OWASP Top 10을 사용하여 WordPress 보안 향상
게시 됨: 2018-08-23WordPress 보안은 WordPress를 처음 사용하고 웹사이트를 소유하는 사람들에게 위협적인 주제가 될 수 있습니다. 그러나 OWASP Top 10 목록 비즈니스와 같은 규정 준수 및 표준을 통해 WordPress 보안을 쉽게 시작할 수 있습니다.
이 문서에서는 OWASP Top 10 목록이 무엇인지 설명합니다. 또한 WordPress 사이트 관리자가 Owasp Top 10 호환 WordPress 웹 사이트를 가질 수 있는 방법을 설명합니다.
OWASP Top 10 목록은 무엇입니까?
OWASP Top 10은 가장 중요한 10가지 웹 애플리케이션 보안 위험 목록입니다. 따라서 규정 준수 표준 자체는 아니지만 많은 조직에서 지침으로 사용합니다. OWASP(Open Web Application Security Project) 조직은 2003년에 첫 번째 목록을 발표했습니다. 이제 그들은 3년마다 업데이트된 목록을 발표합니다.
OWASP Top 10 취약점 및 보안 위험은 무엇입니까?
OWASP는 2017년 가장 최근의 OWASP Top 10 목록을 발표했습니다. 다음은 여기에 포함된 보안 위험 목록입니다.
A1: 주입
A2: 깨진 인증
A3: 민감한 데이터 노출
A4: XML 외부 엔터티
A5: 손상된 액세스 제어
A6: 잘못된 보안 구성
A7: XSS(교차 사이트 스크립팅)
A8: 안전하지 않은 역직렬화
A9: 알려진 취약점이 있는 구성 요소 사용
A10: 불충분한 로깅 및 모니터링
WordPress에 OWASP Top 10 보안 적용하기
이 섹션에서는 WordPress 웹 사이트가 OWASP Top 10 취약점 및 보안 결함에 취약하지 않도록 하기 위해 수행해야 하는 작업을 설명합니다.
A1 주소 지정: WordPress에 삽입
SQL 주입 은 일반적으로 사용자 입력에 대한 위생 처리 부족으로 인해 발생하는 기술 응용 프로그램 취약점입니다. 악의적인 해커는 이를 악용하여 WordPress 데이터베이스의 데이터에 액세스할 수 있습니다.
WordPress 핵심 팀은 일반적으로 며칠 이내에 주입 취약점을 수정합니다. 대부분의 WordPress 플러그인 개발자에게도 동일하게 적용됩니다. 따라서 반응형 개발자가 개발한 잘 유지 관리되는 플러그인을 항상 사용하는 것이 중요한 이유입니다.
WordPress 코어, 플러그인 및 테마가 이러한 유형의 취약성에 취약하지 않은지 확인할 수 있는 유일한 방법은 모든 소프트웨어를 최신 상태로 유지하는 것입니다. 항상 개발자가 릴리스하는 모든 보안 패치를 설치하십시오.
A2 주소 지정: WordPress의 깨진 인증
이러한 유형의 보안 결함은 기술적인 취약성이기도 합니다. 이러한 취약점은 웹 애플리케이션의 잘못된 설계, 계획 부족의 결과입니다. 공격자는 손상된 인증 문제를 악용하여 민감한 데이터에 액세스할 수 있습니다.
개발자만이 이러한 문제를 해결할 수 있습니다. 최신 버전의 WordPress 코어 및 플러그인을 사용하는 한 웹사이트는 이러한 취약점에 취약하지 않습니다. 물론, 항상 잘 유지 관리되는 플러그인을 사용한다고 가정합니다.
인증에 대해 이야기하고 있기 때문에 WordPress 웹 사이트에서 2단계 인증 을 구현해야 함을 상기시키는 것이 좋습니다. 어떤 플러그인을 사용해야 할지 잘 모르겠다면 다음은 최고의 2단계 인증 WordPress 플러그인 목록입니다.
A3 해결: WordPress의 민감한 데이터 노출
민감한 데이터 노출은 상당한 문제가 되었습니다. 데이터 침해는 웹 보안 뉴스에서 거의 매일 다루어집니다. 실제로 GDPR 및 기타 규정 준수 요구 사항은 민감한 개인 데이터를 적절하게 처리하고 저장해야 할 필요성을 크게 강조하고 있습니다.
GDPR에 따르면 민감한 개인 데이터는 식별 가능한 사용자와 관련된 모든 데이터입니다. 전자 상거래 웹 사이트의 경우 고객의 이름, 청구 세부 정보 및 카드 소지자 데이터가 될 수 있습니다. 금융 서비스의 경우 은행 계좌 세부 정보가 될 수도 있고 의료 서비스의 경우 의료 기록이 될 수도 있습니다. IP 주소가 민감한 데이터로 분류될 수 있더라도 WordPress 활동 로그 를 유지할 수 있으므로 웹사이트에서 일어나는 모든 일을 추적할 수 있습니다.
WordPress 웹사이트가 규정을 준수 하는지 확인하려면 WordPress 웹사이트에 민감한 데이터를 저장하는 경우 해당 데이터를 사용해야 하는 사용자만 해당 데이터에 액세스할 수 있어야 하며 물론 데이터를 암호화해야 합니다. 항상 WordPress 사용자 및 역할을 사용하여 사용자의 권한과 민감한 데이터에 대한 액세스를 더 잘 관리하십시오.
WordPress 웹사이트에 민감한 데이터를 저장해야 합니까?
정답은 없습니다. 그것은 모두 설정과 리소스에 달려 있습니다. 소기업은 일반적으로 타사 제공업체에 데이터를 저장하는 것이 좋습니다.
예를 들어 전자 상거래 상점의 경우 Stripe 또는 PayPal과 같은 지불 시스템을 사용하여 카드 소지자 데이터를 처리하고 저장하는 것이 훨씬 쉽습니다. 그들은 이미 인프라를 갖추고 있습니다. 안전한 전자 상거래 사이트를 유지하고 운영하는 방법에 대한 자세한 내용은 WordPress 관리자를 위한 전자 상거래 보안 가이드를 참조하세요.
고객의 이메일 주소와 뉴스레터 목록에도 동일하게 적용됩니다. 이상적으로는 이러한 데이터를 웹사이트에 저장하지 않아야 합니다. Mailchimp와 같은 타사 서비스를 사용하여 WordPress 웹사이트가 아닌 보다 안전하고 안정적인 인프라에 데이터를 저장합니다.
A4 주소 지정: WordPress의 XML 외부 엔터티(XXE)
이것은 기술적인 소프트웨어 취약점입니다. 이것은 응용 프로그램이 XML 파일과 데이터를 잘못 처리할 때 발생합니다. 기본 제공되는 WordPress 설치는 원격 XML 파일을 많이 다루지 않지만 플러그인을 사용할 수는 있습니다.
WordPress 웹사이트가 이러한 유형의 취약점에 취약하지 않은지 확인하려면 최신 버전의 WordPress 코어, 플러그인 및 기타 소프트웨어를 사용하십시오. 항상 유지 관리되는 플러그인을 사용하십시오. 사용 중인 플러그인 중 1년 이상 업데이트되지 않은 플러그인을 변경하는 것을 고려하십시오.
A5 주소 지정: WordPress의 손상된 액세스 제어
이것은 기술 응용 프로그램 취약점입니다. 이 문제는 애플리케이션이 인증된 사용자에게 필요한 제한을 적용하지 않을 때 발생합니다. 따라서 공격자가 이러한 취약점을 악용할 때 민감한 데이터에 액세스할 수 있습니다.
개발자만 이러한 유형의 문제를 해결할 수 있습니다. 웹사이트가 취약하지 않은지 확인하려면 웹사이트에서 사용하는 WordPress 코어, 플러그인 및 기타 소프트웨어를 최신 상태로 유지하세요.
A6 해결: WordPress 웹사이트의 잘못된 보안 구성
보안 구성 오류는 WordPress 웹 사이트에서 매우 일반적입니다. 패치되지 않은 소프트웨어와 기본값 악용은 워드프레스 웹사이트에서 가장 흔히 성공하는 두 가지 공격입니다. 지난 몇 년 동안 WordPress 핵심 팀은 사용자가 이러한 문제를 해결할 수 있도록 많은 노력을 기울였습니다. 예를 들어 WordPress에는 더 이상 많은 WordPress 해킹의 주범이었던 기본 관리자 사용자 이름이 없습니다.
WordPress 웹 사이트에 잘못된 보안 구성이 없는지 확인하려면 모든 기본값을 변경하십시오. 이것은 WordPress, 플러그인 및 사용하는 기타 소프트웨어 및 장치에 적용됩니다. 예를 들어 플러그인에 기본 자격 증명 집합이 있거나 민감한 데이터를 암호로 보호하지 않거나 기본 위치에 저장하는 경우 강력한 인증을 구성하고 기본 경로를 변경합니다. 이는 일반적으로 기본 자격 증명이 있는 인터넷 홈 라우터를 포함하여 사용하는 다른 모든 소프트웨어 및 장치에 적용됩니다.
A7 주소 지정: WordPress의 XSS(교차 사이트 스크립팅)
XSS 라고도 하는 사이트 간 스크립팅은 기술 응용 프로그램 취약점입니다. 가장 일반적인 기술 취약점 중 하나일 것입니다. XSS 취약점은 신뢰할 수 없는 데이터가 검증되지 않고 이스케이프되지 않을 때 발생합니다. 악의적인 공격자가 사이트 간 스크립팅 취약점을 악용하면 로그인한 사용자의 쿠키를 훔쳐 가장할 수 있습니다. 또한 세션을 가로챌 수도 있습니다.
WordPress 코어 팀은 일반적으로 코어에서 보고된 XSS 문제를 며칠 이내에 해결합니다. 따라서 WordPress 웹 사이트 코어, 플러그인 및 테마가 이러한 유형의 취약성에 취약하지 않도록 항상 최신 버전의 소프트웨어를 사용하십시오. 또한 항상 유지 관리되는 플러그인을 사용하십시오.
A8 해결: WordPress의 안전하지 않은 역직렬화
안전하지 않은 역직렬화는 기술 애플리케이션 취약점입니다. 이 취약점은 응용 프로그램이 무결성 검사를 수행하지 않고 신뢰할 수 없는 출처의 직렬화된 개체를 사용할 때 발생할 수 있습니다.
WordPress 핵심 팀은 일반적으로 며칠 이내에 이러한 유형의 문제를 해결합니다. 따라서 WordPress 웹 사이트 코어, 플러그인 및 테마가 이러한 유형의 취약성에 취약하지 않도록 항상 최신 버전의 소프트웨어를 사용하십시오.
A9 해결: WordPress 웹 사이트에서 알려진 취약점이 있는 구성 요소 사용
알려진 취약점이 있는 소프트웨어 및 웹 응용 프로그램을 사용하지 않는 것은 당연한 것처럼 들릴 수 있습니다. 불행히도 그렇지 않습니다. WordPress 재단은 이와 관련하여 많은 일을 하고 있습니다. WordPress 코어에 대한 자동 업데이트가 있습니다. WordPress 플러그인 검토 팀은 한동안 업데이트되지 않은 저장소의 플러그인에 안전하지 않은 것으로 태그를 지정합니다.
그러나 기업에서 가장 안전한 최신 버전의 소프트웨어를 사용하는 것이 항상 쉬운 것은 아닙니다. 많은 사람들이 최신 버전의 WordPress 또는 기타 플러그인과 호환되지 않는 레거시 소프트웨어 및 웹 응용 프로그램을 사용합니다. 그래서 그들은 WordPress와 플러그인의 오래되고 취약한 버전 을 사용해야 합니다. 이러한 경우 가능하면 개발자에게 연락하여 코드를 업데이트하십시오.
웹사이트가 규정을 준수 하는지 확인하려면 항상 최신 버전의 WordPress 코어 및 플러그인을 사용하십시오. 또한 웹사이트에서 사용하지 않는 플러그인, 스크립트 및 테마를 비활성화하고 제거하는 것이 중요합니다. 예를 들어, 많은 사이트 관리자는 기본 WordPress 테마 및 플러그인을 삭제하지 않습니다. 사용하지 않는 경우 삭제하십시오.
이것은 새 소프트웨어에도 적용됩니다. 새 플러그인을 찾을 때 항상 조사하십시오. 새로운 WordPress 플러그인을 찾을 때 해야 할 일에 대한 자세한 내용 은 WordPress 플러그인 선택 방법에 대한 가이드를 읽어보세요.
A10 해결: WordPress의 불충분한 로깅 및 모니터링
로깅 및 모니터링은 WordPress 웹 사이트 및 다중 사이트 네트워크의 보안에 매우 중요합니다. WordPress 활동 로그 는 또한 웹 사이트를 더 잘 관리하고, 문제가 되기 전에 의심스러운 동작을 식별하고, 사용자 생산성을 보장하는 데 도움이 됩니다. WordPress 활동 로그(감사 로그) 보관의 이점에 대해 자세히 알아보세요.
WordPress 웹사이트가 규정을 준수 하는지 확인하려면 가장 포괄적인 WordPress 활동 로그 플러그인인 WP 보안 감사 로그를 설치하세요. 활동 로그에 WordPress 웹 사이트 및 다중 사이트 네트워크에서 일어나는 모든 일을 기록합니다. OWASP Top 10 목록에서 이 부분을 해결하는 방법에 대한 자세한 내용 은 WordPress 활동 로그 플러그인으로 불충분한 로깅 해결 을 참조하세요.
OWASP Top 10으로 OWASP 호환 WordPress 웹 사이트 구축
WordPress 보안은 특히 대규모 설정을 처리할 때 복잡할 수 있습니다. 이 기사에서 강조하는 것처럼 시작하고 기본 사항을 다루는 것은 그리 어렵지 않습니다. 다음 기본 사항을 처리하여 OWASP Top 10 호환 WordPress 웹 사이트를 가질 수 있습니다.
- 최신 버전의 WordPress 코어, 플러그인 및 테마를 사용하고,
- WordPress 코어 및 플러그인의 모든 기본값을 변경했는지 확인하십시오.
- 강력한 비밀번호 정책 시행,
- 2단계 인증 WordPress 플러그인으로 2FA 활성화,
- WordPress 사용자와 역할을 적절하게 사용하고,
- 웹사이트에서 일어나는 모든 일을 WordPress 활동 로그에 기록 하세요.
이 OWASP Top 10 목록을 가이드로 사용하여 WordPress 웹사이트의 보안을 강화하십시오. 자세한 내용은 공식 OWASP Top 10 페이지를 참조하십시오.