WordPress 사이트 해킹을 방지하는 방법
게시 됨: 2024-05-28WordPress 웹사이트는 전체 웹사이트의 43% 이상을 차지하고 있으며, 이러한 인기로 인해 WordPress는 온라인 공격의 표적이 되었습니다. 즉, WordPress에는 무제한적인 이점이 있는 것처럼 보이지만 해커가 악용할 수 있는 알려진 취약점도 있다는 의미입니다.
그렇기 때문에 WordPress 사이트가 해킹당하지 않도록 적절한 웹 보안 조치를 취하는 것이 좋습니다. 이렇게 하면 모든 민감한 데이터를 보호하고 비즈니스 평판을 유지하며 고객의 신뢰와 충성도를 유지할 수 있습니다.
이 게시물에서는 일반적인 WordPress 해킹 및 취약점을 자세히 살펴보겠습니다. 그런 다음 WordPress 해킹 시도를 방지하는 방법을 보여 드리겠습니다.
WordPress 해킹은 얼마나 흔한가요?
WordPress 핵심 소프트웨어는 매우 안전하며 개발자가 정기적으로 감사합니다. 하지만 콘텐츠 관리 시스템(CMS)의 인기로 인해 CMS는 민감한 정보를 훔치고, 악성 코드를 배포하고, 기타 악의적인 작업을 수행하기 위해 광범위한 네트워크를 구축하려는 해커의 표적이 되었습니다.
WordPress는 오픈 소스 소프트웨어로서 모든 보안 취약점을 공개적으로 알리기 때문에 표적이 될 수도 있습니다. 실제로 WPScan의 데이터베이스에는 현재 49,000개의 WordPress 취약점이 나열되어 있습니다.
이로 인해 악의적인 행위자가 소프트웨어를 더 쉽게 손상시킬 수 있습니다. 또한 초보자 친화적인 플랫폼인 WordPress 사용자 중 다수는 웹사이트를 적절하게 유지하고 보호하는 방법을 모릅니다. 예를 들어 WordPress를 보호하는 가장 좋은 방법 중 하나는 소프트웨어를 최신 상태로 유지하는 것입니다. 그러나 WordPress 사용자 중 80%만이 소프트웨어 버전 6을 설치했습니다.
그리고 그 80% 중 75%만이 최신 WordPress 릴리스를 사용하고 있습니다. 따라서 이러한 웹사이트에서는 WordPress 해킹을 방지하기가 더 어려울 수 있습니다.
WordPress 사이트 해킹을 유발하는 일반적인 취약점
이제 문제에 대해 좀 더 알게 되었으니 WordPress 해킹으로 이어질 수 있는 주요 취약점을 살펴보겠습니다.
1. 오래된 WordPress 코어 및 플러그인
WordPress 핵심 소프트웨어는 새로운 기능, 버그 수정 및 기타 보안 강화 기능으로 정기적으로 업데이트됩니다. 실제로 올해 들어 지금까지 이미 10개의 WordPress 릴리스가 출시되었습니다.
최신 릴리스에는 Core의 버그 수정 2개, 블록 편집기의 수정 12개, 추가 보안 수정 1개가 포함되어 있습니다. 대부분의 플러그인 개발자는 보안 수정 사항이 포함된 최신 버전의 자체 소프트웨어도 출시합니다.
따라서 소프트웨어가 한동안 존재하면 해커는 해당 소프트웨어의 약점을 활용하는 방법을 알아낼 가능성이 더 높습니다. 그런 다음 이를 백도어로 사용하여 웹 사이트에 무단으로 액세스하여 악의적인 활동을 수행할 수 있습니다.
2. 취약한 비밀번호
WordPress 해킹의 또 다른 일반적인 원인은 취약한 비밀번호 선택이며 이는 해결하기 가장 쉬운 원인 중 하나입니다. 나쁜 소식은 많은 사용자가 새 비밀번호를 설정할 때 보안보다 편의성을 우선시한다는 것입니다.
실제로 지난해 가장 많이 사용된 비밀번호는 '123456'으로 450만회 이상 사용됐다. 두 번째로 많이 사용된 비밀번호는 'admin'으로 400만 번 사용되었습니다.
웹사이트 소유자가 강력한 비밀번호의 중요성을 이해하더라도 모든 사용자가 비밀번호를 설정하기 위해 예방 조치를 취하는 것은 아닙니다. 그렇기 때문에 비밀번호 정책 관리자와 같은 도구를 사용하여 WordPress 전반에 걸쳐 사용자를 교육하고 강력한 비밀번호를 시행하는 것이 좋습니다.
3. 안전하지 않고 오래된 테마
WordPress 코어 및 플러그인의 경우와 마찬가지로 안전하지 않고 오래된 테마는 WordPress 해킹의 또 다른 주요 후보입니다. 플러그인과 마찬가지로 오래된 테마에는 보안 패치와 버그 수정이 누락되는 경우가 많습니다.
또한 다른 플러그인 및 핵심 소프트웨어와 호환되지 않아 죽음의 흰색 화면과 같은 WordPress 오류가 발생할 수 있습니다. 게다가 WordPress는 오픈 소스이기 때문에 모든 개발자가 온라인으로 테마를 판매할 수 있습니다.
그렇기 때문에 신뢰할 수 있는 소스와 개발자를 통해 테마를 사용하기에 안전한지 확인하는 것이 중요합니다. 또 다른 긍정적인 신호는 잦은 업데이트인데, 이는 전용 테마 페이지에서 확인할 수 있습니다. 평점을 확인하고 리뷰를 읽는 것도 유용합니다. 활성 설치가 많다는 것은 테마가 사용하기에 안전하다는 것을 나타낼 수도 있습니다.
4. 보안 플러그인 부족
보안 플러그인은 위협을 감지하고 WordPress 공격으로부터 사이트를 보호하는 사전 예방적인 방법을 제공합니다. 더 좋은 점은 대부분의 보안 플러그인이 자동으로 작동한다는 것입니다. 즉, 보안 도구가 구성되면 수동 관리가 거의 또는 전혀 필요하지 않고 백그라운드에서 작동됩니다.
보안 플러그인이 없으면 WordPress 해킹 시도의 일반적인 징후를 놓치기 쉽습니다. 예를 들어 Jetpack Security와 같은 솔루션에는 무차별 대입 보호 기능과 웹 애플리케이션 방화벽(WAF)이 함께 제공되어 사이트에서 의심스러운 트래픽을 필터링합니다.
또한 Jetpack은 실시간 맬웨어 검사는 물론 댓글 및 스팸 차단 기능도 제공합니다. 또한 백업 프로세스를 자동화하고 안전한 원격 위치에 웹사이트 복사본을 저장할 수도 있습니다. 또한 문제가 발생하면 웹사이트를 쉽게 복원할 수 있습니다.
해커가 이러한 취약점을 악용하는 방법
이제 WordPress 해킹으로 이어지는 주요 취약점을 알았으므로 해커가 이러한 취약점을 악용하는 가장 일반적인 방법을 살펴보겠습니다. WordPress 해킹의 기본 방법은 핵심 파일, 플러그인, 테마 또는 로그인 페이지를 대상으로 하는 것입니다.
많은 해커들은 나중에 악용될 수 있는 약점을 식별하기 위해 웹사이트를 자동으로 검사하는 봇을 활용합니다. 또한 해커는 다양한 사용자 에이전트를 사용하여 브라우저 및 운영 체제에 대한 다양한 정보를 웹사이트에 전송함으로써 웹사이트를 속일 수 있습니다.
WordPress 로그인 페이지는 해커가 흔히 사용하는 진입점이기도 합니다. 기본 WordPress 로그인 페이지 URL을 변경하지 않으면 도메인 이름 끝에 "/admin"과 같은 특정 접미사를 추가하여 누구나 해당 URL을 찾을 수 있습니다.
그런 다음 공격자는 사이트에 액세스할 때까지 수백 개의 사용자 이름과 비밀번호 조합을 시도하는 무차별 대입 공격을 활용할 수 있습니다. 그리고 앞서 논의한 것처럼 많은 사용자는 매우 빠르게 해독될 수 있는 취약한 비밀번호에 의존합니다.
해킹된 사이트로 인해 재정적, 평판에 미치는 영향
사람들이 WordPress 해킹 시도를 방지하는 방법을 알고 싶어하는 주요 이유 중 하나는 해킹된 사이트로 인한 재정적 결과를 피하는 것입니다. 당연히 승인되지 않은 사람이 귀하의 사이트에 액세스하면 개인 데이터를 보고, 변조하고, 도용할 수 있습니다.
고객의 개인정보나 결제 세부정보를 파일로 보관하고 있는 경우 데이터 보호법을 위반할 수 있으며, 이는 막대한 처벌을 받을 수 있습니다. 실제로 심각한 GDPR 위반 금액은 최대 2천만 유로에 달할 수 있습니다. 그리고 작년에 미국에서 데이터 유출로 인한 평균 비용은 거의 950만 달러에 달했습니다.
그뿐만 아니라 이러한 유형의 위반은 단순히 개인정보 침해에 불과하며, 이는 오랜 고객의 신뢰와 충성도 상실로 이어질 수 있습니다. 결과적으로 회사의 평판에 영구적인 손상을 입힐 수 있습니다. 특히 브랜드가 덜 확립된 경우에는 복구하기 어려울 수 있습니다.
또한 WordPress 해킹 유형에 따라 웹사이트를 수정하거나 복구하는 데 드는 비용도 생각해야 합니다. 랜섬웨어 공격에 대처하려면 사이트에 다시 액세스하기 위해 많은 비용을 지불해야 할 수도 있습니다. 한편, 중요한 사이트 파일을 정리하거나 교체하는 데는 비용이 많이 들 수 있습니다.
마지막으로 의심스럽거나 위험한 것으로 간주되는 해킹된 웹사이트는 Google 차단 목록에 포함될 수 있습니다. 이런 일이 발생하면 차단 목록에서 사이트를 제거하기가 어려울 수 있습니다. 그리고 귀하의 웹사이트는 이 목록에서 제거될 때까지 검색 결과에 나타나지 않으므로 트래픽과 수익에 타격을 입을 가능성이 높습니다.
워드프레스 사이트 해킹 방지 대책
이제 해킹의 주요 원인과 결과를 알았으니 WordPress 해킹 시도를 방지하는 방법을 살펴보겠습니다.
1. 워드프레스를 최신 상태로 유지하세요
해커가 귀하의 사이트에 무단으로 액세스할 수 있는 주요 방법 중 하나는 이전 버전의 소프트웨어에 있는 알려진 취약점을 악용하는 것입니다. 이는 WordPress 핵심 소프트웨어, 플러그인 및 테마에 적용됩니다.
또한 대부분의 업데이트에는 해커가 공격을 수행하기 어렵게 만드는 버그 수정 및 기타 보안 강화 기능이 포함되어 있습니다. 플러그인과 테마의 경우 비활성화된 소프트웨어도 타겟팅할 수 있으므로 더 이상 사용하지 않는 소프트웨어를 삭제하는 것이 가장 좋습니다.
WordPress 해킹을 방지하려면 새 버전이 출시되는 즉시 웹사이트를 업데이트하는 것이 중요합니다. 일반적으로 업데이트가 준비되면 알림이 표시됩니다. 그러나 WordPress 관리 화면 내에서 대시보드 → 업데이트 로 이동할 수도 있습니다.
여기에서 설치할 새 버전의 WordPress가 있는지 확인하거나 다시 확인 링크를 클릭하여 확인할 수 있습니다. 사용 가능한 새 버전이 있는 경우 업데이트를 실행하기 전에 사이트를 백업하고 먼저 준비 환경에서 업데이트를 수행하는 것이 좋습니다.
더 아래로 내려가면 업데이트가 가능한 모든 테마와 플러그인이 나열되어 있습니다.
플러그인과 테마를 업데이트하려면 각 항목 옆의 확인란을 선택한 다음 플러그인 업데이트 또는 테마 업데이트를 클릭하세요.
마음의 평화를 위해 정기적으로 사용하는 플러그인에 대해 자동 업데이트를 활성화하는 것이 가장 좋습니다. 이렇게 하면 소프트웨어가 오래되고 안전하지 않게 되는 것에 대해 걱정할 필요가 없습니다. 이렇게 하려면 설치된 플러그인 페이지로 이동하면 됩니다.
자동 업데이트 열에서 설치된 각 플러그인 옆에 자동 업데이트 활성화 링크가 표시됩니다. 링크를 클릭하기만 하면 됩니다. 그런 다음 언제든지 마음이 바뀌면 이 기능을 비활성화하세요.
2. 보안 호스팅 제공업체를 선택하세요
WordPress 해킹 시도를 방지하는 방법이 궁금하다면 보안 호스팅 공급자를 선택하는 것이 중요합니다. 사용할 수 있는 웹 호스트가 엄청나게 많지만 일부 솔루션은 알려진 위협으로부터 서버를 보호하기 위해 추가 조치를 취합니다.
고품질 호스팅 서비스에는 의심스러운 트래픽(예: 방화벽)을 모니터링하는 방법도 포함되어야 합니다. 또한 대부분의 우수한 웹 호스트에는 DDoS(분산 서비스 거부) 공격을 방지하고 정기적인 백업을 제공하여 웹 사이트를 신속하게 복구할 수 있는 도구가 마련되어 있습니다.
Bluehost는 다양한 저렴한 요금제를 제공하는 인기 있는 호스팅 제공업체 중 하나입니다.
Bluehost는 또한 포괄적인 보안 기능 제품군을 제공합니다. 실제로 데이터 암호화, 자동 백업, 맬웨어 검사 및 연중무휴 지원을 제공합니다. 더 좋은 점은 선택된 패키지에 DDoS 완화, 웹 애플리케이션 방화벽(WAF) 등이 함께 제공된다는 것입니다.
사용할 웹사이트 호스팅 유형을 고려하는 것도 중요합니다. 공유 호스팅은 가장 저렴한 옵션이지만 사이트 간 오염 위험이 더 높습니다. 이는 이러한 유형의 계획을 사용하면 귀하와 동일한 보안 예방 조치를 취하지 않을 수 있는 다른 웹사이트와 서버를 공유하게 되기 때문입니다.
이를 염두에 두고 전용 또는 가상 사설 서버(VPS) 호스팅을 선택하는 것이 더 나을 수 있습니다.
또는 관리형 호스팅 솔루션은 일반적으로 많은 유지 관리 작업을 처리하므로 웹 사이트에 안전한 환경을 제공합니다. 여기에는 백업, 업데이트 및 기타 보안 구성이 포함되는 경우가 많습니다.
3. 올인원 보안 플러그인 설치
앞서 언급했듯이 WordPress 해킹을 방지하는 가장 편리한 방법 중 하나는 올인원 보안 플러그인을 설치하는 것입니다. 이렇게 하면 구성을 지속적으로 확인하거나 수동으로 업데이트할 필요가 없도록 많은 보안 프로세스를 자동화할 수 있습니다.
다시 말하지만, 사용 가능한 보안 플러그인이 많이 있지만 Jetpack Security는 WordPress 웹사이트에 탁월한 옵션을 제공합니다.
세련된 대시보드와 직관적인 인터페이스를 갖추고 있어 완전 초보자에게도 적합합니다. 들어오는 모든 웹 트래픽을 필터링하기 위해 프리미엄 WAF에 액세스할 수 있습니다. 그리고 의심스러운 것으로 알려진 특정 IP 주소를 차단할 수도 있습니다.
30일 활동 로그 덕분에 웹사이트에서 수행되는 모든 작업을 계속해서 확인할 수 있습니다. 이를 통해 보안 문제 및 오류의 원인을 더 쉽게 식별할 수 있습니다. 또한 Jetpack은 다양한 원클릭 수정 기능을 통해 실시간 맬웨어 검사를 제공합니다.
또한 모든 백업은 Jetpack Cloud에 저장됩니다. 따라서 서버가 손상되더라도 백업은 안전하게 유지됩니다. 또한 현재 고객 주문 세부정보를 유지하면서 사이트를 정확한 시점으로 복원할 수 있습니다.
4. 강력한 비밀번호 정책 시행
WordPress 해킹 시도를 방지하는 방법을 알고 싶다면 WordPress 로그인 절차를 강화하는 또 다른 전략이 있습니다. 이 중 상당 부분에는 강력한 비밀번호 정책을 사용하고 시행하는 것이 포함됩니다.
강력한 비밀번호에는 대문자와 소문자, 숫자, 특수 문자가 혼합되어 있습니다. 그러나 비밀번호가 이러한 매개변수를 모두 충족하더라도 7자 미만이면 즉시 해독될 수 있습니다. 따라서 긴 비밀번호를 선택하는 것이 가장 좋습니다.
하지만 자신의 비밀번호에 대해 이러한 모범 사례를 따른다 하더라도 사이트의 다른 사용자가 취약한 비밀번호를 사용하는 경우 이는 본질적으로 소용이 없습니다. 따라서 Password Policy Manager와 같은 플러그인을 사용하여 WordPress 전체에 강력한 암호를 적용하는 것이 좋습니다.
이런 방식으로 비밀번호 강도를 결정하고, 비밀번호 재설정을 강제하고, 비밀번호가 자동으로 만료되는 기간을 정의할 수 있습니다. 또한 프리미엄 버전을 사용하면 비활성 사용자를 잠그고 무작위 비밀번호를 생성하여 무차별 대입 공격을 방지할 수 있습니다.
5. 2단계 인증(2FA) 구현
강력한 비밀번호는 WordPress 로그인 절차를 강화하는 데 중요한 역할을 하지만 이중 인증을 사용하면 추가 보안 계층을 추가할 수 있습니다. 이 설정을 사용하면 사용자가 사이트에 액세스하려면 두 번째 키(비밀번호도 포함)를 제공해야 합니다.
일반적으로 이 두 번째 키는 사용자 계정과 연결된 이메일 주소나 모바일 장치로 전송되는 고유 코드입니다. 좋은 소식은 WordPress.com 계정을 통해 사이트 로그인을 강제하여 2FA 요구를 포함하여 로그인을 보호할 수 있다는 것입니다. 이는 Jetpack의 보안 인증 기능을 통해 수행할 수 있습니다.
이렇게 하면 해커가 비밀번호와 사용자 이름을 검색하는 데 성공하더라도 두 번째 키(일반적으로 실시간으로 생성됨)를 입력할 수 없습니다.
6. 파일 및 디렉터리 권한 보호
WordPress 웹사이트는 어떤 사용자가 액세스하고 편집할 수 있는지를 결정하는 컨트롤이 포함된 다양한 파일과 디렉터리로 구성됩니다. 이러한 권한이 없으면 사이트에 액세스할 수 있는 사람은 누구나 파일을 보고 수정할 수 있습니다.
이는 보안 문제가 될 수 있으며, 특히 피해를 입힐 수 있는 악의적인 행위자가 사용자 계정을 탈취하는 경우 더욱 그렇습니다. cPanel을 사용하거나 FTP(파일 전송 프로토콜)를 통해 사이트에 액세스하는 경우 WordPress 파일 및 디렉터리를 본 적이 있을 것입니다.
일반적으로 WordPress의 올바른 파일 권한 값은 파일의 경우 644, 폴더의 경우 755입니다. 그러나 wp-config.php 파일 및 .htaccess 파일의 경우처럼 파일을 더 안전하게 보호하고 싶은 경우가 있습니다.
이러한 파일을 덜 허용적으로 만들려면 값을 640 또는 600으로 변경할 수 있습니다. 실제로 파일을 더 잠그려면 444 값을 선호할 수도 있지만 이렇게 하면 파일에 액세스해야 하는 플러그인이 제한될 수 있습니다. (많은 캐싱 플러그인처럼).
7. SSL 인증서 설치
SSL(Secure Sockets Layer) 프로토콜은 신용 카드 데이터와 같은 민감한 정보의 전송을 처리하는 웹사이트에 추가 보안 계층을 제공합니다. SSL 인증서를 사용하면 데이터가 암호화됩니다. 즉, 해커가 가로채더라도 읽을 수 없는 상태로 유지됩니다.
또한 SSL 보안은 웹사이트의 소유권을 확인하여 해커가 웹사이트의 가짜 버전을 만드는 것을 방지합니다. 따라서 신뢰성을 구축하고 고객 신뢰를 높이는 데에도 도움이 될 수 있습니다.
좋은 소식은 많은 웹 호스팅 제공업체가 호스팅 서비스의 일부로 무료 SSL 인증서를 제공한다는 것입니다. 또는 Let's Encrypt와 같은 유효한 인증 기관에서 SSL 인증서를 구입할 수 있습니다.
귀하의 사이트를 보호해 드립니다. 당신은 사업을 운영합니다.
Jetpack Security는 실시간 백업, 웹 애플리케이션 방화벽, 맬웨어 검사, 스팸 방지 등 사용하기 쉽고 포괄적인 WordPress 사이트 보안을 제공합니다.
사이트 보안8. 웹 애플리케이션 방화벽(WAF) 설치
WordPress 해킹을 방지하는 또 다른 인기 있는 방법은 웹 애플리케이션 방화벽을 설치하는 것입니다. 이를 통해 들어오는 모든 트래픽을 필터링하고 의심스러운 IP 주소를 차단할 수 있습니다.
이는 장벽처럼 작동하는 예방 조치이므로 해커가 귀하의 웹사이트에 접근할 수도 없다는 확신을 가질 수 있습니다. 그리고 Jetpack Security를 사용하면 이 추가된 보안 계층에 액세스하고 이에 대한 특정 규칙을 구성할 수 있습니다.
Jetpack의 방화벽을 활성화하려면 먼저 Jetpack Scan을 포함하는 계획이 필요합니다. 그런 다음 Jetpack → 설정으로 이동하세요. 그런 다음 방화벽 섹션까지 아래로 스크롤하고 토글 버튼을 사용하여 방화벽을 활성화하고, 특정 IP를 차단하고, 특정 IP를 허용합니다.
IP를 차단하거나 허용하려면 관련 상자에 전체 IP 주소를 입력해야 합니다. 그런 다음 차단 목록 저장 또는 허용 목록 저장을 클릭합니다.
9. 정기적으로 사이트의 취약점을 검사하세요.
WordPress 해킹 시도를 방지하는 방법이 궁금하다면 정기적인 취약점 검사를 설정하는 것도 좋은 생각입니다. 이렇게 하면 24시간 내내 보호에 액세스하고 잠재적인 위협을 신속하게 탐지할 수 있습니다.
Jetpack Security는 최신 위협을 포착하는 WAF 및 실시간 맬웨어 검사 덕분에 연중무휴 24시간 보호 기능을 제공합니다. 그러나 예산이 부족하다면 실시간 백업 및 스팸 방지와 같은 Jetpack Security의 추가 이점 없이 이러한 기능에만 액세스할 수 있는 Jetpack Scan을 시작하는 것이 좋습니다.
Jetpack의 WAF 및 맬웨어 서비스는 계속 사용할 수 있습니다. 그리고 사이트에 문제가 있는 경우 이메일로 즉시 알림을 받게 됩니다. 최고의 기능 중 하나는 모든 검사가 Jetpack의 자체 서버에서 수행되므로 사이트가 다운되더라도 사이트에 계속 액세스할 수 있다는 것입니다.
이 플러그인은 플러그인, 테마, 선택한 파일 및 디렉터리의 모든 취약점을 식별합니다. 기본적으로 매일 검사를 받지만 수동으로 검사를 시작할 수도 있습니다. 또한 대시보드에서 직접 스캔 결과를 볼 수 있으며 대부분의 문제에 대해 원클릭 수정을 활성화할 수 있습니다.
10. 비활성 사용자 계정 제거
비활성 사용자 계정은 웹사이트를 폐쇄하고 보안 문제를 일으킬 수 있습니다. 일반적으로 사용자가 지난 90일 동안 자신의 계정에 로그인하지 않은 경우 이는 사용자 활동이 없다는 분명한 신호입니다.
보안 문제를 방지하려면 이러한 계정을 제거하는 것이 중요합니다. 예를 들어, 오래된 계정에는 오랫동안 변경되지 않은 비밀번호가 포함되어 있어 다크웹에 유출될 가능성이 더 높습니다.
그런 다음 WordPress 대시보드에 로그인하고 사용자 → 모든 사용자로 이동합니다. 원하는 경우 사용자 프로필 아래에서 비밀번호 재설정 링크를 보낼 수 있습니다. 또는 삭제를 클릭하고 다음 페이지에서 작업을 확인하세요.
사용하지 않는 계정을 정의하는 방법에 대한 특정 경계를 결정하는 것은 귀하에게 달려 있습니다. 계정을 만들었지만 기부를 하거나 제품을 구매한 적이 없는 사용자가 있을 수 있습니다. 또는 지속적으로 자신의 계정을 활용한 적이 없는 사용자가 있을 수도 있습니다.
많은 수의 사용자를 상대하고 있고 그들이 얼마나 활동적인지 확실하지 않은 경우 언제든지 WP Last Login과 같은 무료 플러그인을 설치하여 이를 추적할 수 있습니다. 이 도구를 사용하면 WordPress 대시보드에서 사용자의 마지막 로그인 날짜를 직접 볼 수 있습니다.
11. 사용자 활동 추적 및 모니터링
WordPress 해킹 시도를 방지하는 또 다른 좋은 방법은 사용자 활동을 추적하고 모니터링하는 것입니다. 이렇게 하면 웹사이트에서 수행되는 모든 작업을 완벽하게 기록할 수 있습니다.
예를 들어, 사용 중인 도구에 따라 사용자가 업데이트를 실행하고, 플러그인을 설치하고, 이미지를 업로드하고, 댓글을 남기는 등의 작업을 확인할 수 있습니다. 이를 통해 사이트 관리가 훨씬 더 투명해지고 복구 및 디버깅 속도가 빨라질 수 있습니다.
좋은 소식은 Jetpack Security를 사용하는 경우 사용자 작업을 저장하는 활동 로그에 액세스할 수 있다는 것입니다. 그 외에도 작업을 수행한 사용자와 해당 작업이 발생한 정확한 시간을 포함하여 이벤트에 대한 자세한 정보를 얻을 수 있습니다.
더 좋은 점은 Jetpack 무료 버전을 사용하더라도 사이트에서 최근에 진행된 20개의 이벤트를 볼 수 있다는 것입니다. 이렇게 하면 사용자의 로그인 시도에 대한 알림도 받을 수 있으므로 무차별 대입 공격을 방지하는 데 도움이 될 수 있습니다.
12. 기본 "admin" 사용자 계정의 이름을 바꿉니다.
앞서 논의한 것처럼 기본 로그인 페이지 URL(나중에 설명)을 변경하지 않으면 해커가 사이트에 쉽게 액세스할 수 있습니다. 그러나 또한 많은 사람들은 계속해서 WordPress 계정의 사용자 이름으로 “admin”을 유지합니다.
이는 해커가 귀하의 비밀번호만 정확하게 추측하면 되며 관리자 계정에는 제한이 없기 때문에 귀하의 웹사이트를 완전히 제어할 수 있다는 것을 의미합니다. 따라서 WordPress 해킹을 방지하려면 기본 "관리자" 계정 이름을 변경하는 것이 가장 좋습니다.
이렇게 하려면 WordPress 대시보드에서 사용자 → 새 사용자 추가 로 이동하세요. "admin"이 아닌 고유한 사용자 이름을 포함하여 모든 필수 필드를 작성하세요. 그런 다음 역할 드롭다운 메뉴를 사용하여 관리자 를 선택합니다.
이제 페이지 하단의 새 사용자 추가를 클릭하세요. 이제 모든 사용자 화면에 방금 생성한 새 관리자 계정이 표시됩니다.
이 시점에서 현재 계정(이전 관리자 계정)에서 로그아웃하고 새 관리자 계정 자격 증명을 사용하여 WordPress에 다시 로그인해야 합니다. 그런 다음 사용자 → 모든 사용자 화면으로 돌아가서 이전 관리자 계정 아래에 있는 삭제 링크를 클릭하세요.
그러나 모든 게시물과 페이지를 새 관리자 계정에 귀속시키는 것이 중요합니다. 그렇지 않으면 이전 관리자 계정을 사용하여 생성된 모든 콘텐츠가 삭제됩니다.
따라서 모든 게시물에 속성 지정 상자를 선택하고 드롭다운 상자를 사용하여 새 관리자를 선택해야 합니다.
그런 다음 삭제 확인을 클릭하세요.
13. wp-admin/ 및 wp-login.php 숨기기
WordPress 해킹 시도를 방지하기 위해 wp-admin 및 wp-login.php 페이지를 숨길 수도 있습니다. 기본적으로 WordPress는 도메인 이름과 wp-login.php 접미사를 결합한 표준 로그인 URL을 사용합니다.
이 기본 구조는 하위 도메인과 하위 디렉터리를 사용해도 동일하게 보입니다. 따라서 해커는 검색창에 이를 입력하여 WordPress 로그인 페이지로 바로 이동할 수 있습니다.
또한 도메인을 wp-admin 접미사와 결합하면 해커가 관리자 로그인 페이지로 연결될 수 있습니다. 따라서 공격자가 사이트에 액세스하기 어렵게 만들려면 로그인 페이지 URL을 변경하는 것이 가장 좋습니다.
이를 수행하는 가장 쉬운 방법은 wp-admin 디렉토리와 / wp-login.php 페이지에 액세스할 수 없게 만드는 WPS Hide Login과 같은 플러그인을 사용하는 것입니다.
이 도구를 사용하면 이를 신뢰할 수 있는 사용자에게만 공유하는 맞춤 로그인 URL로 바꿀 수 있습니다. 하위 도메인 및 하위 폴더에서도 작동합니다. 그러나 플러그인을 사용하고 싶지 않다면 로그인 페이지 URL을 수동으로 숨길 수도 있습니다.
14. /wp-config.php 파일을 보호하세요
WordPress 해킹 시도를 방지하는 또 다른 일반적인 방법은 wp-config.php 파일을 보호하는 것입니다. 이는 데이터베이스 연결 세부 정보 및 WordPress 보안 키와 같은 WordPress 설치에 대한 정보를 포함하므로 가장 중요한 WordPress 파일 중 하나입니다.
나쁜 소식은 WordPress에 파일의 기본 위치가 있어 해커가 더 쉽게 찾을 수 있다는 것입니다. 따라서 이 폴더를 사이트의 루트 디렉터리 외부로 이동할 수 있습니다(일반적으로 / public_html 라벨이 지정됨). 그리고 그것은 여전히 작동할 것입니다.
또한 실제 소유자만 파일을 편집할 수 있도록 파일 권한을 제한할 수도 있습니다. 이렇게 하려면 루트 폴더에도 있는 .htaccess 파일을 다운로드해야 합니다.
그런 다음 일반 텍스트 편집기에서 파일을 열고 다음 코드를 추가합니다.
<files wp-config.php> order allow,deny deny from all </files>
이제 업데이트된 .htaccess 파일을 루트 폴더에 다시 업로드하여 wp-config.php 파일에 대한 액세스를 거부할 수 있습니다.
15. 사이트를 정기적으로 백업하세요
웹사이트가 해킹당하면 당황하기 쉽습니다. 하지만 웹사이트의 최신 사본이 있으면 문제를 즉시 해결할 수 있습니다.
데이터베이스의 수동 백업을 생성할 수도 있지만 가장 간단한 방법은 Jetpack Security와 같은 보안 플러그인을 설치하는 것입니다. 이렇게 하면 전용 WordPress 백업 솔루션인 Jetpack VaultPress Backup에 액세스할 수 있습니다.
플러그인은 구매가 완료되자마자 사이트의 첫 번째 백업을 생성합니다. 모든 고객 및 주문 데이터는 물론 이미지, 페이지 콘텐츠 등을 백업하므로 전자상거래 상점에 이상적인 선택입니다.
가장 좋은 점은 내장된 웹 호스팅 옵션과 달리 백업이 Jetpack의 원격 클라우드 저장소에 저장된다는 것입니다. 즉, 로그인할 수 없는 경우에도 사이트의 깨끗한 버전을 복원할 수 있습니다. 게다가 사이트를 복원하려는 정확한 시점을 선택할 수도 있습니다.
Jetpack Security가 마음의 평화를 위해 WordPress 보안을 처리하는 방법
이제 WordPress 해킹 시도를 방지하는 방법을 알았으므로 Jetpack Security가 귀하의 웹사이트를 보호하여 마음의 평화를 누릴 수 있는 방법은 다음과 같습니다.
연중무휴 맬웨어 및 취약점 검사
Jetpack Security가 WordPress 해킹을 방지하는 데 도움이 되는 주요 방법 중 하나는 실시간 맬웨어 및 취약점 검색입니다. 맬웨어는 데이터를 훔치거나 삭제하고, 핵심 기능을 탈취하고, 컴퓨터 활동을 감시하는 데 사용할 수 있는 악성 소프트웨어를 말합니다.
하지만 Jetpack Scan은 맬웨어 탐지에만 국한되지 않습니다. 또한 핵심 WordPress 파일, 오래되었거나 안전하지 않은 플러그인, 웹 기반 셸에 대한 의심스러운 변경 사항을 식별하여 해커가 서버에 대한 전체 액세스 권한을 부여할 수 있습니다.
Jetpack Security를 설치하면 첫 번째 검사가 즉시 시작됩니다. 그런 다음 Jetpack → 보호 → 스캔 으로 이동하여 결과를 확인하세요(먼저 WordPress.com 계정을 인증해야 할 수도 있음).
여기에서 수동으로 새 검사를 시작하고 검사 결과를 볼 수도 있습니다. 게다가, 활성 위협이 있는지 여부도 확인할 수 있습니다. 그리고 식별된 위협이 두 개 이상인 경우 심각도에 따라 우선순위가 지정됩니다.
위협이 감지되면 즉시 이메일 알림을 받게 되며 WordPress 대시보드 내에서 위협을 볼 수 있습니다. 게다가 Jetpack은 문제 해결을 위한 원클릭 솔루션을 제공하는 경우가 많습니다.
실시간 백업 및 원클릭 복원
백업을 사용하면 WordPress 해킹으로부터 신속하게 복구할 수 있습니다. 백업이 없으면 문제를 해결하기 위한 패치를 식별하려고 시도하는 동안 웹 사이트가 한동안 다운될 수 있습니다. 이는 귀하의 웹사이트 트래픽과 수익에 영향을 미칠 수 있습니다.
Jetpack Security를 사용하면 영향을 받는 웹사이트를 깨끗한 최신 버전으로 간단히 교체할 수 있습니다. Jetpack의 실시간 백업은 클라우드에 저장되므로 전체 서버가 영향을 받더라도 복제된 웹사이트에 계속 액세스할 수 있습니다.
게다가 Jetpack은 WooCommerce 주문, 제품 및 데이터베이스도 백업하므로 데이터 보호법을 준수하는 데 도움이 됩니다. 그리고 단 한 번의 클릭으로 복원 과정을 수행할 수 있습니다.
무차별 대입 공격 보호
무차별 대입 공격은 2022년 미국 기업이 직면한 사이버 공격의 주요 원인 중 하나로 선정되었습니다. 또한 2023년 현재 전 세계적으로 랜섬웨어 공격의 5번째 주요 원인으로 선정되었습니다.
무차별 대입 공격은 반복되는 서버 요청으로 인해 사이트 속도를 저하시키지만 실제 목표는 해커가 악성 코드나 스크립트를 삽입할 수 있는 중요한 사이트 파일에 액세스하는 것입니다. 하지만 Jetpack Security를 사용하면 대시보드를 통해 이러한 성격의 공격을 차단할 수 있습니다.
여러분이 해야 할 일은 Jetpack → 설정 으로 이동하여 관련 섹션까지 아래로 스크롤하면 기능을 활성화 또는 비활성화하는 토글이 표시됩니다.
실제로 Jetpack은 웹사이트 전체 기간 동안 평균 5,193회의 무차별 대입 공격을 차단합니다. 악성 IP가 귀하의 사이트에 도달하기도 전에 자동으로 차단합니다. 또한 알려진 IP를 허용하여 오탐지를 줄일 수 있습니다.
30일 사용자 활동 로그
WordPress 해킹 시도를 방지하는 방법을 알고 싶다면 활동 로그가 탁월한 솔루션입니다. 이렇게 하면 플러그인 및 테마 업데이트, 설정 수정, 사용자 로그인 등 사이트에서 수행되는 모든 작업을 추적할 수 있습니다.
Jetpack Security를 사용하면 최대 30일 동안 사용자 작업을 저장할 수 있으므로 사이트 관리 작업을 단순화하고 디버깅 및 복구 효율성을 높일 수 있습니다. 또한 타임스탬프, 사용자 및 설명을 포함하여 각 이벤트에 대한 자세한 정보를 얻을 수 있습니다.
간편한 원클릭 수정
Jetpack Security가 WordPress 해킹을 방지하는 데 도움이 되는 또 다른 방법은 간편한 원클릭 수정입니다. 이는 Jetpack을 문제 식별에는 적합하지만 해결 방법을 제공하지 않는 다른 보안 플러그인과 차별화합니다.
이는 방문자가 콘텐츠에 액세스할 수 없어 웹사이트가 장기간 다운타임을 겪게 되어 수익을 창출할 수 없음을 의미합니다. 좋은 소식은 Jetpack Security를 사용하면 실시간 취약점 검색에 액세스할 수 있다는 것입니다.
앞서 언급했듯이 Jetpack → Protect → Scan 으로 이동하여 검사를 수행할 수 있습니다. 여기에서 스캔 결과도 볼 수 있습니다. 또한 감지된 위협에 대한 자세한 정보를 찾을 수 있으며 모두 수정 버튼을 클릭하여 문제를 일괄 해결할 수도 있습니다.
댓글 및 양식 스팸 방지
Akismet은 가장 인기 있는 스팸 방지 플러그인 중 하나이며 몇 가지 인상적인 기능을 제공합니다. 시간당 평균 750만 건의 스팸 제출을 차단합니다. Jetpack Security(및 기타 선택 Jetpack 계획)를 사용하면 댓글 스팸을 차단하고 스팸을 생성하는 플러그인에 액세스할 수 있습니다.
당연히 스팸은 처리하기가 매우 어려울 수 있으며 고객의 관점에서 귀하의 웹사이트를 덜 신뢰할 수 있고 신뢰할 수 없게 만들 수 있습니다. 그러나 장치를 손상시키고 민감한 데이터를 훔치는 데 사용될 수있는 위험한 맬웨어가 포함될 수 있습니다.
기본적으로 주석 섹션 및 양식 필드를 사용하면 누구나 귀하의 웹 사이트와 상호 작용할 수 있습니다. 따라서 이러한 영역은 스팸 공격의 주요 목표 인 경향이 있습니다.
다행히도 대시 보드에서 JetPack → Akismet 안티 스팸 으로 이동 하여이 문제를 해결할 수 있습니다.
여기서는 스팸 시도가 얼마나 차단되었는지 확인하고 누락 된 스팸 및 오 탐지를 고려한 정확도 등급을 볼 수 있습니다.
또한 자동 스팸 필터링을 설정하여 최악의 스팸 인스턴스를 볼 필요가 없습니다. 또는 모든 스팸 조각이 검토 할 수있는 전용 스팸 폴더로 향하도록 설정을 구성 할 수 있습니다.
5 백만+ 사이트 웹 사이트 보안을위한 Jetpack Trust Jetpack
WordPress는 주로 웹 사이트를위한 안전한 플랫폼으로 간주되지만 해커에게는 매력적인 대상이기도합니다. 이를 염두에두고 WordPress 해킹을 방지하기위한 조치를 취하는 것이 중요합니다. 이렇게하면 고객 데이터를 더 잘 보호하고 좋은 평판을 유지할 수 있습니다.
강력한 암호, 2 단계 인증 및 웹 응용 프로그램 방화벽은 모두 훌륭한 방어입니다. 그러나 안전한 웹 호스트를 선택하고 소프트웨어를 최신 상태로 유지하며 정기적으로 사이트를 스캔해야합니다.
JetPack 보안을 사용하면 다양한 온라인 공격을 방지하는 올인원 보안 플러그인에 액세스 할 수 있습니다. 백업을 자동화하고, 사용자 활동을 모니터링하고, 댓글을 차단하고 스팸을 구성하며, 한 번의 클릭 수정에 액세스하는 데 도움이됩니다. 오늘 시작해보세요!