WordPress 웹사이트를 보호하는 방법

관리형 WordPress 호스팅 서비스(예: Pressidium)는 일반적으로 호스팅 플랫폼의 보안에 상당한 중점을 둡니다. 이러한 시스템에서 호스팅되는 WordPress 웹 사이트를 안전하게 유지하기 위해 다양한 기능이 배포됩니다.

그러나 WordPress 호스트가 WordPress 웹 사이트의 보안을 보장하기 위해 할 수 있는 일은 많지 않습니다. 웹사이트 소유자는 웹사이트의 보안을 유지하기 위해 각자의 역할이 있습니다. 이 기사에서는 WordPress 웹 사이트를 보호하기 위해 취할 수 있는 단계를 살펴보겠습니다.

웹사이트 보안 유지 – 개요

많은 웹사이트 해킹은 웹사이트 소유자가 취한 조치(또는 무조치)의 직접적인 결과로 발생합니다. 플러그인을 최신 버전으로 업데이트하지 못하거나 약한 비밀번호를 사용하는 것과 같은 모든 것은 해커가 표적으로 삼을 사이트를 통해 실행되는 취약점을 악용할 수 있습니다. 좋은 소식은 WordPress 웹 사이트를 안전하게 유지하는 데 도움이 되는 여러 가지 간단한 단계가 있다는 것입니다. 여기에는 다음이 포함됩니다.

• 귀하와 다른 웹사이트 사용자가 강력한 암호를 사용하고 있는지 확인하십시오.
• 보안 문자 메커니즘 사용
• 이중 인증(2FA) 사용
• 비활성 사용자 삭제
• '로그인 시도 제한' 시스템 사용
• 핵심 파일, 플러그인 및 테마를 항상 최신 버전으로 업데이트하세요.
• 기본 로그인 URL 변경
• nulled 테마 및 플러그인 사용 피하기

이러한 단계 중 일부를 자세히 살펴보고 웹사이트에 적용하는 방법을 알아보겠습니다.

사용자가 강력한 암호를 사용하고 있는지 확인

취약한 암호로부터 WordPress 웹 사이트를 보호할 수 있는 서버 측 방화벽이나 기타 호스팅 보안 시스템은 없습니다. 약한 암호 사용에 대한 알려진 문제에도 불구하고 통계에 따르면 WordPress에서 더 강력한 암호를 선택하라는 메시지가 표시됨에도 불구하고 사용자의 놀랍게도 35%가 여전히 WordPress 웹 사이트를 보호하기 위해 약한 암호를 사용합니다.

아마도 이것에서 도출할 수 있는 결론은 일부 사용자는 약한 암호가 사용될 때 웹 사이트가 얼마나 취약해지는지 단순히 인식하지 못한다는 것입니다. 불행하게도, 해커들은 오래전에 특정 패턴(생년월일이나 애완동물 이름 등)을 따르는 예측 가능한 암호를 선택하는 사용자를 이용하는 방법을 알아냈습니다.

다른 사람들은 약한 비밀번호의 취약성을 인식하면서 그럼에도 불구하고 이것을 사용하는 것이 쉽기 때문에 계속 사용합니다. 결국, 간단한 암호를 기억하는 것은 임의의 문자, 숫자 및 기호로 구성된 복잡한 암호보다 훨씬 쉽습니다.

의심할 여지 없이 암호는 해커에 대한 중요한 방어선을 제공합니다. 강할수록 좋습니다. 이상적으로 암호는 고유하고 무작위로 생성되고 정기적으로 업데이트되어야 합니다.

로그인 양식에서 Captcha 메커니즘 사용

보안 문자의 목적은 자동화된 작업을 수행하는 소프트웨어 응용 프로그램인 '봇'과 인간을 구별하는 것입니다. 해커는 웹 사이트에 액세스하기 위해 임의의 데이터를 사용하여 지속적으로 시도하도록 봇에 지시함으로써 로그인 페이지를 통해 웹사이트에 대한 액세스를 시도하고 획득하기 위해 이를 사용할 수 있습니다. 보안 문자는 사람과 봇을 구분하여 사이트에서 발생하는 이러한 종류의 공격을 방지하도록 설계되었습니다. 보안 문자는 30년 동안 사용되어 왔으며 봇 활동으로부터 보호하기 위해 여전히 수많은 웹 사이트에 배포됩니다.

봇 로그인 시도를 차단하기 위해 보안 문자를 WordPress 웹 사이트에 추가할 수 있습니다. 이를 수행하는 쉬운 방법은 Google의 보안 문자 시스템을 활용하는 Login no Captcha reCaptcha 플러그인을 설치하는 것입니다.

설치되면 로그인 패널 아래에 익숙한 reCaptcha 확인란이 표시됩니다. 이것을 체크하면 자리를 비웁니다(어쨌든 올바른 사용자 이름과 비밀번호를 알고 있다고 가정합니다!).

플러그인을 작동시키려면 무료 Google reCaptcha 계정에 가입해야 사이트 키와 비밀 키를 생성할 수 있습니다.

사이트 및 비밀 키를 생성하는 방법:

1. Google 계정에 로그인합니다(아직 계정이 없는 경우 계정을 등록해야 함). Google reCaptcha 페이지로 이동하여 오른쪽 상단에 표시되는 '관리 콘솔'을 클릭합니다.
2. 다시 우측 상단에 있는 'Plus +' 아이콘을 클릭하면 새로운 웹사이트를 등록할 수 있습니다. 필수 정보를 입력하세요.
3. 제출 버튼을 누르면 다음과 같은 페이지가 표시됩니다.

그런 다음 이 값을 승격된 플러그인 설정의 상자에 붙여넣어야 합니다.

이중 인증(2FA)

이중 인증 프로세스를 사용하면 '무차별 대입' 공격이라고 알려진 것을 방지하여 웹사이트 로그인 페이지에 보안 계층을 추가할 수 있습니다. 이러한 종류의 공격은 봇이 추측된 비밀번호와 사용자 이름을 사용하여 웹사이트에 지속적으로 로그인을 시도하는 곳입니다(일반적으로 123password 등과 같이 알려진 '약한' 비밀번호를 이용하는 사전 정의된 목록을 따름). 봇은 성공할 때까지 계속 시도하고 사이트에 액세스하는 것은 두 가지 면에서 나쁜 소식입니다. 첫째, 비밀번호가 정확하면 웹사이트가 해킹된 것입니다. 둘째, 이러한 지속적인 로그인 시도는 서버 부하를 증가시켜 합법적인 웹사이트 속도를 늦출 수 있습니다. 사용자.

다행히 이를 방지하는 데 도움이 되는 타사 플러그인을 사용할 수 있습니다.

2단계 플러그인

Plugin Contributors의 Two-actor 플러그인은 사용자가 일반 로그인 자격 증명과 함께 인증 코드를 제공하도록 하여 웹사이트에 2단계 보호 기능을 제공하는 유용하고 사용하기 쉬운 플러그인입니다. 이 코드는 이메일을 통해 보내거나 Google Authenticator와 같은 일회용 비밀번호 생성기를 사용하여 생성할 수 있습니다.

Google OTP 플러그인

Google Authenticator 플러그인은 WordPress 웹사이트를 보호하기 위해 배포할 수 있는 또 다른 인기 있는 2FA 플러그인입니다. 이 완전 무료 플러그인은 SMS를 포함하고 물론 Google Authenticator 앱을 사용하여 다양한 2FA 인증 옵션을 제공합니다. 이 설정은 상당히 빠르고 쉽습니다. 플러그인을 활성화할 때 프롬프트를 따르십시오.

비활성 사용자 삭제

공격자의 또 다른 쉬운 표적은 오랫동안 사용되지 않은 웹사이트 사용자 계정입니다. 그 결과 사용자가 최근에 계정을 만들거나 웹 사이트에 정기적으로 로그인했을 때보다 암호가 약한 경우가 많습니다. 이 때문에 비활성 계정을 주기적으로 삭제하는 것이 좋습니다.

플러그인을 사용하여 When Last Login 플러그인과 같은 비활성 사용자를 쉽게 감지할 수 있습니다.

활성화되면 해당 사용자의 마지막 로그인 날짜 및 시간의 타임스탬프를 표시하는 사용자 지정 열을 관리자 목록 테이블에 추가하기만 하면 됩니다. 이 열을 정렬하면 비활성 사용자를 한 눈에 식별할 수 있으므로 적절한 경우 삭제할 수 있습니다.

그런 다음 사용자 -> 모든 사용자가 추가된 "마지막 로그인" 열을 기준으로 정렬합니다.

로그인 시도 제한

WordPress 사이트에 보안 계층을 추가할 수 있는 또 다른 방법은 특정 기간 내에 허용되는 로그인 시도 횟수를 제한하는 것입니다. 이 기술은 지속적인 로그인 추측을 하는 봇을 저지합니다. 또한 이 기능을 제공하는 일부 플러그인은 로그인 시도가 시작된 IP 주소를 차단할 수 있으며 그렇게 하면 해당 IP 주소에서 작동하는 특정 봇이 향후 사이트에서 반복적인 공격을 시도하지 못하도록 차단할 수 있습니다.

이 기능을 제공하는 좋은 플러그인은 무료 Limit Login Attempts Reloaded 플러그인입니다.

이 글을 쓰는 시점에 100만 개 이상의 설치로 플러그인이 잘 작동한다고 확신할 수 있습니다.

설치 및 활성화한 후 설정 메뉴로 이동한 다음 '로그인 시도 제한'을 클릭합니다. 사용자가 웹사이트에서 잠기기 전에 허용되는 재시도 횟수를 포함하여 매개변수 범위를 변경할 수 있습니다.

로그인 시도를 제한하는 것은 웹사이트를 보호하는 매우 효과적인 방법입니다. 이것이 우리가 모든 Pressidium 호스팅 웹사이트에서 이를 기본값으로 활성화하는 이유입니다.

참고: Jetpack을 사용하는 경우 '보호 모듈'이라는 최신 기능 릴리스에는 기본적으로 로그인 시도 제한 시스템이 포함되어 있습니다. 이 시스템은 차단된 로그인 시도에 대한 정보와 IP를 화이트리스트에 추가하는 옵션도 제공합니다. 이 플러그인을 사용한다면 별도의 '로그인 제한' 플러그인을 설치할 필요가 없습니다.

핵심 파일, 플러그인 및 테마를 최신 버전으로 업데이트하세요.

다른 많은 이점 중에서 WordPress 코어, 테마 및 플러그인을 업데이트하는 것은 웹사이트 보안에 매우 중요합니다. 통계에 따르면 오래된 버전, 테마 및 플러그인은 해커가 웹사이트에 액세스하여 최신 상태를 최우선으로 유지하는 가장 인기 있는 방법입니다.

Pressidium에서는 고객의 웹사이트에 문제를 일으킬 수 있는 주요 문제가 없는지 확인하기 위해 먼저 테스트한 후 WordPress 코어를 최신 버전으로 자동 업데이트합니다. 이러한 업데이트는 자동으로 수행되기 때문에 웹사이트에서 항상 최신 버전의 WordPress를 실행하고 있다는 사실을 알고 안심할 수 있습니다.

Pressidium으로 웹사이트 호스팅

60일 환불 보장

계획 보기

또한 우리는 Pressidium 대시보드를 통해 액세스할 수 있는 플러그인 업데이트 기능을 제공하여 우리와 함께 호스팅되는 웹사이트에서 플러그인 업데이트를 가능한 한 쉽게 만듭니다. 이를 통해 고객은 웹사이트 플러그인 업데이트가 필요한지 한 눈에 확인할 수 있습니다. 그렇다면 Pressidium 대시보드 내에서 몇 번의 클릭으로 업데이트를 수행할 수 있습니다. 또한 우리는 정기적으로 우리와 함께 호스팅되는 웹사이트에서 알려진 취약점이 있는 플러그인을 검색하고 이메일을 통해 웹사이트 소유자에게 이 취약점을 알립니다. 오래된 플러그인이 웹사이트에 극도의 위험을 초래하는 경우 웹사이트 소유자를 대신하여 사전에 업데이트합니다.

기본 로그인 URL 변경

이제 로그인 페이지를 보호하는 방법(실제로 '정문'을 보호하는 방법)을 살펴보았으므로 도둑(또는 해커!)이 침입을 시도조차 할 수 없도록 하는 현관문을 숨기는 옵션을 살펴보겠습니다. .

이를 수행하는 좋은 방법은 기본 WordPress 로그인 URL을 사용자 지정 URL로 변경하여 위치를 변경하는 것입니다. 그렇게 하면 wp-login의 트래픽을 즉시 차단할 수 있으므로 웹사이트에서 무차별 대입 공격을 겪지 않아야 합니다.

로그인 페이지의 위치를 ​​빠르게 변경할 수 있는 플러그인 중 하나는 WPS 로그인 숨기기입니다.

nulled 테마 및 플러그인 사용 피하기

Nulled 테마 또는 플러그인은 일반적으로 해를 입히도록 설계된 맬웨어 또는 수정된 코드를 포함하는 테마입니다. 그들은 종종 '싸게' 구할 수 있기 때문에 사람들에게 어필합니다. 결국 프리미엄 테마와 플러그인에 돈을 쓰는 것을 좋아하는 사람은 아무도 없습니다. 일부 nulled 테마와 플러그인을 '정품' 버전의 일부 비용으로 사용할 수 있으므로 사용하려는 이유를 알 수 있습니다.

실제로 nulled 버전을 사용하여 얻는 '절감액'은 웹사이트가 맬웨어에 감염되어 발생하는 비용으로 인해 종종 가려질 수 있습니다. 악성 코드가 포함되어 있지 않더라도 플러그인이나 테마의 경험을 망칠 수 있는 성가신 광고와 팝업이 있는 경우가 많습니다. 또한 원래 개발자가 지원하지 않는다는 것은 문제가 발생하면 아무도 의지할 수 없다는 의미입니다.

요컨대, null 테마나 플러그인을 사용하지 마십시오… 정말 가치가 없습니다!

결론

해킹된 웹사이트는 누구에게도 관심이 없습니다(물론 해커는 제외). 고품질의 관리형 WordPress 호스팅은 웹사이트의 보안을 크게 향상시킬 수 있지만 웹사이트 소유자는 웹사이트 보안에도 중요한 역할을 한다는 점을 기억하는 것도 중요합니다.

위에 설명된 간단한 단계 중 일부만 수행해도 웹 사이트의 보안을 개선하는 데 실제로 도움이 되며 구현할 가치가 있습니다.