릴리스 정보: iThemes Security Pro의 2단계 코드에 암호화 추가

iThemes Security Pro의 최신 릴리스에서는 다중 요소 로그인 인증에 사용되는 2FA(2단계 인증) 코드를 보호하기 위해 암호화를 추가했습니다. 사이트에서 이 새로운 기능을 사용하고 있는지 확인하려면 wp-admin 플러그인 대시보드에서 iThemes Security Pro 버전 7.2.2로 업그레이드하세요.

모든 새 기능과 마찬가지로 새 기능과 이 기능을 추가한 이유에 대한 질문이 있어야 합니다. 이 게시물에서는 변경 사항, 이중 인증에 보안 기능을 추가하기로 선택한 이유, 전체 WordPress 로그인 보안의 현재 상태에 대한 몇 가지 생각에 대해 자세히 설명합니다.

이중 인증 코드 저장소의 변경 사항은 무엇입니까?

iThemes Security는 모바일 앱, 이메일 및 백업 코드의 세 가지 유형의 2단계 인증 방법을 지원합니다. 각각 기능이 조금씩 다릅니다.

Email 2FA를 사용하면 iThemes Security에서 임의의 8자리 코드를 생성하여 이메일로 보냅니다. 이 무작위 코드의 "해시"를 WordPress 데이터베이스에 저장합니다. 해시를 사용하면 데이터베이스에 저장한 것과 동일한 8자리 코드를 제공했는지 확인할 수 있습니다.

그러나 iThemes Security는 해시를 원래의 8자리 임의 코드로 "디코딩"할 수 없습니다. 이것이 바로 iThemes Security에 2FA 이메일을 "재전송"하도록 요청하면 첫 번째 이메일에서 보낸 동일한 2FA 코드를 다시 보내는 대신 새로운 무작위 코드를 생성하는 이유입니다.

이것은 WordPress가 비밀번호가 올바른지 확인하는 방법과 유사합니다. 그러나 비밀번호를 잊어버린 경우 새 비밀번호를 만들어야 합니다. WordPress에서 현재 비밀번호를 보낼 수 없습니다.

모바일 투팩터는 다릅니다. 30초마다 모바일 앱에 새 코드가 나타납니다. iThemes Security가 각각의 새 코드를 데이터베이스에 저장한다는 의미입니까? 아니오, 대신 iThemes Security는 "공유 비밀"의 개념을 사용합니다.

iThemes Security에서 Mobile Two-Factor를 설정하면 귀하의 계정에 고유한 비밀 키가 포함된 QR 코드가 표시됩니다. Two-Factor 앱에서 QR 코드를 스캔하면 비밀 키가 휴대폰에 복사됩니다.

모바일 앱을 사용하여 로그인하면 iThemes Security와 휴대폰이 각각 "공유 비밀" 키를 기반으로 6자리 코드를 생성합니다. 코드가 일치하면 들어갑니다!

해시만 저장하면 되는 이메일 기반 Two-Factor와 달리, 이는 일반 텍스트에 액세스할 수 있는 방식으로 모바일 앱 비밀 키를 저장해야 함을 의미합니다.

WordPress용 2단계 인증 플러그인 및 서비스의 대다수는 WordPress 데이터베이스에 2단계 비밀 키를 저장하고 있으며 iThemes Security도 다르지 않습니다. 이러한 코드는 사용자가 휴대전화나 기기의 인증 앱에서 2FA 코드를 입력할 때 보안 플러그인이 이 코드와 일치하여 로그인을 시도하는 사용자를 인증할 수 있도록 저장해야 합니다.

데이터베이스에 저장된 모든 정보는 데이터베이스 사용자와 비밀번호만 액세스할 수 있기 때문에 데이터베이스에 이러한 코드를 저장하는 것이 가장 안전한 방법이었습니다. 이러한 자격 증명은 WordPress wp-config.php 파일에 저장되며 이를 통해 WordPress 사이트에서 이 데이터베이스의 정보에 액세스할 수 있습니다.

2FA 코드에 파일 시스템 기반 접근 방식을 사용하는 몇 가지 서비스가 있지만 iThemes Security 및 대부분의 기타 주요 2단계 인증 서비스는 보다 안전한 데이터베이스 저장 방법을 선택했습니다.

추가 보안을 위해 사이트의 WordPress 데이터베이스에 저장된 이러한 코드에 암호화를 추가했습니다. 데이터베이스가 다른 취약점으로 인해 손상된 경우 이 추가된 암호화는 다른 취약점과 결합될 수 있는 로그인 기반 공격으로부터 WordPress 사이트를 보호하기 위해 또 다른 보안 계층을 추가합니다.

이 기능을 추가하기로 선택한 이유

워드프레스 웹사이트가 적절하게 보안되어 있다면 이중 인증 코드가 노출될 확률은 낮습니다. 다만, 데이터베이스 접근이 훼손되는 호스팅 제공업체 서비스 수준의 취약점이 존재하거나 플러그인 또는 테마에서 제로데이 취약점이 활발히 악용되는 경우에는 암호화되지 않은 2단계 인증 코드를 다른 취약점과 결합하여 사용할 수 있다. .

iThemes에서 고객의 WordPress 웹사이트 보안은 비즈니스에 매우 중요합니다. 따라서 엣지 케이스의 취약점 시나리오라도 우리의 관심을 끌 때 우리의 첫 번째 대응과 우선 순위는 해당 사이트의 보안입니다.

우리의 목표는 모든 시점에서 WordPress 사이트를 안전하게 만들어 파일과 데이터베이스에서 로그인 절차에 이르기까지 사이트의 모든 측면을 악의적인 공격자로부터 보호하는 것입니다. 공격으로부터 효과적으로 방어하려면 WordPress의 모든 측면이 적절하게 보호되어야 합니다.

이중 인증이란 무엇입니까?

이중 요소 인증(2FA)은 시스템(이 경우 WordPress 사이트)에서 신원을 인증하기 위해 두 가지 확인 방법을 요구하여 액세스 보안을 강화하는 다중 요소 인증(MFA) 유형입니다. 이러한 요소에는 사용자 이름, 이메일 및 비밀번호와 같이 사용자가 알고 있는 정보와 함께 사용자를 인증하거나 본인임을 확인하기 위한 인증 애플리케이션으로 장치에 액세스하는 것과 같은 정보가 포함될 수 있습니다. Google Authenticator와 같은 인증 앱은 분 단위로 변경되는 시간 기반 일회용 비밀번호를 생성합니다.

비밀번호가 충분하지 않습니다.

피싱 공격, 사회 공학 공격, 암호 무차별 암호 대입 공격 및 암호 재사용 문제로 인해 단일 암호 전용 인증이 더 이상 충분하지 않음을 의미하므로 이중 요소 인증이 점점 더 중요해지고 있습니다.

iThemes Security와 같은 혁신자가 생체 인증 및 개인/공개 키 암호화를 사용하여 진정한 암호 없는 로그인을 위한 암호 키를 추가하여 미션 크리티컬 시스템을 보호하기 위해 보다 정교한 인증 프로토콜을 만든 것은 이와 같은 문제 때문입니다. 암호가 깨져 iThemes Security Pro는 암호 키를 사용한 암호 없는 인증을 허용하는 최초의 WordPress 보안 플러그인이었습니다.

암호 키를 사용하면 개인/공개 키 암호화가 암호와 2FA를 모두 사용하지 않게 되므로 이중 인증 코드의 저장은 문제가 되지 않습니다.

WordPress 웹 사이트가 비즈니스 또는 조직에 정말 중요한 역할을 하는 경우 iThemes Security를 ​​사용하면 해당 자산을 보호하기 위한 노력을 보여줍니다. 보안에 민감한 웹 사이트 구현에 대한 조직의 약속을 이해 관계자에게 보여주기 위해 마찰 없는 암호 없는 로그인과 암호화된 2단계 인증 기능을 제공해야 합니다.

아직 iThemes Security Pro를 사용하지 않는 경우 아래 링크를 통해 구매하여 사용 가능한 최고의 WordPress 보안 플러그인의 Pro 버전을 얻을 수 있습니다.

WordPress 보안 및 보호를 위한 최고의 WordPress 보안 플러그인

WordPress는 현재 모든 웹사이트의 40% 이상을 차지하므로 악의적인 의도를 가진 해커의 쉬운 표적이 되었습니다. iThemes Security Pro 플러그인은 WordPress 보안에서 추측을 배제하여 WordPress 웹사이트를 쉽게 보호하고 보호할 수 있습니다. 귀하의 WordPress 사이트를 지속적으로 모니터링하고 보호하는 전임 보안 전문가를 직원으로 두는 것과 같습니다.

iThemes 보안 프로 받기

책임감 있게 문제를 공개한 Calvin Alkan에게 감사합니다 .