WordPress 보안: 해커로부터 웹사이트를 보호하는 8단계

게시 됨: 2019-02-26

웹사이트 보안은 심각한 문제이지만 많은 사람들이 그것이 얼마나 심각한 문제인지 모를 수 있습니다. 그러나 매일 50,000개 이상의 고유한 웹 사이트가 해킹된다는 사실을 알게 되면 이 문제에 대한 암시를 받기 시작할 것입니다.

문제는 오늘날 대부분의 웹사이트가 WordPress 플랫폼에서 실행되고 있다는 것입니다. 이는 해커가 공격하는 웹사이트의 상당 부분이 WordPress를 기반으로 한다는 것을 의미합니다.

WordPress 자체는 CMS에서 실행되는 사이트가 안전한지 확인하기 위해 최선을 다했지만 실수가 발생할 수 있습니다. 이 글에서는 그런 일이 발생하지 않도록 하는 방법에 대해 이야기할 것입니다.

그전에 그래도…

처음에 WordPress 보안이 필요한 이유는 무엇입니까?

귀하의 웹사이트가 무엇에 관한 것인지에 따라 누군가 귀하의 보안을 침해할 때 잘못될 수 있는 많은 일이 있습니다. 그 중 일부는 다음과 같습니다.

  • 맬웨어 업로드 – 해커는 다양한 이유로 웹사이트 서버에 맬웨어를 업로드할 수 있습니다.

그들은 이것을 사용하여 귀하의 웹사이트에 대한 데이터와 정보를 수집하고 어떤 이유로든 웹사이트를 실행하는 방법을 알 수 있습니다. 그들은 그러한 맬웨어가 방문자의 컴퓨터에 자동으로 다운로드되도록 만들 수도 있습니다.

이는 웹사이트 방문자와의 친선을 파괴할 뿐만 아니라 웹사이트를 블랙리스트에 올리게 됩니다. 그러한 일이 발생하면 명성을 되찾는 것은 거의 불가능합니다.

  • 사용자 정보 도용 – 웹사이트에 사용자 정보(이름, 생년월일, 나이, 성별 등이 포함된 프로필)가 저장되어 있는 경우 이는 해커에게 중요합니다.

그들은 이러한 데이터를 수집하여 블랙 웹에서 데이터 마이닝 회사 또는 기타 관심 있는 직원에게 판매할 수 있습니다. 이는 사용자가 귀하에게 신뢰로 제출한 데이터 위반을 구성하고 데이터를 안전하게 유지하겠다는 귀하의 약속을 어긴 것입니다.

  • 금융 정보 도용 – 온라인 상점을 운영하는 데 사용되는 WordPress 웹 사이트에서 매우 일반적입니다. 때로는 엄격한 전자 상거래 기반 웹 사이트가 아니라 제품 또는 다른 제품을 판매하는 웹 사이트일 수 있습니다.

이러한 일이 발생하면 해커는 웹 사이트에 신용 카드/결제 세부 정보를 제출한 모든 사람을 도용하는 데 필요한 모든 것을 가지고 있습니다. 이로 인해 많은 고객이 불편을 겪을 수 있다는 사실 외에도 위반 사항이 귀하에게서 발생했다는 사실을 알게 되면 고객은 귀하로부터 다시 구매하는 것을 기뻐하지 않을 것입니다.

  • 수익 조작 – 귀하의 웹사이트는 제휴 소스, 광고 스트림 등에서 수익을 얻을 수 있습니다. 해커가 액세스 권한을 얻으면 제휴사/광고/수익원 세부 정보를 자신의 것으로 변경하고 판매를 자신의 편으로 돌릴 수 있습니다.

그들은 귀하의 수신 계정을 변경하고 자신의 계정에서 귀하의 수익을 얻을 수도 있습니다.

물론 이는 WordPress 웹 사이트가 가능한 한 안전하지 않을 때 잘못될 수 있는 몇 가지 사항일 뿐입니다. 해커가 웹 사이트에 액세스하려는 다른 이유가 많이 있습니다. 따라서 책임은 그들이 그렇게 하는 데 어려움을 겪는지 확인하는 데 있습니다.

WordPress 웹사이트를 안전하게 유지하기

해커가 쉽게 공격할 수 있는 대상 목록에서 웹사이트를 삭제하고 싶으십니까? 다음은 수행할 수 있는 몇 가지 작업입니다.

1. 로그인 페이지 보안

웹사이트가 해킹을 당하기 전에 해커는 관리자 페이지에 접속해야 합니다. WordPress 기본 설정을 사용하는 경우 도메인 이름 끝에 / wp-admin 또는 /wp-login.php 를 추가하기만 하면 관리 페이지에 있습니다.

당신도 모르는 사이에 당신은 그들을 위해 한 걸음 더 쉽게 만들었습니다.

이 문제를 해결하려면 특별히 지정된 주소로만 표시되도록 로그인 페이지를 사용자 정의하십시오. 그렇게 하면 대부분의 해커에 대해 그리드에서 벗어날 수 있습니다.

2. 웹사이트 잠금 구현

무차별 대입 공격은 올바른 암호를 얻을 때까지 여러 암호를 시도할 수 있기 때문에 번창합니다. 이를 통해 해커는 대시보드에 침입하기 전에 가능한 많은 조합을 자유롭게 시도할 수 있습니다.

이를 방지하는 간단한 방법은 사용자가 관리 영역에서 차단되기 전에 사용자가 가질 수 있는 실패한 시도 횟수를 지정하는 것입니다.

이 이동의 가장 좋은 점은 그러한 활동이 기록될 때 알림을 받아 더 긴밀한 선박을 유지하는 데 도움이 된다는 것입니다. 이를 가능하게 하는 많은 WordPress 방화벽 및 보안 플러그인.

살펴볼 가치가 있습니다.

3. 좋은 호스팅 회사 선택

상대적으로 비싼 호스팅 회사가 당신에게 브랜드 이름에 대한 비용을 지불하게 한다고 믿는 사람들의 일부가 되지 마십시오. 더 저렴한 옵션보다 여러 계층의 보안을 제공하는 경우가 많습니다.

추가 비용을 지불하는 데 따른 추가 혜택 외에도 모든 노력에 대해 더 나은 보안을 얻을 수 있습니다. 올바른 호스팅을 선택하는 방법에 대해 잘 모르는 경우 WordPress 호스팅을 선택하는 방법에 대한 궁극적인 가이드를 따를 수 있습니다.

4. 무효화된 테마를 멀리하라

WordPress에는 웹사이트에서 사용할 수 있는 다양한 유료 및 무료 테마가 있습니다. 이러한 테마는 자신이 하는 일을 알고 있는 고도로 숙련된 개발자가 설계하고 코딩했습니다. 테마는 설정 표준과 일치하는지 확인하기 위해 WordPress에서도 테스트되었습니다.

그러나 일부 웹사이트는 유료 테마의 크랙/무효 버전을 무료로 제공합니다. 금이 간 테마에 웹사이트를 심하게 손상시킬 수 있는 악성 코드가 포함되어 있다는 사실을 알게 될 때까지는 좋은 거래처럼 들릴 수 있습니다. 사이트에 완벽한 테마를 선택하는 방법에 대한 가이드를 참조하세요.

5. 파일 편집 비활성화

기본적으로 WordPress 웹사이트에는 테마와 플러그인을 변경할 수 있는 코드 편집기 기능이 있습니다. 이는 Appearances 또는 Plugins 아래의 Editor 대시보드로 이동하여 찾을 수 있습니다.

해커가 사이트에 액세스하면 악성 코드를 삽입하기 위해 여기에 갈 수 있으며 너무 늦을 때까지 이에 대해 알지 못할 것입니다.

문제가 있음을 발견할 때까지 이러한 공격을 차단하는 가장 좋은 방법은 플러그인 및 테마 편집 기능을 비활성화하는 것입니다.

6. 웹사이트 업데이트

WordPress 웹 사이트를 보호하기 위해 할 수 있는 가장 쉬운 방법 중 하나는 수시로 업데이트 상태를 유지하는 것입니다.

새 업데이트가 들어왔다는 것은 개발자가 패치가 필요할 정도로 중요하다고 생각하는 결함을 발견했다는 의미입니다. 이 간격을 좁히지 않으면 그들이 본 결함에 취약해져서 그러한 결함을 우회하는 방법을 알고 있는 누군가가 쉽게 당신을 악용할 수 있습니다.

플러그인과 PHP도 마찬가지입니다. 플러그인도 업데이트할 수 있으며 알림을 받는 즉시 업데이트해야 합니다. 다음은 WordPress 사이트를 최신 PHP 버전으로 업그레이드하는 방법에 대한 가이드입니다.

WordPress 사이트에서 업데이트를 수행하기 전에 전체 사이트의 백업을 만드는 것이 좋습니다.

7. XML-RPC 기능 비활성화

WordPress의 출시와 함께 XML-RPC 기능이 자동으로 포함됩니다.

우리가 좋은 면을 보지 않는다면 이 추가에 불친절할 것입니다. 결국 이것이 WordPress 계정을 모바일 및 데스크톱 앱과 원활하게 연결하는 것을 쉽게 만드는 것입니다.

그러나 무차별 대입 공격이 훨씬 더 빠른 속도로 발생하기도 쉽습니다.

예를 들어 해커는 해당 기능을 활성화하면 500개의 암호를 추측할 필요가 없습니다. 그들이 필요한 것은 system.multicall 함수로 약 50개의 요청을 하는 것뿐입니다. 그러면 동일한 시간 프레임에 수천 개의 암호를 시도할 수 있습니다.

이에 대한 간단한 수정은 특히 사용하지 않는 경우 기능을 비활성화하는 것입니다.

8. 유휴 사용자 로그아웃

해커가 원격 위치에서 웹 사이트에 액세스해야 하는 경우는 항상 있는 것은 아닙니다. 웹 사이트에 여러 사용자가 있는 경우 이러한 해커는 사용자가 컴퓨터를 떠날 때까지 배회할 수 있습니다.

그렇기 때문에 대시보드 영역에서 누군가를 너무 오랫동안 유휴 상태로 두어서는 안 됩니다. 많은 은행 및 금융 웹 사이트를 관찰한 경우 사용자 데이터를 안전하게 유지하기 위해 사용하는 것과 동일한 모델입니다.

이 작업을 수행하는 방법 중 하나는 유휴 사용자 로그아웃 플러그인을 설치하는 것입니다. 각 사용자가 다시 로그인해야 하기 전에 유휴 상태로 보내는 시간을 지정하도록 구성하면 계속할 수 있습니다.

모든 말을 마친 후에는 최악의 상황에 대비하는 것이 좋습니다. 위의 사항을 구현해야 하지만 수시로 웹사이트를 백업해야 합니다. WPvivid 백업 플러그인과 같은 무료 백업 플러그인을 사용하면 쉽게 백업할 수 있습니다. 그렇게 하면 문제가 발생하는 경우 항상 마지막 백업 지점에서 복원할 수 있습니다.

그러나 우리는 당신을 위해 그것을 희망하지 않습니다.

여기에서 언급하지 않은 WordPress 웹 사이트 보안을 위해 사용하는 팁이 더 있습니까? 의견에서 그들에 대해 알려주십시오.

이 기사에서는 WordPress 보호를 위한 가장 필수적인 단계를 다루었으며 또한 필요할 수 있는 모든 측면에서 WordPress 사이트를 보호하는 방법에 대한 궁극적인 가이드도 만들었습니다.