워드프레스 관리자를 보호하는 방법에 대한 가이드 - MalCare

게시 됨: 2023-04-13

보안 WordPress 관리자: 매일 1분마다 WordPress 웹사이트에서 90,000회 이상의 해킹 시도가 발생한다는 사실 을 알고 계셨습니까 ? 그것이 의미하는 바는 사이트가 크든 작든 관계없이 웹사이트에 대한 해킹 시도가 임박했다는 것입니다. 보안은 웹사이트의 최우선 관심사 중 하나입니다.

해커는 WordPress 웹사이트를 해킹하기 위해 다양한 기술을 사용하며 무차별 대입 공격이 그러한 기술 중 하나입니다. 그것은 웹 사이트 로그인 페이지에서 일반적으로 사용되는 사용자 이름 암호 의 조합을 시도하는 것과 관련됩니다 .

무차별 대입 공격이 성공하면 WordPress 관리자에 대한 액세스 권한이 부여됩니다. WordPress 관리 영역은 WordPress 기반 웹사이트의 관리 센터입니다. 관리자에 대한 전체 액세스 권한이 있는 사람은 누구나 사이트를 완전히 제어할 수 있습니다. 따라서 WordPress 관리자를 무차별 대입 공격으로부터 보호하는 것이 중요합니다.

WordPress 관리자를 보호하는 방법?

우리는 해킹 시도로부터 사이트의 WordPress 관리자를 보호하는 데 도움이 되는 여러 가지 기술을 제시했습니다.

1. 강력한 암호 사용

웹 사이트 소유자가 저지르는 가장 일반적인 실수 중 하나는 취약한 암호를 사용하는 것입니다. 수년에 걸쳐 암호 크래킹 기술이 성숙해졌습니다. 추측하기 쉬운 비밀번호는 몇 분 안에 해독됩니다. 강력한 암호는 정통한 암호 크래킹 기술로부터 사이트를 보호하는 데 도움이 됩니다. 다음은 WordPress 사이트에 정말 강력한 비밀번호를 만드는 방법 에 대한 훌륭한 기사입니다 .

그러나 강력한 암호를 기억하는 것이 문제가 될 수 있습니다. 이 게시물은 강력한 WordPress 비밀번호를 관리하는 방법을 설명합니다 .

많은 사람들이 저지르는 또 다른 흔한 실수는 여러 사이트에서 동일한 비밀번호를 사용하는 것입니다. 하나의 암호가 손상되면 암호와 연결된 모든 계정이 손상됩니다. 따라서 계정에 다른 암호를 사용하면 이러한 상황을 방지할 수 있습니다.

2. 공통 사용자 이름을 사용하지 마십시오.

WordPress 비밀번호 보안은 WordPress 로그인 자격 증명을 보호하기 위한 중요한 단계입니다. 로그인 자격 증명의 두 번째 구성 요소는 사용자 이름입니다. 사용자 이름이 추측하기 쉬운 경우 해커는 비밀번호에만 집중하면 됩니다.

가장 일반적인 WordPress 사용자 이름 중 하나는 "admin"입니다. 몇 년 전까지 WordPress는 사용자 이름으로 "admin"을 자동 제안했습니다. WordPress에서 "관리자" 추천을 중단했지만 많은 사이트 소유자가 여전히 사용하고 있습니다. "admin"을 사용자 이름으로 사용하여 여러 새 사용자 계정이 생성되고 있습니다. 이 모든 웹사이트는 스스로를 쉬운 목표로 삼고 있습니다.

WordPress는 고유한 사용자 이름 사용을 강제하지 않으므로 사용자가 공통 사용자 이름을 사용하지 않고 "admin"으로 새 계정을 만들지 않도록 해야 합니다. 피해야 할 사용자 이름을 알 수 있도록 일반적으로 사용되는 사용자 이름의 전체 목록을 살펴보십시오 .

3. WordPress 로그인 페이지 숨기기

워드프레스 웹사이트는 미리 정해진 방식으로 작동합니다. 예를 들어, 모든 WordPress 웹사이트에는 "www.anysite.com/wp-admin"과 같은 기본 로그인 페이지가 있습니다.이는 여러 대상 WordPress 사이트에서 동시에 자동 공격을 시작할 수 있기 때문에 해커의 작업을 더 쉽게 만듭니다. 그러나 로그인 페이지를 변경하여 숨기면 사이트에 대한 이러한 유형의 공격을 방지할 수 있습니다.

로그인 페이지를 변경하고 플러그인이 제안하는 URL을 사용하는 데 사용할 수 있는 많은 플러그인이 있습니다. 동일한 플러그인을 사용하는 다른 웹사이트가 동일한 URL을 사용하고 있을 가능성이 있습니다. 그리고 해커가 URL 형식을 알고 있다면 로그인 페이지를 숨겨도 아무 소용이 없습니다. 따라서 고유한 사용자 정의 로그인 페이지 URL을 생성할 수 있는 도구를 사용하십시오.

4. HTTP 인증 구현

WordPress 관리자를 보호하기 위해 전체 wp-admin 폴더를 암호로 보호할 수 있습니다. wp-admin 폴더에는 WordPress 대시보드를 구동하는 관리 파일이 포함되어 있습니다. 이 폴더에 액세스할 수 있는 사람은 누구나 전체 사이트를 제어할 수 있습니다. 비밀번호가 전체 폴더를 보호하는 경우 누군가 관리 섹션을 요청할 때마다 서버 킥이 인증 프로세스를 시작합니다. 브라우저는 사용자에게 HTTP 인증 암호를 묻습니다. HTTP Auth , AskApache Password Protect 등과 같이 WordPress 관리자에서 HTTP 인증을 구현하는 데 사용할 수 있는 많은 도구가 있습니다.

보안 WordPress 관리자
WordPress 로그인 페이지에서 HTTP 인증 활성화

5. Google OTP 사용

요즘 웹 사이트 해킹 기술이 점점 더 정교해짐에 따라 강력한 사용자 자격 증명과 함께 또 다른 로그인 보호 계층을 추가하는 것이 일반적입니다. 이 기술을 2단계 인증 (2FA) 이라고 합니다 . 이 방법은 본인만 스마트폰에서 받을 수 있는 코드를 보내는 것입니다. WordPress 대시보드에 대한 액세스 권한을 부여받기 전에 사이트에 고유 코드를 입력해야 합니다. 이 접근 방식의 이점은 해커가 귀하의 자격 증명을 해독하더라도 여전히 귀하의 장치로만 코드를 전송해야 한다는 것입니다.

보안 WordPress 관리자
WordPress 대시보드에 액세스하려면 스마트폰으로 전송된 암호를 입력해야 했습니다.

2단계 인증에 사용할 수 있는 많은 WordPress 플러그인이 있습니다. WordPress 관리자를 보호하기 위해 Mini Orange를 사용하여 사이트에서 2FA를 활성화하고 이에 대한 가이드를 작성했습니다 .

6. 로그인 시도 실패 횟수 제한

무차별 대입 공격을 받는 웹 사이트는 수백 번의 로그인 시도 실패를 경험합니다. WordPress 관리자에 대한 이러한 끊임없는 공격을 방지하기 위해 사이트에서 실패한 로그인 시도 횟수를 제한할 수 있습니다. MalCare 보안 플러그인은 로그인 시도가 3회 실패하면 사용자가 로그인을 시도하지 못하게 합니다. WordPress 로그인 페이지에 다시 액세스하려면 CAPTCHA를 해결해야 합니다. 이것은 사용자가 사이트에서 무차별 대입 공격을 실행하려는 자동화된 봇인지 사람인지 판단하는 데 도움이 됩니다.

보안 WordPress 관리자
봇은 이미지 기반 CAPTCHA를 우회할 수 없습니다.

7. SSL 인증서 설치

저희 웹사이트 URL을 보세요! 옆에 "Secure"라는 단어가 있는 녹색 자물쇠가 보입니까? 우리 사이트에는 SSL 인증서가 설치되어 있어 아무도 우리 사용자의 로그인 자격 증명을 스누핑하고 읽을 수 없습니다. SSL 인증서가 없는 웹사이트는 부지불식간에 사이트의 민감한 정보를 노출할 위험이 있습니다.

보안 WordPress 관리자
이 웹사이트에 SSL 인증서가 설치되어 있습니다.

예전에는 SSL 인증서가 결제 페이지나 WordPress 관리 영역에 사용되었습니다. 그러나 이제 SSL 인증서는 전체 사이트를 보호하는 데 도움이 될 수 있습니다. 웹을 더 안전한 곳으로 만들기 위해 Google은 SSL 인증서가 순위 요소임을 분명히 밝혔습니다 . Comodo , Let's Encrypt같은 공급자로부터 SSL 인증서를 얻을 수 있으며 웹 호스트가 사이트에 인증서를 설정하는 데 도움을 줄 것입니다.

8. 악성 IP 주소 블랙리스트

인터넷을 사용하는 모든 사람은 IP 주소를 가지고 있습니다. WordPress 웹 사이트에 대한 공격을 시작하는 해커도 IP 주소를 가지고 있습니다. 이러한 IP 주소를 기록해두면 사이트에 액세스하지 못하도록 차단할 수 있습니다. MalCare – 최고의 WordPress 보안 플러그인 중 하나는 사이트에서 실패한 로그인 시도에 대한 세부 정보(IP 주소)를 제공합니다. 동일한 IP에서 거의 정기적으로 실패한 시도가 많이 발생하는 경우 .htaccess 파일에 다음 코드를 삽입하여 이러한 의심스러운 IP가 웹 사이트에 액세스하지 못하도록 차단할 수 있습니다.

 주문 허용, 거부

192.168.20.10에서 거부

모두로부터 허용

"192.168.20.10"은 사이트 중 하나에서 차단하려는 IP 주소입니다. 차단하려는 IP로 바꾸시면 됩니다.

9. 보안 키 변경

사이트에 로그인해야 할 때마다 로그인 자격 증명을 입력할 필요가 없습니다. 브라우저가 이러한 자격 증명을 어떻게 저장하는지 궁금한 적이 있습니까? 계정에 로그인하면 로그인 정보가 브라우저 쿠키에 암호화된 방식으로 저장됩니다. 보안 키는 이 암호화를 개선하는 데 도움이 되는 임의의 변수일 뿐입니다. 사이트가 해킹된 경우 비밀 키를 변경하면 쿠키가 무효화되고 모든 활성 사용자가 자동으로 로그아웃됩니다. 버려지면 해커 손실은 WordPress 관리자에 액세스합니다.

보안 WordPress 관리자
MalCare Security Service로 보안 키 변경

당신에게

WordPress 관리자를 보호하는 방법은 한 가지가 없으므로 여러 방법을 사용해야 합니다. WordPress 관리자를 보호하는 가장 권장되는 몇 가지 방법을 공유했습니다. 그러나 이러한 방법을 구현하기 전에 사이트를 백업 해야 합니다 . 문제가 발생하면 간단히 백업을 복원하고 즉시 사이트를 가동할 수 있습니다.

이 외에도 IP 차단, 로그인 페이지 보호, wp-config.php로 사이트 보안, WordPress 보안에 대한 전체 가이드, MalCare와 같은 WordPress 보안 플러그인 설치와 같은 몇 가지 추가 보안 조치를 취할 수 있습니다.

MalCare는 위에서 언급한 몇 가지 조치를 구현하는 데 도움을 줄 것입니다. 예를 들어 MalCare Security Plugin은 보안 키 변경, 로그인 시도 실패 횟수 제한, 웹사이트 업데이트 유지 등을 도와줍니다.

지금 바로 MalCare 보안 플러그인을 사용해 보세요!