WordPress 보안 설문 조사에 따르면 우리는 위험을 알고 있는데 왜 조치를 취하지 않는 걸까요?
게시 됨: 2024-09-09WordPress는 세계에서 가장 인기 있는 콘텐츠 관리 시스템이지만 이러한 인기로 인해 상당한 위험이 따릅니다. WordPress 사이트를 운영하는 경우 생각보다 공격에 더 많이 노출됩니다.
Melapress 2024 보안 설문 조사 결과 응답자가 운영하는 WordPress 사이트 중 놀랍게도 72%가 적어도 한 번의 보안 위반을 경험했습니다. 이 숫자는 경각심을 불러일으키는 신호이며 사이트 보호가 선택 사항이 아니라 필수임을 보여줍니다.
이 기사에서는 보안 설문조사 결과 중 일부에 대해 논의하고 웹사이트가 또 다른 통계가 되지 않도록 보호하기 위해 취할 수 있는 간단한 조치를 권장합니다.
숫자는 거짓말을 하지 않습니다. 이제 행동해야 할 때입니다.
WordPress 사이트의 72% 이상이 해킹당했습니다.
귀하의 사이트가 아직 공격을 받지 않았다면 운이 좋다고 생각하십시오. 그러나 안주하지 마십시오.
해커는 자동화된 도구를 사용하여 WordPress 사이트의 취약점을 검색합니다. 즉, 사용자가 자신도 모르는 사이에 표적이 될 수 있습니다. 취약한 비밀번호, 오래된 플러그인 또는 패치가 적용되지 않은 WordPress 버전은 사이버 범죄자에게 열린 문과 같습니다.
이 걱정스러운 통계에 포함되지 않으려면 사이트가 보호되어 있는지 확인하세요. WordPress 버전과 플러그인을 정기적으로 업데이트하는 것이 좋은 첫 번째 단계이지만 이는 단지 하나의 레이어일 뿐이라는 점을 기억하세요.
귀하의 보안 문제가 귀하의 행동과 일치합니까?
취약한 비밀번호, 오래된 플러그인, 2FA 누락 등 WordPress 사이트 관리에 수반되는 보안 위험을 이미 알고 있을 수도 있지만 아는 것만으로는 충분하지 않습니다.
우리는 항상 우려 사항과 모범 사례의 실제 구현 사이에 격차가 있음을 보아 왔습니다. 위험을 인지하는 것은 쉽지만 많은 사이트 소유자는 너무 늦을 때까지 조치를 취하지 않습니다. 과거에 우리 스스로도 이런 일을 저지른 적이 있으며 이는 재미있는 경험이 아닙니다.
Melapress의 설문조사 결과를 확인해 보세요.
우리 중 상당수가 보안 위험을 인지하고 있으며 자신을 보호하기 위해 무엇을 해야 하는지 알고 있지만 항상 해야 할 일을 하는 것은 아닙니다.
조치를 취하기 전에 상황이 잘못될 때까지 기다리지 마십시오. 다음은 Melapress의 창립자인 Robert Abela가 설문 조사 결과에 대해 생각한 내용을 인용한 것입니다.
올해 WordPress 보안 설문 조사 결과는 고무적인 추세와 더 많은 관심이 필요한 영역을 모두 강조합니다. 많은 관리자가 이중 인증과 같은 강력한 보안 조치를 채택하고 있는 것은 분명합니다. 그러나 팀을 교육하고 포괄적인 복구 계획을 구현하는 데에는 아직 해야 할 일이 남아 있습니다. 저는 이러한 통찰력이 우리와 다른 많은 사람들이 이러한 문제를 해결하는 솔루션을 개발하는 데 도움이 될 것이라고 믿습니다.
로버트 아벨라, 멜라프레스 창립자
WordPress 사이트 보안을 위한 실제 권장 사항
우리는 WP Mayor에서 WordPress 보안에 대해 몇 차례 글을 썼으며 Robert 자신을 포함한 보안 전문가들이 의견과 팁을 공유했습니다. WordPress 사이트를 보호하기 위한 실용적인 권장 사항은 다음과 같습니다.
WordPress 보안 플러그인 설치
이제 보안에 대해 스스로 조치를 구현할 만큼 충분히 알고 있다고 느낄 수도 있지만 WordPress 사이트 운영의 중요한 부분을 호스트나 다른 제3자에게 아웃소싱하는 것이 항상 최선의 아이디어는 아닙니다.
기본 사항을 숙지하고 몇 가지 보안 조치를 구현하는 데 시간을 투자하는 것이 좋습니다. 한 단계 더 나아가려면 문제가 발생할 경우를 대비해 복구 계획을 세우는 것이 좋습니다. 현실을 직시하면 문제가 발생할 확률이 높기 때문입니다.
시작하려면 필수 WordPress 보안 플러그인에 대한 권장 사항과 보안 플러그인 비교를 확인하세요.
2단계 인증(2FA) 구현
WordPress 로그인 경험에 추가 보안 계층을 추가하는 것이 필수적입니다. 2단계 인증을 의미하는 2FA를 사용하면 비밀번호가 유출되더라도 두 번째 요소(예: Google Authenticator와 같은 전화 앱 또는 SMS로 전송된 코드)가 무단 액세스를 차단합니다.
Melapress 자체에서는 이 작업을 무료로 수행하는 데 도움이 되는 WP 2FA라는 플러그인을 제공합니다. 둘러보고 싶다면 무료로 사용할 수 있는 몇 가지 다른 2FA 보안 플러그인도 있습니다.
어떤 플러그인을 선택하든 이는 WordPress 사이트 보안을 시작하는 가장 간단하고 중요한 조치 중 하나입니다.
비밀번호 정책을 강화하세요
취약한 비밀번호는 해커들이 흔히 사용하는 진입점이며, 여전히 많은 사이트 소유자가 기본 비밀번호 또는 기본 비밀번호를 사용하고 있다는 사실에 놀랐습니다. 이름이나 생년월일을 비밀번호로 사용하던 시대는 지났습니다. 해커들이 좀 더 어렵게 만들 필요가 있습니다.
길이, 복잡성, 만료 정책을 포함하여 모든 웹사이트 사용자를 위한 강력한 비밀번호 지침을 수립하는 것은 사이트 보안을 유지하는 데 필수적입니다.
WordPress 자체는 비밀번호에 대한 모범 사례 목록을 제공하며, 우리는 여러분이 주목해야 할 몇 가지 다른 비밀번호 보안 지침을 통해 이를 한 단계 더 발전시켰습니다.
위에 표시된 것과 같은 비밀번호를 어떻게 기억하는지 궁금하시다면, 그렇지 않습니다. 1Password와 같은 비밀번호 관리자를 사용하여 모든 로그인 정보를 저장하면 비밀번호 하나만 기억하면 됩니다.
CAPTCHA를 사용하여 스팸 방지
CAPTCHA는 스팸봇이 양식을 넘치게 하거나 사이트를 공격하는 것을 차단하는 데 매우 효과적입니다. 로그인 또는 댓글 섹션에 CAPTCHA를 추가하면 원치 않는 트래픽을 크게 줄일 수 있습니다.
CAPTCHA 4WP는 이를 수행하기 위한 풍부한 기능을 제공하는 플러그인 중 하나입니다. 더 좋은 점은 WooCommerce, Contact Form 7 등과의 기본 통합 기능이 있다는 것입니다. WordPress 사이트에 CAPTCHA를 구현하는 방법에 대한 전체 가이드를 확인하세요.
양식 보안
양식은 많은 WordPress 사이트의 일반적인 취약점입니다. 위에서 언급한 CAPTCHA를 사용하여 적절한 입력 유효성 검사를 보장하고 양식 제출 속도를 제한하는 것은 모두 무차별 공격과 스팸 공격으로부터 보호하는 데 도움이 될 수 있습니다.
우리는 해커가 웹 양식을 사용하여 사이트에 진입하는 방법을 설명하고 WordPress 양식을 보호하여 사이트의 데이터를 안전하게 유지하는 방법을 보여주는 WordPress 양식 보안에 대한 궁극적인 가이드를 구성했습니다.
비밀번호 보호 페이지
비밀번호로 보호되는 WordPress 페이지는 덜 알려진 솔루션일 수 있으며 실제로 모든 사람이 이를 필요로 하는 것은 아닙니다.
특정 사람에게만 표시되어야 하는 페이지와 같이 사이트에 민감한 콘텐츠가 있는 경우 비밀번호 보호를 설정하여 필요한 사람만 액세스할 수 있도록 하세요.
사용자 행동 추적
보안 조치를 구현하는 것이 첫 번째 임무입니다. 작업이 완료되면 이제 사용자(및 잠재적인 해커)가 사이트에서 어떻게 행동하는지 추적할 차례입니다. 여기가 활동 로그가 작동하는 곳입니다.
살펴보아야 할 활동 로그에 대한 3부작 시리즈가 있습니다.
- WordPress 감사 로그가 사용자 책임을 향상시키는 방법
- WordPress 활동 로그를 사용하여 기술 사이트 문제 해결
- WordPress 보안에서 로그의 중요한 역할
위반을 기다리지 마십시오
Melapress의 설문조사 데이터는 WordPress 사이트를 관리하는 모든 사람에게 경각심을 불러일으키는 신호입니다. 플러그인 업데이트, 로그인 양식 보안, 2FA 사용 등 지금 조치를 취하는 것이 사이트가 또 다른 통계가 되는 것을 방지하는 가장 좋은 방법입니다.
우리는 수년 동안 보안 조언을 위해 Melapress 팀에 의존해 왔으며 그럴 만한 이유가 있습니다. 2019년 Melapress 창립자 Robert Abela와의 인터뷰를 통해 그들의 배경과 보안에 대한 그들의 조언을 신뢰할 수 있는 이유에 대해 알아볼 수 있습니다.
마지막으로, 사이트가 손상되었다고 생각되는 경우 사이트가 해킹된 후 수행해야 할 5가지 작업은 다음과 같습니다.