Top 10 WordPress 보안 권장 사항
게시 됨: 2023-02-15WordPress 사이트를 보호하기 위해 취할 수 있는 상위 10단계는 무엇입니까? 웹사이트의 안전에 가장 큰 영향을 미치는 보안 강화 조치는 무엇입니까? 보안은 WordPress 커뮤니티에서 항상 뜨거운 주제이며 이와 같은 질문은 타당한 이유로 중요합니다. WordPress는 인터넷의 거의 절반을 지원하며, WordPress의 선두 위치는 해커의 최우선 목표입니다.
수천 개의 WordPress 웹사이트가 매일 사이버 공격의 희생양이 됩니다. 총 WordPress 사이트 수의 양동이에서 한 방울이지만 만약 당신에게 일어난다면? 엄청나네요. 일부 사이트 소유자는 데이터 손실, 데이터 도난 및 사기로 인한 장기적인 결과를 겪습니다. 부실한 보안 정책과 위험 관리는 이와 같은 재난을 초래합니다. WordPress 사이트 소유자로서 견고한 보안 정책을 갖는다는 것은 무엇을 의미합니까? 주요 위험은 무엇이며 어떻게 관리할 수 있습니까?
핵심은 보안 기반을 설정한 다음 일관된 보안 관행으로 기반을 계속 구축하는 것입니다. 이 가이드는 오늘 WordPress 사이트를 보호하고 보호하는 방법을 알려줍니다.
이 가이드에서는 WordPress 보안에 대해 자세히 알아봅니다. WordPress를 대상으로 하는 가장 위험한 사이버 공격에 대해 배웁니다. 피해자가 될 위험을 최소화하는 방법을 배우게 됩니다. 상위 10가지 WordPress 보안 권장 사항을 제공하고 이를 구현하는 방법을 설명합니다. 그러면 오늘날 가장 정교하고 악의적인 공격으로부터 자신을 방어할 수 있습니다.
워드프레스는 안전한가요? 예!
요컨대, 핵심 WordPress 플랫폼은 안전합니다.
20년 된 성숙한 오픈 소스 소프트웨어 프로젝트인 WordPress는 가장 오랫동안 검증되고 안전한 웹사이트 구축 프레임워크 중 하나입니다.
개발자 및 보안 전문가 커뮤니티가 WordPress 코어를 유지 관리합니다. 또한 코드베이스는 공개적으로 사용할 수 있습니다. 즉, 보안 연구원이 자유롭게 분석할 수 있습니다. 공개 조사에서 새 릴리스의 초기 테스트 단계를 통과한 모든 버그는 빠르게 발견되는 경향이 있습니다. WordPress는 정기적인 업데이트를 받고 WordPress 코어에서 발견된 모든 취약점을 신속하게 패치합니다. 이 지속적인 적응은 플랫폼의 보안과 품질을 전반적으로 향상시킵니다.
WordPress 사이트를 안전하지 않게 만드는 것은 무엇입니까?
사람들이 WordPress로 사이트를 구축할 때 보안을 최우선으로 생각하지 않을 수 있습니다. 잘못된 보안 관행(또는 전혀 없음)과 결합된 부주의한 사용자 지정은 전체 WordPress 생태계에 심각한 보안 위험을 초래합니다.
업데이트를 실행하지 않는 사이트 소유자
WordPress 개발자의 정기적인 업데이트 및 지원은 WordPress를 매우 안전하게 만듭니다. 그러나 WordPress의 인기는 플러그인 및 테마로 쉽게 사용자 지정할 수 있다는 점과 관련이 있습니다. 이러한 타사 애드온은 WordPress 코어만큼 잘 지원되고 테스트되지 않을 수도 있습니다. 또한 새 버전이 출시되면 업데이트해야 합니다. 12-24개의 플러그인이 있는 WordPress 사이트의 경우 매주 몇 가지 새로운 업데이트가 제공될 수 있습니다. 알려진 취약점을 패치하지 않고 정기적인 업데이트를 수행하지 않으면 WordPress 웹 사이트가 해킹될 가능성이 크게 높아집니다.
WordPress 코어도 일년 내내 업데이트를 받습니다. 일반적으로 4개의 주요 릴리스가 있습니다. 보안 및 유지 관리 릴리스도 필요할 때 나타날 것입니다. 2023년 현재 WordPress 사이트의 약 60%가 최신(6.1) 버전의 WordPress 코어를 사용합니다. 40%는 그렇지 않으며 이는 보안에 좋지 않습니다. 2022년 12월부터 WordPress 버전 3.7 – 4.0은 더 이상 지원되지 않으며 보안 패치를 받지 못할 수 있습니다.
PHP를 업데이트하지 않는 사이트 소유자 및 호스트
더 걱정스러운 통계는 많은 WordPress 사이트가 7.4보다 낮은 PHP 버전을 사용한다는 것입니다. PHP는 호스트 서버 환경의 일부입니다. WordPress가 실행되는 언어입니다. 2023년 초, 모든 WordPress 사이트의 55%가 PHP 7.4에서 호스팅되었습니다. 이것이 PHP 7 분기의 마지막 주요 릴리스입니다. 많은 WordPress 호스트가 PHP 8을 제공하지만 현재 WordPress에서 공식적으로 지원하는 가장 높은 버전의 PHP입니다. 잘 관리되는 WordPress 호스트는 PHP 7의 보안을 유지하지만 공식적인 지원을 위한 수명이 다했습니다. WordPress 플러그인은 시간이 지남에 따라 점점 더 많은 PHP 8을 요구할 것입니다. WordPress 및 PHP 개발 속도를 따라가지 못하는 사이트는 해킹당할 위험이 더 높습니다.
WordPress 보안이 중요한 이유
WordPress 웹 사이트 보안 문제! 일관된 보안 관행이 없다면 지금이 항상 진지하게 받아들일 최적의 시기입니다. 사이버 공격의 정교함과 양이 증가함에 따라 특히 WordPress 웹사이트 소유자에게 웹사이트 보안이 매우 중요해졌습니다. 공격자는 단순히 해킹할 웹사이트를 선택하지 않습니다. 최신 사이버 공격은 고도로 자동화되어 수천 개의 WordPress 사이트를 한 번에 표적으로 삼을 수 있습니다. WordPress의 인기와 업데이트되지 않은 사이트의 수는 크고 쉬운 대상입니다.
블로그, 비즈니스 웹 사이트 또는 온라인 상점을 운영하든 관계없이 고객과 데이터의 안전을 책임집니다. 데이터 유출은 비즈니스를 위험에 빠뜨리고 평판을 크게 손상시킬 수 있습니다. 부실한 보안 관행은 심각한 재정적 손실을 초래할 수 있습니다.
최근 연구에 따르면 대부분의 중소기업(SMB)은 자신이 해킹 대상이 아니라고 생각하지만 이는 잘못된 생각입니다. 공격이 증가하고 있으며 특히 이들을 표적으로 삼고 있습니다. 평균적으로 디지털 보안 침해를 경험한 소기업은 $100,000 이상의 비용을 지불하게 됩니다.
다섯 가지 가장 일반적인 WordPress 보안 문제
2022년 WordPress가 내부 사이트 취약점을 악용하여 직면한 가장 일반적인 위협은 XSS(교차 사이트 스크립팅) 및 CSRF(교차 사이트 요청 위조) 공격과 SQL 주입(SQLi)이었습니다. 해킹 및 감염된 사이트에 대한 일반적인 페이로드 또는 손상에는 백도어 및 악의적인 리디렉션이 포함됩니다. 마지막으로 가장 일반적인 공격은 소프트웨어 취약점과 전혀 관련이 없습니다. 무차별 대입 로그인 시도, 비밀번호 입력, 카드 스키밍, 카딩, 분산 서비스 거부(DDoS) 공격이 여기에 해당합니다.
이러한 위협을 살펴보고 이러한 위협이 WordPress 사이트에 침투하지 못하도록 방지하는 솔루션을 자세히 살펴보겠습니다.
암호 입력, 무차별 대입 로그인 및 DDOS 공격
무차별 공격 및 DDoS 공격은 고도로 분산된 봇 기반 사이버 공격입니다. 그들은 웹사이트에 침입하거나 웹 요청으로 과부하된 웹사이트를 호스팅하는 서버를 통해 웹사이트를 오프라인 상태로 만들려고 합니다. 두 유형의 공격 모두 공격자가 제어하는 봇 네트워크(봇넷이라고도 함)와 관련된 경우가 많습니다.
암호 추측 공격이라고도 하는 무차별 대입 로그인 공격은 (일반적으로 해킹된) 컴퓨터 네트워크를 사용하여 대상 사이트에 대한 유효한 로그인 이름과 암호를 찾기 위해 문자, 숫자 및 기호의 임의 조합을 수천 개 테스트합니다.
비밀번호 채우기는 다른 곳에서 훔친 실제 비밀번호를 사용하여 사이트에 액세스하는 일종의 무차별 대입 공격입니다. 귀하 또는 귀하의 사이트 사용자가 손상된 다른 사이트에서 동일한 로그인 자격 증명을 사용한 경우 귀하의 사이트에서 비밀번호 채우기가 성공할 수 있습니다.
공격자가 분당 수천 건의 로그인을 시도하면 DDoS 공격의 영향을 받을 수 있습니다. DDoSes는 서버에서 너무 많은 요청을 발생시켜 과부하 상태입니다. 때때로 DDoS 공격은 이러한 방식으로 단순히 사이트를 오프라인 상태로 만들기 위해 수행됩니다.
WordPress 및 WooCommerce와 관련하여 카딩 공격은 훔친 신용 카드 계좌 번호를 전자 상거래 사이트에 입력하여 사기 구매를 시도하는 무차별 대입 시도의 좋은 예입니다. Carding 공격에는 DDoS 효과가 있을 수도 있습니다.
교차 사이트 스크립팅 및 요청 위조
XSS 및 CSRF라고도 하는 사이트 간 스크립팅 및 사이트 간 요청 위조는 방문자의 컴퓨터를 악용하는 웹 사이트에서 악성 스크립트를 실행하려는 사이버 공격입니다. 이러한 공격은 사이트를 사용하여 사용자를 대신하여 사이트에서 승인되지 않은 요청을 보냅니다. 목표는 사이트 방문자를 사취하고 민감한 정보나 돈을 훔치는 것입니다. 교차 사이트 스크립팅 및 요청 위조는 WordPress 웹사이트를 대상으로 하는 가장 위험한 사이버 공격 중 두 가지로 간주됩니다.
WordPress에 영향을 미치는 교차 사이트 스크립팅 공격의 가장 두드러진 예 중 하나는 WooCommerce 상점에 삽입된 JavaScript 기반 카드 스키머와 관련이 있습니다. 공격자의 웹사이트에서 로드된 카드 스키밍 멀웨어가 방문자의 브라우저에 주입됩니다. 이 악성 코드는 구매가 완료되면 체크아웃 페이지에서 중요한 결제 정보를 훔치려 시도합니다.
백도어 및 웹 셸
백도어와 웹 셸은 초기 침해 시 페이로드로 해킹된 웹사이트에 자주 업로드되는 두 가지 관련 유형의 악성 소프트웨어입니다. 둘 다 맬웨어 감염이라는 더 깊은 수준의 피해를 입힙니다. 둘 다 악의적인 해커가 서버 및 웹 앱을 더 깊이 파고들거나 다른 사이트에서 사기 및 추가 공격을 수행하는 데 사용하는 도구입니다.
백도어는 공격자가 정상적인 인증 방법을 우회하여 중요한 영역에 무단 액세스할 수 있도록 웹사이트에 주입되는 소프트웨어입니다. 웹 셸은 해커가 손상된 웹 사이트에 더 많은 악성 페이로드를 업로드하는 데 사용하는 악성 파일 관리 유틸리티입니다.
백도어는 종종 웹 사이트 소유자와 바이러스 백신 소프트웨어를 몰래 통과할 수 있습니다. 백도어를 사용하면 해커가 돌아와서 필요한 모든 보안 조치를 취한 경우에도 나중에 웹사이트를 다시 감염시키거나 추가로 악용할 수 있습니다. 마찬가지로 웹 셸을 제거하지 않으면 공격자가 웹 사이트를 계속 제어할 수 있습니다.
악성 리디렉션
공격자의 가장 일반적인 목표 중 하나는 방문자를 맬웨어로 감염시키는 것입니다. 이 목표를 달성하는 가장 일반적인 방법 중 하나는 의심하지 않는 사용자를 공격자가 제어권을 얻은 신뢰할 수 있는 웹 사이트에서 리디렉션하는 것입니다.
해커는 해킹된 웹사이트의 어느 위치에나 악성 리디렉션을 배치하여 위치를 찾아 제거하기 어렵게 만들 수 있습니다. 종종 웹사이트 소유자는 이 익스플로잇을 가능하게 만든 취약점을 패치한 후 악의적인 리디렉션을 제거하기 위해 WordPress(간단함)를 다시 설치하거나 백업에서 전체 웹사이트를 복원(더 어려울 수 있음)해야 합니다.
SEO 스팸의 한 유형인 제약 해킹은 WordPress 웹사이트에 영향을 미치는 가장 악명 높은 공격 중 하나였습니다. 공격자는 인기 있는 약물에 대한 스팸 키워드로 손상된 WordPress 웹 사이트를 채우고 검색 엔진에서 높은 순위를 얻은 다음 방문자를 규제 의약품을 판매하는 사기성 포털로 리디렉션합니다. 대부분의 경우 공격자는 Apache .htaccess file
에 악의적인 리디렉션을 배치하거나 이러한 목적으로 무해해 보이는 .ico 파일을 생성합니다.
SQL 인젝션 공격
SQL 삽입(SQLi)이라고도 하는 SQL 주입 공격은 공격자가 악의적인 방식으로 웹 사이트의 데이터베이스를 조작할 수 있도록 허용하는 불충분한 사용자 입력 유효성 검사를 악용하는 데이터 주입 공격 유형입니다. SQL 인젝션과 교차 사이트 스크립팅 모두 WordPress 웹사이트의 특정 영역에 영향을 줄 수 있는 소위 입력 취약점을 이용합니다. 플러그인이 사용자가 제출한 데이터나 콘텐츠를 수락하지만 악성 코드에 대해 스크리닝하지 않는 경우 입력 취약점이 발생합니다. 해당 코드는 데이터베이스에서 쿼리를 실행하여 개인 데이터를 훔치거나 손상시킬 수 있습니다.
Top 10 WordPress 보안 권장 사항
WordPress 웹 사이트 보안과 관련하여 공격 표면을 줄이기 위한 신중한 접근 방식이 핵심입니다. 가장 일반적인 WordPress 취약점과 사이버 공격 유형을 알면 웹 사이트 보안을 크게 개선하는 데 도움이 됩니다. 다음 10가지 가장 중요한 WordPress 보안 권장 사항은 WordPress 사이트를 보호하는 데 필요한 핵심 지식입니다. 이러한 권장 사항의 대부분은 비교적 따르기 쉽고 유료 보안 솔루션이 필요하지 않습니다.
정기적인 업데이트를 수행하고 확인되지 않은 출처의 소프트웨어를 설치하지 마십시오.
가장 중요한 WordPress 보안 권장 사항 중 하나는 정기적인 코어, 테마 및 플러그인 업데이트를 수행하는 것입니다. 설치하는 모든 소프트웨어가 검증되고 신뢰할 수 있는 소스에서 제공되는지 확인하십시오. WordPress는 PHP로 작성되었으므로 최신 주요 릴리스에서 지원되는 PHP 버전을 사용해야 합니다. 현재 PHP 8에 대한 베타 지원만 포함된 PHP 7.4입니다.
기본 WordPress 기능은 비즈니스 소유자의 모든 요구를 거의 충족하지 않으므로 더 많은 플러그인과 테마를 설치하여 플랫폼의 기능을 확장합니다. 타사 테마 및 플러그인은 공격 표면을 증가시켜 WordPress 사이트를 더 많은 보안 위협에 취약하게 만듭니다.
유료 플러그인 및 테마의 비공식 불법 복제 버전을 사용하면 주요 문제가 발생할 수 있습니다. 이들은 항상 매우 의심스러운 출처에서 나옵니다. 오래된 버전의 WordPress를 사용하고 취약점을 패치하지 않는 것도 매우 위험합니다.
iThemes Security Pro와 같은 보안 플러그인 사용
웹 사이트를 안전하게 유지하는 가장 좋은 방법은 코어, 테마 및 플러그인에 대한 자동 업데이트를 켜는 것입니다. iThemes Security Pro는 사용 가능한 모든 소프트웨어 업데이트를 쉽게 추적하고 새로운 버전의 WordPress 코어와 테마 및 플러그인을 설치할 수 있습니다. 여러 WordPress 웹사이트를 관리하는 경우 iThemes Sync Pro를 사용하면 단일 인터페이스에서 모든 관리 작업을 수행하고 가동 시간 모니터링 및 SEO 지표 추적을 활용할 수 있습니다.
Nexcess에서 제공하는 관리형 클라우드 WordPress 호스팅 계획과 같은 대부분의 WordPress 호스팅 솔루션은 또한 모든 소프트웨어 업데이트를 처리하고 잠재적인 플러그인 충돌 및 기타 문제를 이전에 추적하는 데 도움이 되는 Visual Comparison과 같은 내장 도구도 함께 제공됩니다. 모든 업데이트를 수행합니다. Nexcess는 프리미엄 WordPress 솔루션 카탈로그도 제공합니다. Kadence WP를 사용자 지정 블록과 함께 내장 블록 테마로 제공하여 보안을 유지하면서 꿈의 웹사이트를 디자인하는 데 도움을 줍니다.
강력한 백업 전략 수립
강력한 백업 전략은 WordPress 보안에 절대적으로 필요합니다. WordPress 사이트를 정기적으로 백업하면 위반, 업데이트 실패 또는 발생할 수 있는 기타 문제가 발생할 경우 쉽게 복구할 수 있습니다.
WordPress 데이터베이스, 웹 사이트 파일 및 기타 관련 콘텐츠를 포함하는 전체 WordPress 백업을 최소 10일 또는 2주 동안 보관하는 것이 가장 좋습니다. 주간 및 월간 백업을 유지하는 것은 일일 및 시간별 백업 외에도 매우 유용할 수 있습니다.
데이터 중복의 원칙을 따르십시오. 워드프레스 웹사이트의 작업 사본을 두 곳 이상에 보관합니다. 이렇게 하면 하나의 백업 아카이브에 문제가 발생할 경우 정보를 복구하는 데 도움이 됩니다.
cPanel 및 Acronis 백업을 포함하여 호스팅 공급자가 제공하는 백업 솔루션을 사용하여 매일, 매주 및 매월 주기로 웹사이트 사본을 저장할 수 있습니다. WordPress 백업 플러그인을 사용하면 보다 유연한 백업 일정을 만들 수 있습니다. BackupBuddy는 WordPress를 위한 세계적 수준의 데이터 보호 및 복구 플러그인입니다. 강력한 백업 전략을 수립하고 필요할 때마다 원클릭 복원에 쉽게 액세스하는 데 도움이 될 수 있습니다.
정기적인 취약점 및 맬웨어 검사 수행
취약점 검색 및 파일 무결성 모니터링은 WordPress 웹사이트의 모든 중요한 영역을 보호하는 데 사용할 수 있는 최고의 도구 중 하나입니다. 기본 제공 WordPress 사이트 상태 인터페이스는 시작하기에 좋은 도구입니다. 귀하의 웹사이트에 맞는 더 많은 WordPress 보안 권장 사항이 필요한 경우 iThemes Pro Site Scan이 귀하의 WordPress 웹사이트 보안에 대한 포괄적인 보고서를 제공합니다.
예방이 핵심이지만 조기 공격 탐지 및 완화도 중요합니다. 대부분의 맬웨어의 주요 목적은 가능한 한 오랫동안 탐지되지 않는 것입니다. 소유자가 알아차릴 때까지 WordPress 웹사이트가 몇 주 동안 해킹당하는 것은 드문 일이 아닙니다. iThemes Security Pro는 WordPress 웹사이트 파일 내에서 의심스러운 활동이 있을 때마다 경고하는 고급 파일 변경 모니터링을 제공합니다.
정기적인 맬웨어 검사를 수행하면 맬웨어 감염을 조기에 식별하는 데 도움이 됩니다. 돌이킬 수 없는 피해가 발생하기 전에 악당을 차단하고 WordPress 웹사이트를 청소하는 것이 핵심입니다. 훌륭한 무료 맬웨어 스캐너를 찾고 있다면 CloudLinux의 ImunifyAV는 매우 안정적이고 사용자 친화적인 것으로 입증되었습니다.
파일 권한을 안전하게 유지하고 wp-config.php를 보호하십시오.
WordPress 파일 권한은 WordPress 웹사이트의 전반적인 보안에 큰 영향을 미칠 수 있습니다. 잘못된 권한 설정은 특히 자체 서버를 유지 관리하고 여러 사이트를 실행하는 경우 전체 시스템을 심각한 위험에 빠뜨릴 수 있습니다. WordPress 파일 권한을 안전하게 구성하는 것은 절대적으로 중요합니다.
WordPress 웹사이트에서 가장 취약한 영역 중 하나는 기본 구성 파일인 wp-config.php
입니다. WordPress 데이터베이스 연결 정보를 포함하여 거기에 저장된 중요한 데이터는 wp-config.php
웹 사이트에 대한 통제권을 장악하려는 공격의 최우선 대상으로 만듭니다.
지금 바로 구현할 수 있는 주요 WordPress 보안 권장 사항 중 하나는 웹사이트의 wp-config.php
파일에 대한 권한을 640 이상으로 설정하는 것입니다. 다른 웹사이트의 파일에 어떤 파일 권한이 있어야 하는지 확실하지 않은 경우 iThemes Security Pro의 파일 권한 확인 도구가 알아내는 데 도움이 될 것입니다.
안전하지 않은 파일 권한과 열악한 사용자 격리로 인해 교차 계정 손상이 촉진됩니다.
해커는 열악한 사용자 격리와 안전하지 않은 파일 권한을 적극적으로 악용하여 위험한 교차 계정 공격을 수행합니다. 이들은 "심볼릭 링크 해킹" 또는 "익명 폭스" 워드프레스 해킹으로 알려져 있습니다.
공격자는 하나의 해킹된 웹사이트를 진입점으로 사용하여 다른 웹사이트의 구성 파일(예: wp-config.php
에 대한 교차 계정 심볼릭 링크를 생성하여 민감한 정보를 노출하고 지정된 서버의 모든 웹사이트를 제어할 수 있습니다. 이 해킹은 동일한 서버의 다른 사용자가 wp-config.php
파일을 읽을 수 있는 경우에만 가능합니다.
일부 WordPress 보안 권장 사항은 wp-config.php
이동을 제안합니다. 이는 도움이 될 수 있지만 실제로 모든 위험을 해결하지는 않습니다. 파일 권한을 안전하게 유지하고 모든 웹사이트가 동일한 서버에서 서로 격리되도록 합니다. 이를 달성하는 가장 좋은 방법 중 하나는 CloudLinux 운영 체제에서 제공하는 CageFS를 사용하는 것입니다.
웹 애플리케이션 방화벽 구성
또 다른 주요 WordPress 보안 권장 사항은 웹 애플리케이션 방화벽을 사용하거나 호스트 기반 및 클라우드 기반 WAF와 같은 여러 방어 시스템을 사용하는 것입니다. 웹 애플리케이션 방화벽은 알려진 모든 사이버 공격에 대한 1차 방어선 역할을 하며 지속적으로 업데이트되는 규칙 세트를 기반으로 악성 트래픽을 필터링합니다.
WAF는 우리가 정의한 규칙에 의해 설정된 여러 패턴을 기반으로 모든 웹 트래픽에서 의심스러운 요청을 검색합니다. 이를 통해 SQLi 및 XSS는 물론 DDoS 및 무차별 암호 대입 공격에 대한 높은 수준의 보호를 보장합니다.
Cloudflare WAF와 같은 클라우드 기반 WAF는 원본 서버의 부하를 줄이면서 광범위한 공격을 완화할 수 있습니다. WordPress 웹사이트를 호스팅하는 서버로 가는 요청은 ModSecurity와 같은 호스트 기반 WAF에 의해 또 다른 검사를 받습니다. 두 솔루션 모두 완전 무료이며 WordPress 보안의 업계 표준으로 간주됩니다.
HTTP 보안 헤더 설정
HTTP 보안 응답 헤더는 WordPress 웹사이트의 보안을 강화하는 데 필요한 가장 유용한 도구 중 하나입니다. 웹 애플리케이션 방화벽과 마찬가지로 HTTP 응답 헤더는 웹 사이트의 중요한 영역에 대한 액세스를 차단하고 고객과 데이터를 위험에 빠뜨릴 수 있는 모든 활동을 방지할 수 있습니다.
WordPress의 가장 중요한 HTTP 보안 헤더는 다음과 같습니다.
- 콘텐츠 보안 정책(CSP). 교차 사이트 스크립팅 및 클릭재킹, WordPress 웹사이트를 대상으로 하는 기타 위험한 사이버 공격을 완화하는 데 도움이 되는 강력한 솔루션입니다. CSP를 사용하면 웹 사이트에서 콘텐츠를 로드할 수 있는 리소스 목록과 웹 사이트에서 콘텐츠를 로드할 수 있는 리소스 목록을 정의할 수 있습니다.
- 세트 쿠키 . Set-Cookie 응답 헤더는 쿠키가 서버에서 사용자 브라우저로 전송되는 방식을 제어합니다. SameSite 속성을 구성하면 교차 사이트 요청 위조 및 클릭재킹으로부터 WordPress 웹사이트를 보호할 수 있습니다.
- 엄격한 전송 보안(HSTS). HSTS 응답 헤더는 WordPress 웹사이트가 HTTPS를 통해서만 액세스할 수 있도록 보장하여 서버와 브라우저 간의 종단간 암호화를 가능하게 합니다.
대부분의 경우 로컬 .htaccess
파일에서 WordPress 웹 사이트에 대한 HTTP 보안 헤더를 구성할 수 있습니다. 대부분의 WordPress 호스팅 공급자는 HTTP 응답 헤더를 설정하므로 로컬에서 규칙을 재정의해야 하는지 확인하려면 호스트의 지원 팀에 문의해야 할 수 있습니다.
업로드 폴더에서 PHP 실행을 비활성화하고 디렉터리 인덱싱을 끕니다.
WordPress의 경우 해커는 일반적으로 실행 가능한 코드를 저장하지 않는 폴더에 맬웨어를 숨기는 경향이 있습니다. 그러한 폴더 중 하나는 wp-content
의 업로드 디렉토리입니다. 업로드 폴더에서 PHP 실행을 비활성화하는 것이 좋습니다. 이를 통해 맬웨어 감염 범위를 제한하고 맬웨어 치료 속도를 높일 수 있습니다.
Apache HTTP를 사용할 수 있는 경우 wp-content/uploads에 .htaccess
파일을 만들고 아래 규칙을 추가하십시오. 이렇게 하면 업로드 폴더에서 로드되는 모든 PHP 스크립트가 차단됩니다. 이는 공격자가 악성 코드를 배치할 수 있는 일반적인 위치입니다.
PHP 실행을 차단하는 것 외에도 웹 사이트에서 디렉토리 인덱싱을 비활성화하는 것은 WordPress 보안 권장 사항 목록의 또 다른 중요한 항목입니다. 디렉토리 인덱싱이 비활성화되지 않은 경우 브라우저는 index.php
또는 index.html
파일이 누락된 경우 요청된 디렉토리에 있는 파일 목록을 로드합니다.
공격자는 특히 이 가이드의 앞부분에서 설명한 교차 계정 심볼릭 링크 공격과 관련하여 이 기능을 광범위하게 악용합니다. .htaccess
에서 다음 규칙을 사용하여 디렉토리 인덱싱을 전체적으로 또는 디렉토리별로 차단할 수 있습니다.
WordPress 데이터베이스 접두사 및 기본 관리 사용자 이름 변경
기본 설치 프로세스를 변경하지 않는 한 WordPress는 자동으로 데이터베이스에 표준 wp-
접두어를 사용하고 기본 admin
사용자를 생성합니다. 이것은 공개 지식이므로 무차별 대입 및 데이터 주입 공격이 이를 가정합니다.
기본 관리 사용자를 제거하고 WordPress 데이터베이스 접두사를 wp2789_
와 유사한 것으로 변경합니다. phpMyAdmin을 사용하거나 MySQL 명령줄 인터페이스를 통해 모든 데이터베이스 테이블의 이름을 바꾸면 됩니다. 나중에 wp-config.php
에서 데이터베이스 접두사를 업데이트해야 합니다.
XMLRPC 및 WordPress 로그인에 대한 액세스 제한
무차별 대입 및 DDoS 공격의 경우 xmlrpc.php
및 WordPress 로그인 페이지는 공격자가 가장 많이 표적으로 삼는 WordPress 웹 사이트의 두 영역입니다. 이 두 인터페이스에 대한 액세스가 제한되지 않으면 WordPress 사이트의 성능이 저하되고 자주 다운타임이 발생할 수 있습니다. 또한 결국 해커가 귀하의 관리자 계정을 해킹하고 웹 사이트를 혼란에 빠뜨릴 수 있는 모든 가능성이 있습니다.
XMLRPC는 WordPress가 다른 시스템과 통신할 수 있게 해주는 API(응용 프로그램 프로그래밍 인터페이스)이며 플랫폼이 시작된 이래로 WordPress의 일부였습니다. 그러나 WordPress는 REST API에 크게 의존하기 때문에 XMLRPC는 거의 사용되지 않으며 일반적으로 부정적인 결과 없이 완전히 비활성화할 수 있습니다. 이 목적을 위해 아래 규칙을 웹사이트의 .htaccess file
에 추가하거나 단순히 xmlrpc.php 파일의 권한을 0으로 추가할 수 있습니다.
WordPress 관리자 패널에 대한 액세스 제한은 주요 WordPress 보안 권장 사항 중 하나입니다. WordPress 로그인 주소를 변경하면 검색하기가 훨씬 더 어려워지지만 로그인 페이지 암호를 보호하거나 액세스할 수 있는 독점적인 IP 주소 범위를 정의하면 공격자가 WordPress 백엔드에 무단으로 액세스할 위험을 효과적으로 제거할 수 있습니다.
강력한 암호 사용 및 다단계 인증 구성
강력한 암호 사용의 중요성은 아무리 강조해도 지나치지 않습니다. 그러나 일부 WordPress 웹사이트 소유자는 WordPress 관리자 패널이 유일한 공격 벡터가 아니라는 사실을 잊는 경향이 있습니다. 공격자가 웹 호스팅 제어판 계정에 대한 액세스 권한을 얻은 결과 많은 WordPress 사이트가 해킹당했습니다.
많은 호스트에서 WordPress 웹사이트의 계정 이름은 호스트 서버에서 생성된 실제 사용자에 해당합니다. 추측하기 쉽거나 공개적으로 볼 수 있습니다. 암호와 함께 자격 증명 쌍을 사용하면 SSH 및 SFTP를 통해 사이트에 연결할 수 있습니다. 호스팅 제어판에 액세스하는 방법입니다. 이 계정이 손상되면 공격자는 사이트뿐만 아니라 전체 호스팅 계정, 이메일, 심지어 도메인 이름이나 DNS 레코드에 대한 전체 액세스 권한을 얻을 수 있습니다.
WordPress 관리 사용자와 웹사이트의 호스팅 제어판 계정 모두에 대해 강력한 암호 정책과 다단계 인증을 채택하십시오. 가능한 경우 키 기반 인증 방법을 위해 SSH에 대한 암호 인증을 완전히 비활성화하십시오.
iThemes Security Pro를 사용하면 생체 인식 로그인이 포함된 패스키를 사용하여 WordPress 관리자 패널에 대한 암호 없는 인증을 설정할 수 있습니다. 이는 호스팅 계정에 설정된 다단계 인증과 결합되어 무차별 대입 공격으로부터 완벽하게 보호하고 로그인 자격 증명이 손상된 경우에도 웹 사이트를 보호합니다.
iThemes Security Pro로 최고의 WordPress 보안 권장 사항 구현
세계에서 가장 인기 있는 콘텐츠 관리 시스템인 WordPress는 전 세계 해커의 최우선 목표입니다. 데이터 유출을 악용하고 맬웨어를 배포하기 위해 공격자는 데이터베이스 주입, 교차 사이트 스크립팅 및 교차 사이트 요청 위조와 같은 광범위하고 정교한 기술을 사용합니다. WordPress 사이트가 이러한 일반적인 보안 위협으로부터 보호되지 않는 한 쉬운 대상이 될 수 있습니다.
무수한 WordPress 보안 권장 사항이 떠돌아 다니면서 특히 각 사이버 공격을 완화하기 위한 여러 전략이 있는 경우 웹 사이트를 안전하게 유지하는 방법을 이해하기 어려울 수 있습니다. WordPress 보안의 접근성을 높이는 것이 iThemes가 추구하는 것입니다. iThemes Security Pro와 BackupBuddy를 개인 보안 도우미로 사용하세요! 오늘날 가장 위험한 사이버 공격으로부터 WordPress 사이트를 보호하는 50가지 이상의 방법을 제공합니다.
WordPress 보안 및 보호를 위한 최고의 WordPress 보안 플러그인
WordPress는 현재 모든 웹사이트의 40% 이상을 지원하므로 악의적인 의도를 가진 해커의 손쉬운 표적이 되었습니다. iThemes Security Pro 플러그인은 WordPress 보안에서 추측을 제거하여 WordPress 웹사이트를 쉽게 보호하고 보호할 수 있도록 합니다. WordPress 사이트를 지속적으로 모니터링하고 보호하는 상근 보안 전문가가 있는 것과 같습니다.
Kiki는 정보 시스템 관리 학사 학위를 가지고 있으며 Linux 및 WordPress에서 2년 이상의 경험을 가지고 있습니다. 그녀는 현재 Liquid Web 및 Nexcess의 보안 전문가로 일하고 있습니다. 그 전에 Kiki는 Liquid Web Managed Hosting 지원 팀의 일원으로 수백 명의 WordPress 웹 사이트 소유자를 도왔고 자주 발생하는 기술적 문제를 배웠습니다. 글쓰기에 대한 그녀의 열정은 사람들을 돕기 위해 그녀의 지식과 경험을 공유할 수 있게 합니다. 기술 외에도 Kiki는 우주에 대해 배우고 실제 범죄 팟캐스트를 듣는 것을 즐깁니다.