기업에 적합한 무료 요금제를 제공합니다. 또는 BunnyCDN과 같은 일부 CDN도 매우 저렴한 가격을 제공합니다.

3. 웹 응용 프로그램 방화벽 사용

   사용할 수 있는 또 다른 보안 기능은 WAF(웹 응용 프로그램 방화벽)입니다. WAF는 웹사이트와 인터넷 사이에 위치하여 악의적인 사용자로부터 보호하는 소프트웨어입니다. 요청을 필터링하고, 의심스러운 동작을 확인하고, 잠재적으로 위험한 트래픽이 서버에 도달하기 전에 차단하여 이를 수행합니다.

   WAF를 사용하여 많은 작업을 수행할 수 있습니다. DDoS 공격으로부터 보호하는 것 외에도 SQL 또는 XSS 주입을 차단하고 WordPress 사이트에서 무차별 대입 로그인 시도를 방지하는 등의 작업을 수행할 수 있습니다. 많은 CDN에는 WAF 기능이 포함될 것입니다. 때로는 무료이거나 약간의 추가 비용이 있습니다.

4. XML-RPC 핑백 비활성화

   사이트에서 수신하는 요청 수를 줄이려면 XML-RPC Pingback을 비활성화하는 것이 중요합니다. 이 기능을 사용하면 사용자가 핑백을 통해 블로그나 웹사이트에 댓글을 남길 수 있습니다. 불행히도 DDoS 공격자도 자주 남용합니다.

   이렇게 하려면 설정 > 토론 으로 이동한 다음 " 핑 및 트랙백 비활성화 "를 클릭합니다.

   완료했으면 XML-RPC Pingbacks 가 나타날 때까지 아래로 스크롤합니다. 옆에 있는 " 비활성화 "를 클릭 하고 변경 사항을 저장 합니다.

   테마 설정 페이지 또는 플러그인 패널(예: WordPress 자체)에 XML-RPC 핑백을 비활성화하는 옵션이 없는 경우 보안 플러그인 사용을 고려할 수도 있습니다. 고려해야 할 좋은 플러그인에는 WordFence 또는 Sucuri Security가 포함됩니다.

5. 취약점을 줄이기 위해 정기적으로 WordPress 업데이트

   DDoS 공격으로부터 웹사이트를 보호하려면 WordPress와 해당 플러그인, 테마 및 보안 플러그인을 최신 상태로 유지해야 합니다. 개발자는 종종 새로운 기능을 도입하는 것 외에도 보안 결함과 같은 단점을 해결하기 위해 이러한 애플리케이션을 검토합니다.

   다음 단계에 따라 WordPress를 수동 또는 자동으로 업데이트할 수 있습니다.

   1. WordPress 웹사이트 계정에 로그인
   2. 왼쪽 탐색 메뉴에서 대시보드를 클릭합니다.
   3. 업데이트 선택
   4. 해당 화면에 표시된 플러그인 업데이트

   많은 웹 호스트는 또한 웹 호스팅 제어판을 통해 WordPress를 자동으로 업데이트하는 옵션을 고객에게 제공합니다. 이에 대해 자세히 알아보려면 웹 호스팅 제공업체에 문의하십시오.

   또한 WordPress 웹 사이트에 추가하기로 선택한 플러그인에 대해 항상 주의하십시오. 모든 플러그인의 품질이 동일하지는 않습니다. 일부는 WordPress 관리자 대시보드에서 사용자를 잠그는 것과 같은 불쾌한 취약점이나 버그를 소개합니다.

6. REST API 비활성화

   WordPress는 기본적으로 활성화된 REST API와 함께 제공됩니다. 이 기능은 외부 사용자가 서버에 요청할 수 있도록 하기 때문에 DDoS 공격의 잠재적인 벡터입니다. 공격자는 이를 사용하여 사이트를 압도하거나 충돌을 일으킬 수 있습니다.

   그러나 WordPress가 작동하거나 안전하거나 효율적이기 위해서는 REST API가 필요하지 않습니다. 비활성화하면 현재 사이트에서 사용하던 기능이 손실되지 않으며 REST API를 비활성화하기 전 그대로 유지됩니다.

   WordPress REST API를 비활성화하는 가장 좋은 방법은 Perfmatters와 같은 플러그인을 사용하는 것입니다. 이와 같은 플러그인을 사용하면 토글 버튼으로 일부 설정을 쉽게 수정할 수 있습니다. 코딩이 필요하지 않습니다.

결론

WordPress는 콘텐츠 생성 및 관리를 위한 훌륭한 플랫폼입니다. 그러나 완벽하지 않으며 모든 보안 위협으로부터 사용자를 보호하지 않습니다. 사이트를 사전에 보호해야 하므로 외부 소스에서 들어오는 트래픽을 검색할 수 있는 웹 애플리케이션 방화벽 또는 기타 유사한 서비스를 사용하는 것이 좋습니다.

다른 모든 옵션을 무시하더라도 DDoS 공격으로부터 WordPress 웹 사이트를 보호하는 데 필요한 최소한의 좋은 웹 호스트와 안정적인 CDN입니다.