전체 WooCommerce 보안 체크리스트(2022 가이드)

게시 됨: 2021-03-23

보안은 모든 전자 상거래 상점의 최우선 관심사입니다. 결국 콘텐츠를 안전하게 보관해야 하는 것이 아니라 고객 정보와 주문 데이터도 보호해야 합니다.

따라서 온라인 상점 시작을 고려하고 있거나 이미 수입의 일부를 구성하고 있다면 비즈니스를 완전히 확보해야 할 때입니다.

온라인 상점에 더 강력한 보안이 필요한 이유

온라인 판매 시 개인 이름, 신용 카드 번호, 주소 등 많은 민감한 정보를 다루고 있습니다. 활성 상점은 항상 새로운 정보를 수집하므로 귀하가 책임져야 하는 데이터 세트가 계속 증가합니다.

사이트에 최고 수준의 보안이 있는지 확인하면 다음을 수행할 수 있습니다.

  • 해커와 공격자로부터 고객의 개인 정보를 보호하여 고객이 안심하고 쇼핑할 수 있도록 합니다.
  • 중단 및 판매 손실로부터 수입원을 보호하십시오.
  • 세금 및 법적 목적을 위해 모든 분 단위 판매 데이터를 보존합니다.
  • 신뢰할 수 있는 기업으로서 브랜드와 평판을 유지합니다. 그리고
  • 다운타임으로 인한 매출 손실, 미처리 주문으로 인한 환불, 웹사이트 수리 비용 등 해킹 후 비즈니스 재건과 관련된 비용을 피하십시오.

해킹을 식별하는 방법

해킹은 다양한 형태를 취할 수 있으며 귀하의 사이트가 즉시 손상되었다는 사실조차 깨닫지 못할 수도 있습니다.

해킹을 식별하려면 다음을 찾으십시오.

  • 생성하지 않은 새 관리자 계정.
  • 댓글, 제품 설명 또는 리뷰에 악성코드에 대한 스팸 링크가 있습니다.
  • 타사 사이트로 리디렉션되는 비정상적인 경고 상자 또는 링크.
  • 귀하의 상점이 신고되었다는 Google 알림입니다.
  • 이상하거나 예상치 못한 또는 누락된 고객 이메일.
  • 매우 느린 로드 시간 또는 시간 초과 오류.

그러나 대부분의 비즈니스 소유자는 문제나 해킹을 지속적으로 모니터링하기에는 인벤토리, 마케팅 또는 주문 이행 작업에 너무 바쁩니다. 그렇기 때문에 가장 먼저 추가해야 하는 것은 가동 중지 시간 모니터링입니다. 이 모니터링은 사이트가 가동 및 실행 중인지 자동으로 확인하고 작동하지 않을 경우 경고합니다. 이를 통해 즉시 조치를 취하여 온라인 상점을 수리하고 복원할 수 있습니다.

또한 상점에 ​​해킹이 있는지 자동으로 검사하여 걱정할 필요가 없는 최고의 맬웨어 검사 플러그인인 Jetpack Scan의 이점을 누릴 수 있습니다! 문제가 발견되면 알림을 받고 클릭 한 번으로 알려진 위협의 대부분을 수정할 수도 있습니다.

현재 맬웨어 검사 진행 상황을 보여주는 Jetpack 검사 대시보드

WooCommerce에 대한 전체 보안 체크리스트(14단계)

해킹이 발생 하기 전에 항상 중단하는 것이 가장 좋습니다. 다음 질문에 "예"라고 대답할 수 있다면 훌륭한 출발을 한 것입니다!

1. 안전하고 평판이 좋은 제공업체에서 호스팅하고 있습니까?

호스트는 공격에 대한 첫 번째 방어선입니다. 적절한 보안 조치를 취하지 않으면 다른 모든 것을 올바르게 수행하더라도 파일과 데이터베이스가 취약해질 수 있습니다.

호스트를 선택할 때 다음이 포함된 호스트를 찾으십시오.

  • 내장 방화벽 . 방화벽은 서버에 액세스할 수 있는 사용자와 액세스할 수 없는 사용자를 제어하여 웹사이트 파일에서 해커와 봇을 차단합니다.
  • 보안 스캔 . 많은 호스트가 정기적으로 서버의 모든 사이트를 검사하고 맬웨어와 같은 의심스러운 것을 발견하면 알려줍니다. 일부 제공자는 종종 추가 비용을 지불하고 이러한 문제를 해결해 주기도 합니다.
  • 백업 . 또한 자신만의 백업을 만들고 싶지만(나중에 자세히 설명) 사이트의 복사본을 여러 개 만드는 것이 좋습니다. 많은 호스팅 회사는 계획에 백업을 포함하고 다른 회사는 유료 업그레이드로 제공합니다.
  • 우수한 지원 팀 . 문제가 발생하면 전문가가 다음 단계를 파악하는 데 도움을 줄 수 있기를 바랍니다. 호스트에게 가장 편리한 방법(라이브 채팅, 전화 등)을 통해 연락할 수 있는 훌륭한 지원 팀이 있는지 확인하십시오.
  • 좋은 평판 . 실제 고객의 리뷰를 확인하고 그들의 경험에 대해 알아보세요. 호스팅 제공업체에 대해 알아보는 가장 정확한 방법입니다.

어디서부터 시작해야 할지 모르겠다고요? WooCommerce는 철저하게 심사를 거친 추천 호스팅 회사 목록을 작성했습니다.

2. SSL 인증서가 있습니까?

SSL(Secure Socket Layer) 인증서는 고객이 웹사이트로 보내는 정보를 암호화하고 사이트의 ID를 인증합니다. 이는 신용 카드 데이터 및 주소와 같은 정보에 대한 중요한 보호 역할을 합니다. Google은 검색 엔진 순위를 결정할 때도 이를 고려합니다.

대부분의 호스트는 SSL 인증서를 무료로 제공하지만 일부 호스트는 비교적 적은 비용을 청구합니다.

3. 안전하고 안전한 버전의 테마와 플러그인을 사용하고 있습니까?

Nulled 플러그인 및 테마는 프리미엄 플러그인 및 테마의 불법 복제 버전이며 무료 또는 저렴한 가격으로 제공됩니다. 지원되지 않을 뿐만 아니라 업데이트되지도 않으므로 WordPress 또는 다른 플러그인과 충돌할 수 있습니다. 그리고 더 우려되는 점은 일반적으로 사이트와 고객 데이터를 손상시킬 수 있는 맬웨어로 가득 차 있다는 것입니다.

항상 WordPress 저장소 또는 WooCommerce 마켓플레이스와 같은 신뢰할 수 있는 소스에서 플러그인과 테마를 다운로드하십시오.

WooCommerce Marketplace 특집 확장 컬렉션
WooCommerce Marketplace의 주요 확장 컬렉션

4. WordPress 사이트의 모든 것이 업데이트되었습니까?

WordPress, 테마 및 플러그인 업데이트에는 항상 새로운 기능만 포함되는 것은 아닙니다. 그들은 종종 해커가 이용할 수 있는 버그와 취약점을 수정합니다. 사이트를 안전하게 유지하고 충돌을 피하기 위해 사용 가능한 경우 항상 업데이트를 수행하십시오.

업데이트를 추적하고 싶지 않으세요? Jetpack에는 이 프로세스를 자동화하는 옵션이 있습니다.

5. 최신 버전의 PHP를 사용하고 있습니까?

워드프레스 코어의 대부분은 프로그래밍 언어인 PHP로 작성되었습니다. 테마와 플러그인을 업데이트해야 하는 것과 같은 이유로 사이트에서 사용하는 PHP 버전을 업데이트해야 합니다. 버그와 취약점으로부터 보호하기 위해서입니다.

호스트 설정에서 PHP 버전을 업데이트하거나 호스팅 제공업체에 이 문제를 처리해 달라고 요청할 수 있습니다. 최신 WordPress 요구 사항을 확인하십시오.

6. 사용자 권한을 검토했습니까?

각 WordPress 사용자에게는 웹 사이트에서 특정 작업을 수행할 수 있는 기능 세트가 포함된 역할이 할당됩니다. 관리자는 모든 것에 대한 전체 액세스 권한을 가지며 원하는 대로 변경할 수 있습니다. 상점 주인으로서 이것이 당신의 역할이어야 합니다. 그러나 고객은 사이트 백엔드에 액세스할 수 없지만 자신의 계정 정보를 편집하고 현재 및 이전 주문을 볼 수 있습니다. 사용자 역할 및 권한의 전체 목록을 참조하십시오.

때때로 사용자 계정을 검토하고 정리하십시오. 각 사용자는 작업을 수행하는 데 필요한 최소한의 권한만 가져야 하며 더 이상 다른 사람과 작업하지 않는 경우 해당 계정을 제거해야 합니다. 예를 들어 웹 개발 에이전시와 협력하여 사이트를 구축하고 프로젝트가 완료된 경우 향후 일관된 업데이트가 필요하지 않는 한 해당 계정을 삭제하고 싶을 것입니다.

7. 안전한 사용자 이름과 비밀번호를 사용하고 있습니까?

해커는 종종 봇을 사용하여 올바른 조합을 찾을 때까지 수천 가지의 다양한 사용자 이름과 비밀번호 조합을 시도합니다(이를 무차별 대입 공격이라고 함). 비밀번호를 추측하기 쉬울수록 해커가 스토어에 액세스할 가능성이 커집니다.

좋은 비밀번호는 대문자, 소문자, 숫자, 기호를 포함하고 최소 20자 이상이어야 합니다. 최소한 모든 관리 사용자가 이 유형의 비밀번호를 구현하고 있는지 확인하십시오.

사용자 이름과 관련하여 "관리자" 또는 "관리자"와 같은 일반적인 제목을 사용하지 마십시오. 대신 각 사람에 대한 특정 사용자 이름을 만드십시오.

8. 로그인 URL 변경을 고려했습니까?

기본적으로 모든 WordPress 로그인 페이지는 URL /wp-admin에서 액세스할 수 있습니다. 추가 보안 조치를 취하려는 경우 공격자가 이 URL을 추측하기 어렵게 하도록 URL을 변경할 수 있습니다. .htaccess 파일을 편집하여 이 작업을 수행할 수 있습니다. 코드를 변경하는 것이 불편하다면 WP Hide Login과 같은 플러그인을 사용하세요.

9. 관리자에 대해 2단계 인증을 활성화했습니까?

이중 인증은 로그인 페이지에 보안 계층을 추가합니다. 로그인하려면 무언가(사용자 이름 및 비밀번호)를 알아야 할 뿐만 아니라 물리적으로 무언가(모바일 장치)를 소유해야 합니다. 이렇게 하면 해커가 상점에 침입할 가능성이 훨씬 줄어듭니다.

Jetpack은 이중 인증을 쉽게 만듭니다. 사이트에 로그인하면 휴대전화로 특별한 1회용 코드를 받게 되며 이 코드는 로그인 프로세스를 완료하기 위해 입력해야 합니다. 모든 사용자에게 이 설정을 요구할 수도 있습니다. 이중 인증에 대해 자세히 알아보세요.

10. 무차별 대입 공격을 차단하고 있습니까?

앞에서 논의한 바와 같이 무차별 대입 공격은 해커가 봇을 사용하여 올바른 것을 찾을 때까지 사용자 이름과 암호 조합을 반복해서 테스트할 때 발생합니다. 이는 매장 및 고객 데이터를 위험에 빠뜨릴 뿐만 아니라 웹사이트 속도를 저하시킬 수도 있습니다.

사이트에서 차단된 총 악성 공격 수를 보여주는 모듈

그러나 Jetpack은 이러한 공격이 사이트에 도달하기 전에 자동으로 차단하므로 걱정할 필요가 없습니다.

11. 사이트에서 맬웨어를 검사하고 있습니까?

누군가 귀하의 사이트에 액세스하여 맬웨어를 주입하면 어떻게 됩니까? 해당 맬웨어를 제거하고 가능한 한 빨리 문제를 해결할 수 있도록 즉시 알고 싶습니다. 그러나 해커는 교활합니다. 해커가 침입했다는 사실이 항상 즉각적으로 드러나는 것은 아닙니다.

젯팩 스캔은 의심스러운 활동이 있으면 즉시 경고하며 젯팩의 서버에서 스캔이 이루어지므로 사이트가 다운되더라도 사이트에 액세스할 수 있습니다. 또한 대부분의 알려진 위협에 대한 원클릭 수정을 제공합니다.

12. 스팸 필터가 설정되어 있습니까?

스팸 댓글은 성가신 것이 아닙니다. 그들은 또한 당신을 프로답지 않게 보이게 하고 고객을 맬웨어로 가득 찬 사이트로 안내하는 링크를 포함할 수 있습니다. 그러나 일주일에 수백 개의 댓글을 분류하는 것은 시간이 많이 걸리고 답답합니다.

WordPress 사이트에서 차단된 스팸을 보여주는 그래프

그것이 Jetpack Anti-spam이 등장하는 곳입니다! 댓글과 양식에서 스팸을 자동으로 제거하므로 볼 필요도 없습니다. 시간을 절약하고 사이트를 보호하며 더 나은 사용자 경험을 한 번에 제공할 수 있습니다.

13. 다운타임에 대해 사이트를 모니터링하고 있습니까?

사이트가 다운되면 해킹의 징후일 수 있습니다. 그리고 하락 기간이 길수록 더 많은 매출을 잃게 됩니다. 가능한 한 빨리 백업하여 다시 실행하기를 원합니다!

Jetpack은 5분마다 전 세계 위치에서 사이트를 확인하는 무료 다운타임 모니터링을 제공합니다. 사이트가 다운된 경우 문제를 즉시 해결할 수 있도록 즉각적인 알림을 받게 됩니다.

14. 정기적인 오프사이트 백업이 설정되어 있습니까?

사이트에 문제가 발생하면 빠르고 쉽게 복원할 수 있는 전체 백업을 보호할 수 있습니다. 호스트가 백업을 제공하더라도 직접 만드는 것도 중요합니다. 왜요? 서버가 손상되면 거기에 저장된 백업도 손상될 수 있기 때문입니다.

WooCommerce 스토어에서 백업 진행 중

Jetpack 백업은 훌륭한 솔루션입니다. 두 가지 계획 옵션이 있습니다.

  1. 하루에 한 번 사이트 사본을 저장하는 일일 백업 .
  2. 페이지를 업데이트하거나, 새 게시물을 게시하거나, 판매할 때마다 사이트 사본을 저장하는 실시간 백업 . 주문 정보 분실에 대해 걱정할 필요가 없기 때문에 온라인 상점에 특히 유용합니다.

Jetpack은 사이트와 완전히 분리된 여러 위치에 백업 파일을 저장합니다. 즉, 서버가 손상된 경우 백업도 손상되지 않습니다. 그리고 대부분의 경우 사이트가 완전히 다운된 경우에도 백업을 복원할 수 있습니다!

최악의 시나리오에서 복구하는 방법

온라인 상점에 맬웨어가 있고 Jetpack Security가 있는 경우 문제를 즉시 처리할 수 있도록 알림을 받게 됩니다. 첫 번째 단계는 사이트에서 발생한 모든 것의 전체 목록을 볼 수 있는 활동 로그를 확인하는 것입니다. 이 정보를 사용하여 익숙하지 않은 로그인 및 편집된 페이지와 같은 의심스러운 활동을 확인하여 해킹이 발생한 시기를 결정할 수 있습니다.

WordPress 사이트에서 일어난 모든 일을 보여주는 활동 로그

그런 다음 가장 빠른 복구 방법은 Jetpack Backup을 사용하는 것입니다. 몇 번의 클릭만으로 최소한의 다운타임으로 사이트를 다시 가동할 수 있습니다. 해킹 전의 백업을 선택하고 복원될 때까지 기다리기만 하면 됩니다. 네, 바로 그것입니다!

스토어의 클린 버전이 실행되고 나면 Jetpack Scan을 사용하여 사이트에 멀웨어가 남아 있지 않은지 확인하십시오. Jetpack은 알려진 위협의 대부분을 해결하므로 문제가 발견되더라도 문제 해결에 대해 걱정할 필요가 없을 것입니다.

마지막으로 모든 비밀번호를 변경하고 테마, 플러그인 및 핵심 파일이 최신 상태인지 확인하여 사이트를 보호하십시오.

도움이 필요하세요? Jetpack Security에는 올바른 방향으로 안내할 수 있는 숙련된 기술 팀의 우선 지원이 포함됩니다.

WooCommerce 스토어를 안전하게 유지하세요

시간을 내어 WooCommerce 스토어를 완전히 보호하면 고객이 안심하고 쇼핑할 수 있고 데이터나 평판에 대해 걱정할 필요가 없습니다.

그리고 이를 수행하는 가장 좋은 방법 중 하나는 Jetpack Security와 WooCommerce를 결합하는 것입니다. 웹 사이트를 보호하고 기능을 추가하기 위해 동기화되어 작동하는 두 개의 존경받는 WordPress 플러그인입니다. 함께, 더 적은 가동 부품, 더 적은 외부 플러그인 및 비즈니스 소유자로서 더 큰 마음의 평화를 의미합니다.

자주 묻는 질문

WooCommerce 웹사이트가 해킹될 수 있습니까?

예, 다른 사이트와 마찬가지로 WooCommerce 스토어도 해킹될 수 있습니다. 그러나 WordPress 및 WooCommerce에는 콘텐츠와 고객 데이터를 보호하는 데 도움이 되는 기능이 포함되어 있습니다. 또한 좋은 호스트 선택, 최신 업데이트 유지, 최고의 보안 플러그인 설치와 같은 몇 가지 기본 보안 조치를 취하면 사이트가 잘 관리되고 있다는 것을 알고 안심할 수 있습니다.

WooCommerce 웹사이트에 SSL이 필요합니까?

SSL 인증서는 사이트에 제출된 정보(예: 신용 카드 데이터 및 주소)를 암호화하여 악의적인 사용자로부터 안전하게 보호합니다. 해커가 해당 정보에 액세스하면 비즈니스가 법적 위험에 처하고 평판이 손상될 수 있습니다. 또한 SSL 인증서는 귀하와 귀하의 고객을 보호할 뿐만 아니라 검색 엔진 순위에도 중요합니다.

SSL 인증서는 모든 웹사이트에 권장되지만 온라인 상점에서는 거래를 처리하기 위해 수집하는 데이터 유형 때문에 더욱 중요합니다.

WooCommerce 웹사이트에 가장 적합한 SSL 인증서는 무엇입니까?

대부분의 주요 호스팅 공급자는 계획에 SSL 인증서를 포함하고 다른 공급자는 추가 비용으로 사용할 수 있습니다. 일반적으로 몇 번의 클릭만으로 쉽게 설치할 수 있습니다.

그러나 호스트가 이를 제공하지 않는 경우 Let's Encrypt를 권장합니다. 보다 안전한 웹을 지원하기 위해 무료 SSL 인증서를 제공하는 신뢰할 수 있는 서비스입니다. 참고: 호스팅 계획에 포함된 많은 SSL 인증서는 Let's Encrypt에서 제공합니다.

WooCommerce 스토어에 SSL 인증서를 설치하는 방법에 대해 자세히 알아보세요.

WooCommerce 웹사이트에서 HTTPS를 강제 실행하려면 어떻게 합니까?

저장소에 SSL 인증서를 성공적으로 추가하면 URL이 http://example.com에서 https://example.com으로 변경됩니다. "https"의 "s"는 SSL을 나타냅니다.

상점에서 HTTPS를 강제 실행하면 사이트의 "http" 버전을 입력하는 방문자가 자동으로 "https" 버전으로 리디렉션됩니다. 이렇게 하면 모든 단일 구매자에 대해 모든 것이 적절하게 암호화됩니다.

.htaccess 파일에 몇 줄의 코드를 추가하거나 WordPress 플러그인을 사용하여 HTTPS를 강제 실행할 수 있습니다. Kinsta는 이를 위한 훌륭한 가이드를 제공합니다.

WooCommerce는 Shopify보다 안전합니까?

Shopify는 보안을 처리하는 호스팅 플랫폼입니다. 보안 조치 구현에 대해 걱정할 필요가 없다는 이점이 있지만 이는 또한 자신의 보호 기능을 사실상 제어할 수 없음을 의미하기도 합니다.

또한 Shopify가 더 안전하다는 의미는 아닙니다. 해커와 봇은 결국 차별하지 않습니다. 그들은 들어갈 수 있는 사이트를 찾을 때까지 사이트를 하나씩 시도합니다. 따라서 적절한 보안 조치를 취하면 모든 플랫폼의 다른 매장과 마찬가지로 매장이 안전하며 많은 경우 안전합니다.

또한 WordPress와 WooCommerce는 모두 귀하의 성공을 돕는 데 열정적인 팀의 지원을 받고 있다는 점에 유의하는 것도 중요합니다. 그들은 플랫폼을 안전하게 유지하기 위해 끊임없이 노력하기 때문에 소프트웨어를 정기적으로 업데이트하는 것이 매우 중요합니다.

WooCommerce의 이 가이드는 Shopify와 비교하는 방법에 대한 자세한 내용을 제공합니다.