WordPress 전문가 및 보안에 대한 Ivica Delic과의 인터뷰

게시 됨: 2019-09-05

지금까지 애플리케이션 및 WordPress 보안을 이해하고 작업하는 사람들만 인터뷰했습니다. 우리는 항상 공급업체의 목소리를 들어왔습니다. 그러나 이 인터뷰에서 우리는 다른 접근 방식을 취했습니다. 보안에 관한 WordPress 전문가 Ivica Delic을 인터뷰했습니다. 이 인터뷰의 범위는 보안이 자신의 팀이 아닌 WordPress 전문가가 보안 제품 및 서비스를 보고 이해하는 방법을 더 잘 이해하는 것입니다. 이 인터뷰는 또한 우리가 개선할 수 있는 부분과 이러한 전문가들이 고객의 웹사이트를 안전하게 유지하기 위해 무엇을 하고 있는지 이해하는 데 도움이 됩니다.

Ivica Delic, WordPress 전문가 Ivica Delic은 2011년부터 WordPress로 작업해 왔으며 FreelancersTools.com을 공동 설립했습니다. 그는 WordPress 커뮤니티에서 자원 봉사했으며 WordPress 웹 사이트 속도 향상에 대한 수많은 WP Meetup에 참석하여 발표했습니다. Ivica는 다양한 WordPress 주제에 대해 여러 인기 있는 Facebook 그룹을 시작했습니다. 그는 150,000명 이상의 회원을 보유한 25개 이상의 Facebook 그룹의 관리자입니다. Ivica는 경제학 석사 학위를 취득했으며 은행 업계에서 20년 이상 팀을 관리한 후 WordPress 웹사이트 및 디지털 마케팅 요구 사항을 관리하는 고객을 돕는 데 중점을 둔 디지털 시장 회사인 Confida를 공동 설립했습니다.

인터뷰

Q1: 새 WordPress 웹 사이트를 설정할 때 구현/따르는 처음 5가지 보안 모범 사례는 무엇입니까?

첫 번째는 훌륭하고 안정적인 WordPress 호스팅을 선택하는 것입니다. 나는 많은 웹 호스트와 함께 일했고 좋은 호스트가 많이 있습니다. 저는 대부분의 작업에 SiteGround를 사용합니다.

두 번째 모범 사례는 좋은 백업 전략을 구현하는 것입니다. 저는 가능한 경우 BlogVault와 같은 온라인 서비스를 항상 사용합니다. 이를 통해 오프사이트 및 안전한 위치에 백업을 저장할 수 있습니다.

그런 다음 여러 WordPress 보안 도구와 플러그인을 설치합니다. 저는 항상 MalCare와 WP Activity Log를 모든 고객에게 웹사이트 방어의 마지막 라인으로 추천합니다.

나머지 두 가지 모범 사례는 사용자를 위한 권장 사항입니다. 고유하고 강력한 WordPress 비밀번호를 사용하고 WordPress 코어, 테마, 플러그인, PHP 및 웹 서버와 컴퓨터의 모든 소프트웨어를 항상 최신 상태로 유지하십시오. 가능하면 안티바이러스/안티맬웨어 소프트웨어를 사용하십시오.

Q2. WordPress 보안 플러그인 및 서비스를 구현하고 사용하기가 쉽습니까?

우리는 지난 몇 년 동안 많은 보안 플러그인과 도구를 테스트했습니다. 구현 및 사용이 매우 쉬운 몇 가지가 있습니다. 그러나 일부는 사용하기가 매우 어렵고 득보다 실이 더 많습니다. 사용자가 결정할 수 있는 여지가 많이 남아 있지만 대다수의 사용자와 전문가는 보안에 정통하지 않습니다. 따라서 그들은 이러한 플러그인이 압도적이라는 사실을 깨닫고 웹사이트를 과소보호하거나 과도하게 보호하게 됩니다.

종종 사용자는 복잡한 보안 플러그인을 잘못 구성합니다. 예를 들어 보안 플러그인에 의해 자신의 웹사이트가 잠기거나 모든 핫 링크 이미지가 더 이상 로드되지 않습니다. 또는 파일 무결성 모니터링 기능이 있는 일부 보안 플러그인은 로그 파일의 변경이 악의적일 수 있다고 보고합니다. 사용자는 예를 들어 로그 파일의 변경이 악의적이지 않은지 또는 핫 링크된 이미지가 작동하지 않는 이유를 이해하지 못하기 때문에 이에 대해 당황합니다.

Q3. 보안 플러그인/제품/서비스를 구현하거나 사용할 때 겪었던 가장 큰 도전/어려움은 무엇이었습니까?

이전 질문과 관련하여 개인적으로 가장 큰 어려움은 고객의 웹사이트에서 사용되는 보안 도구를 테스트하고 확인해야 하는 것입니다. 이 도구는 익숙하지 않을 수 있습니다. 때때로 우리는 고객의 웹사이트 관리를 인계받아서 모든 보안 솔루션이 중복되는 기능 없이 제대로 작동하는지 확인해야 합니다. 사이트의 관리자를 차단하는 것과 같은 원치 않는 동작을 피하기 위해 둘 사이에 호환성 문제가 없는지 확인해야 합니다.

Q4. WordPress 보안에 대해 배우기 위해 보안 웹사이트를 팔로우합니까, 아니면 전문가에게 맡기십니까? 아니면 둘 다 약간인가요?

저는 많은 WP 보안 전문가가 게시하는 소수의 WordPress 보안 Facebook 그룹의 회원이자 관리자입니다. 나는 모든 관련 보안 뉴스와 보안 관련 조언/모범 사례를 따르고 읽습니다. 그러나 감염된 사이트를 청소하는 복잡한 작업은 (여전히) 마스터하지 못했습니다. 그런 상황에서 나는 전문가에게 의존합니다.

Q5. 온라인 WordPress 방화벽 서비스를 사용하거나 사이트에 WordPress 방화벽 플러그인을 설치하시겠습니까? 이유를 설명해라.

온라인 WordPress WAF(웹 애플리케이션 방화벽) 서비스를 사용하는 것을 선호합니다. 모든 전문가들은 WAF가 해커와 DDoS 공격에 대한 훨씬 더 나은 보안 계층이라고 말합니다. WAF는 악성 코드가 사이트에 도달하기 전에 탐지하고 차단할 수 있습니다. 불행히도 WordPress 플러그인은 내부 에서 웹사이트를 방어하려고 하기 때문에 이를 제공할 수 없습니다.

Q6. WordPress 사이트가 해킹되는 세 가지 주요 원인은 무엇이라고 생각하십니까?

나는 다른 많은 전문가들과 같은 의견을 공유합니다.

  • 안전하지 않은 웹사이트 호스팅,
  • 약하고 추측하기 쉬운 암호 사용,
  • 오래된 WordPress 코어, 테마, 플러그인, PHP 및 기타 소프트웨어.

추가 팁을 추가하는 것이 마음에 들지 않으면 웹 사이트와 비즈니스에 관심이 있다면 nulled 플러그인 및 테마를 설치하지 마십시오.

Q7: WordPress 보안 업계/공급업체가 보안이 중요한 것이 아닌 더 많은 전문가가 고객의 웹사이트를 더 잘 이해하고 보호하도록 돕기 위해 무엇을 할 수 있다고 생각합니까?

간단히 말해서 사용자가 훨씬 쉽게 사용할 수 있도록 해야 합니다. 다음과 같이 할 수 있습니다.

  • 더 쉽고 빠른 보안 도구 구현을 위해 더 많은 마법사 생성,
  • "모범 사례"를 자동으로 구현하여 사용자가 할 일이 많지 않습니다.
  • 경고 시스템을 구현하여 일부 보안 도구가 동일한 사이트에 중복되는 기능으로 설치될 경우 사용자에게 문제에 대해 알려줍니다.

Q8. 기본적으로 WordPress 코어에 포함될 보안 기능 중 하나를 선택할 수 있다면 그것은 무엇이며 그 이유는 무엇입니까?

Windows Defender가 사전 설치된 Windows에서와 같이 최소한 기본 보안 계층을 갖도록 WordPress에 포함된 웹 응용 프로그램 방화벽(WAF) 서비스를 보고 싶습니다.

Q9. 보안 공급업체 및 전문가에게 더 보고 싶은 특정 주제나 콘텐츠가 있습니까?
보안이 침해된 특정 일상적인 상황에 대해 설명하는 초보자를 위한 더 많은 실제 사용 사례를 보고 싶습니다. 꽤 많지만 대부분은 고급 보안 인력을 대상으로 합니다. 그들은 복잡한 언어와 도구를 사용합니다.

Q10. WordPress 보안 뉴스를 최신 상태로 유지할 수 있다고 생각하십니까? 그렇지 않다면 무엇이 문제라고 생각하십니까?
네, 이 모든 세월이 지난 후에 저는 제가 이 일을 하고 있다는 확신이 생겼습니다. 보안 도구 콤보 상자를 테스트하고 신중하게 구축하고 팀의 모든 사람이 보안 모범 사례를 따르도록 하는 데 상당한 시간이 걸렸습니다.