2단계 인증: WordPress 사용자를 위한 가이드
게시 됨: 2023-01-03온라인 뱅킹 및 사용자에게 가장 높은 보안이 필요한 모든 사이트에서 2단계 로그인 인증 프로세스를 접했을 것입니다. 워드프레스는 2단계 인증(2FA)을 지원하기 때문에 은행과 동일한 수준의 보안을 유지할 수 있습니다. 자체 WordPress 사이트이든 고객을 위해 구축한 사이트이든 강력한 보안은 기본입니다.
2단계 인증은 모든 WordPress 사이트 소유자가 진지하게 채택을 고려해야 하는 매우 중요한 보호 계층을 추가합니다. 2FA는 많은 일반적인 해킹 시도를 불가능하게 만들기 때문에 해커는 단순히 2FA로 보호되는 사이트를 피하고 작동하지 않을 것이라고 알고 있는 방법으로 침입하려고 시도하지 않습니다. 모든 WordPress 사이트는 이중 인증이 제공하는 추가 보안 계층의 이점을 누릴 수 있습니다.
강력한 암호만으로는 충분하지 않은 이유
사이버 위협은 귀하와 귀하의 고객에게 심각한 위험을 초래합니다. 권한이 없는 사용자가 사이트의 관리 대시보드에 액세스하면 무슨 일이든 일어날 수 있습니다. 순식간에 모든 데이터를 잃을 수 있습니다. 한동안 웹 사이트를 제어하지 못할 수 있습니다. 범죄자가 사용자의 개인 정보를 수집할 수 있습니다. 사용자는 만족하지 않을 것이지만 발생한 일을 사용자에게 알려야 합니다. 법률에 따라 개인 식별 데이터 위반을 공개해야 합니다.
예, 사이트와 사용자를 보호하려면 모든 사용자 계정에 강력한 암호를 요구하는 것이 항상 중요합니다. 그러나 강력한 암호만으로는 충분한 보호 기능을 제공하지 않습니다. 공격자는 강력한 암호를 추측하거나 훔친 암호를 사용하여 사이트에 침투할 수 있습니다. 이는 이제 일반적인 현실이며 기존의 암호 기반 로그인은 단일 보안 계층으로 적합하지 않습니다.
강력한 암호는 추가 보안 계층 없이는 충분히 강력한 보호 기능을 제공하지 않습니다. 모든 사용자 계정에 2단계 인증을 사용하면 사이트 보안과 고객 보호에 필요한 추가 계층이 추가되기 때문에 훨씬 더 효과적인 보안 조치입니다. 강력한 비밀번호를 강제할 필요가 없다는 말은 아닙니다. 여전히 그렇게 해야 합니다. 그런 다음 2FA를 추가하세요!
이중 인증은 비교적 쉽게 설정할 수 있습니다. 그렇게 하면 악의적인 무단 사용자가 WordPress 사이트에 대한 관리자 액세스 권한을 얻을 위험이 크게 줄어듭니다. 이겨라, 이겨라!
2단계 인증으로 무차별 암호 대입 공격 차단
무차별 대입 로그인 공격을 막는 것은 WordPress 사이트에 추가되는 이중 인증 보호의 좋은 예입니다. 무차별 암호 대입 공격은 일반적인 위협이지만 2단계 인증을 통해 이를 제거할 수 있습니다. 무차별 대입 로그인 공격에서 해커는 관리자 및 기타 사용자 계정에 대해 많은 공통 및 사전 기반 암호를 신속하게 테스트합니다. 때때로 해커는 로그인 화면에서 훔친 사용자 이름, 이메일 주소 및 비밀번호 조합의 대규모 목록을 테스트합니다.
수천 건의 불법 로그인에 대한 자동화된 스크립트 테스트로 인해 사이트 속도가 느려지거나 오프라인 상태가 될 수 있습니다. 이러한 이유로 무차별 대입 로그인 공격은 종종 서비스 거부 공격의 영향을 받습니다. 그러나 귀하와 귀하의 모든 사이트 사용자가 2단계 인증을 활성화한 경우 이러한 무차별 대입 방법은 전혀 작동 하지 않습니다 . 어떤 해커도 대규모 사이트에서 무차별 대입 로그인을 시도하고 싶어하지 않을 것입니다. 그들에게는 성공의 가능성이 없을 것입니다.
WordPress 사이트에 2단계 인증 추가
이 가이드에서는 2FA에 대해 자세히 설명합니다. WordPress 플랫폼에서 사용자 인증이 작동하는 방식을 배웁니다. 그런 다음 WordPress 플러그인으로 2FA를 구현하는 방법을 설명합니다.
WordPress에 이중 인증이 있습니까?
WordPress 코어에는 2단계 인증이 내장되어 있지 않습니다 . 당신은 그것을 추가해야합니다.
2단계 인증은 WordPress 플러그인과 때로는 외부 서비스를 사용하여 사이트에 추가하는 추가 보안 계층입니다. 즉, 기본 WordPress 설치의 핵심 사용자 계정 기능을 기반으로 합니다. 2FA를 사용하면 WordPress 사이트에서 비밀번호뿐만 아니라 로그인을 시도할 때마다 각 사용자의 신원을 확인하기 위한 추가 정보가 필요합니다.
2FA 확인은 다음과 같이 인증된 사이트 사용자가 액세스할 수 있는 소스에서 가져옵니다.
- 휴대전화에 문자 메시지, 전화 또는 알림 푸시
- 이메일로 전송된 링크 또는 코드
- QR 코드
이중 인증은 매우 안전합니다. 악의적인 공격자와 해커는 사용자의 외부 채널과 장치에 물리적으로 액세스할 수 없습니다. 즉, 암호를 해독할 수 있더라도 두 번째 인증 단계 없이는 사이트에 무단으로 액세스할 수 없습니다. 사용자의 암호로 침입하려면 사용자의 이메일, 컴퓨터 또는 전화도 침입해야 합니다. 이는 발생할 수 있지만 매일 수백만 개의 암호를 테스트하는 스크립팅된 무차별 대입 공격과 비교할 때 극히 드뭅니다.
내 WordPress 사이트에 2FA가 필요합니까?
2단계 인증을 실행하면 온라인 세계의 많은 악의적인 행위자가 사이트에 대한 무단 액세스 시도조차 차단할 수 있습니다. 반드시 필요한 것은 아니지만 그러한 보호와 마음의 평화가 필요하지 않은 사람이 어디 있겠습니까?
WordPress 사이트가 해킹당했거나 해킹당한 사람에 대해 들어본 적이 있다면 평판에 즉각적이고 돌이킬 수 없는 피해를 줄 수 있는 스팸 링크, 리디렉션 및 악성 코드가 얼마나 빨리 퍼질 수 있는지 알 것입니다.
설상가상으로 WooCommerce를 사용하여 전자상거래 사이트를 운영하는 경우 해커가 이름, 주소, 전화번호, 이메일 주소, 심지어 신용카드 번호와 같은 고객 데이터에 액세스할 수 있습니다.
그런 일이 발생하면 난장판을 파헤치는 데 어려움을 겪을 것입니다.
워드프레스 2FA는 암호가 노출되더라도 두 번째 보호 계층이 해커에 대한 깨지지 않는 자물쇠로 남아 있는 한 계정이 안전하고 안전하게 유지되도록 하는 동시에 나쁜 사람들을 막는 두 번째 방어선입니다.
WordPress 사이트 소유자는 2단계 인증 기능이 100% 옵트인임을 이해하십시오. 핵심 기능이 아니므로 원하는 경우 사이트에 구현하기만 하면 됩니다. 완전 무료이며 거의 깨지지 않는 보호 계층을 추가하여 해킹 및 공격에 대한 많은 걱정을 덜어줍니다.
즉, 2FA는 워드프레스 사이트 보안에 대한 간단한 접근 방식으로, 아직 사용하지 않는 경우 모든 사람이 사용해야 하거나 암호 대신 암호 키를 사용하는 더 강력하고 안전한 로그인 방법입니다.
여러 사용자가 있는 WordPress 사이트에 대한 2FA의 이점
수정되지 않은 표준 WordPress 로그인 페이지에서 귀하와 귀하의 사용자는 사용자 이름과 비밀번호를 입력하기만 하면 사이트에 액세스할 수 있습니다. 로그인 자격 증명을 제출한 후 사용자 이름과 암호 조합이 WordPress 데이터베이스에 있는 것과 일치하면 사용자는 WordPress 백엔드에 대한 액세스 권한과 적용한 권한 규칙에 따라 모든 권한을 즉시 얻습니다.
WordPress에는 6개의 사전 정의된 사용자 역할이 있습니다.
- 최고 관리자
- 관리자
- 편집자
- 작가
- 기부자
- 구독자
기본적으로 이러한 역할은 사이트에서 특정 작업 집합을 수행하도록 허용됩니다. 역할이 수행할 수 있는 작업을 "기능"이라고 합니다.
대부분의 표준 사이트 사용자는 아마도 기능이 가장 적은 구독자 역할에 있을 것입니다. 그러나 사이트의 백엔드에 정기적으로 액세스하는 추가 관리자, 편집자 및 작성자가 있을 수 있습니다. 일부 사용자는 비밀번호를 잘못 입력할 수 있고, 계정을 공유할 수 있으며, 특별한 권한을 가진 일부 사용자는 자신도 모르는 사이에 다른 사용자에게 권한을 부여할 수 있습니다. 더 이상 활성 상태가 아니거나 필요하지 않은 사용자를 제거하거나 권한을 낮추는 것을 잊을 수 있습니다. 이러한 모든 상황은 일반적이며 공격자에게 기회를 제공합니다.
해커가 관리자 사용자 이름과 암호 중 하나만 알아내면 전체 권한으로 전체 사이트에 즉시 액세스할 수 있습니다. 분명히 나쁜 일이지만 구독자도 해킹당하는 것을 원하지 않습니다. 이 경우에도 위반 사항을 보고해야 하며, 이는 귀하와 귀하의 브랜드에 대한 사용자의 신뢰를 손상시킵니다.
2단계 인증이 사용자 로그인을 보호하는 방법
2단계 인증은 이메일 메시지, 문자 메시지 또는 인증 앱을 사용하여 사용자의 신원을 이중으로 확인하여 해커가 사용자 계정에 침입하는 것을 방지합니다. 로그인 시 두 번째 인증 방법이 활성화됩니다. 결과적으로 사용자는 이러한 보조 채널 중 하나를 통해 로그인을 확인해야 합니다.
간단히 말해서, 귀하 또는 다른 사이트 사용자가 귀하의 사이트 로그인 페이지에 개인 로그인 데이터(사용자 이름 및 암호)를 입력하면 로그인을 시도하는 사용자와 연결된 이메일 주소 또는 전화 번호로 즉시 알림이 전송됩니다. 일반적으로, 이 로그인 알림에는 로그인 시도를 계속할 수 있도록 링크, QR 코드 또는 일회용 PIN이 포함됩니다.
사용자가 사이트에 들어가려면 이메일 또는 문자 메시지의 지침을 따라야 합니다. 특정 액세스 링크를 클릭하거나 PIN을 입력하라는 메시지가 표시될 수 있습니다.
이 추가 단계로 인해 로그인 프로세스가 느려지지만 추가된 보안은 사이버 범죄자가 매일 웹 전체에서 수행하는 단순한 사용자 이름 및 암호 해킹에 사이트를 노출시킬 위험보다 훨씬 큽니다.
2단계 인증은 완벽하게 안전합니까?
어떤 보안 조치도 100% 실패할 수 없습니다. 의지가 있는 해킹의 세계에서 해커는 길을 찾을 것이다. 최악의 상황이 발생하고 사이트가 해킹된 것을 발견한 경우 공격 전에 사이트를 안전한 시간으로 즉시 복원할 수 있는 WordPress 백업 플러그인을 실행하는 것이 가장 좋습니다.
2FA를 WordPress의 표준 암호 보호 프로토콜과 비교하면 이중 인증이 더 안전하다는 것을 알 수 있습니다. 이 프로세스에서는 사용자(및 귀하)가 각 사용자에게 고유한 소스에서 모든 로그인 시도를 확인해야 합니다. 일반적으로 이것은 전화 또는 개인 이메일 계정입니다. 즉, 해커는 사이트 사용자의 장치 및 외부 로그인 정보에도 액세스할 수 있는 경우에만 2FA로 보호되는 WordPress 사이트의 내부 작업에 액세스할 수 있습니다. 이런 일이 발생할 가능성은 거의 없기 때문에 2FA를 추가하면 불법 로그인을 통해 사이트가 해킹될 가능성이 훨씬 줄어듭니다.
웹 사이트와 사용자를 보호하기 위해 WordPress에 2FA를 추가하는 방법을 배울 준비가 되셨습니까? 그렇다면 사이트에 2FA 기능을 통합하고 실행하는 방법을 알아보십시오.
WordPress에서 2단계 인증을 어떻게 활성화합니까?
사이트 호스트에 따라 호스트의 cPanel 또는 사용자 포털에서 2FA 보호를 활성화할 수 있습니다.
그러나 호스트가 2FA 보호를 제공하지 않는 경우 WordPress 플러그인을 사용하여 직접 쉽게 구현할 수 있습니다.
WordPress 2단계 인증 플러그인
다음은 스크립팅된 로그인 공격으로부터 사이트를 즉시 보호하는 최고의 2FA WordPress 플러그인 중 일부입니다.
1. iThemes 보안 이중 인증
우리의 의견으로는 사용 가능한 최고의 모든 항목을 포함하는 WordPress 사이트 보안 제품군은 이중 인증을 사용하는 iThemes Security Pro입니다. 2FA로 사이트를 보호할 뿐만 아니라 다음과 같은 추가 사이트 보안 기능이 함께 제공됩니다.
- 무차별 대입 공격 보호
- 파일 변경 감지
- 404 오류 감지
- 강력한 비밀번호 시행
- 불량 봇 및 스팸 차단
- 외출 모드
iThemes Security Pro는 WordPress 보안에서 추측을 제거합니다. 보안 플러그인을 사용하기 위해 보안 전문가가 될 필요는 없으므로 iThemes Security Pro를 사용하면 기술적 지식이 많지 않아도 WordPress 웹사이트를 쉽게 보호하고 보호할 수 있습니다.
WordPress 보안 플러그인 iThemes Security Pro를 사용하여 2단계 인증을 추가하는 것은 초보 사용자도 쉽게 할 수 있습니다. 일단 설치되고 활성화되면 사이트 사용자는 보조 장치로 전송되는 시간에 민감한 코드와 함께 암호를 입력해야 합니다.
장점, 단점 및 비용
- iThemes Security Pro의 장점: 2단계 인증보다 훨씬 더 많은 보안 보호를 받을 수 있습니다. 더 좋은 점은 2FA 옵션이 강력하고 사용하기 쉽다는 것입니다. 플러그인을 활성화하면 사이트가 악의적인 로그인으로부터 완전히 보호된다는 사실을 확신할 수 있습니다.
- iThemes Security Pro의 단점: 플러그인은 다른 유료 2FA 옵션보다 비용이 더 많이 들지만 비용 대비 더 많은 효과를 얻을 수 있습니다.
- iThemes Security Pro 비용: 하나의 사이트만 보호해야 하는 경우 플러그인 비용은 연간 $80입니다. 최대 10개 사이트의 경우 연간 $127의 비용이 듭니다. 무제한 사이트의 경우 연간 $199에 플러그인을 사용할 수 있습니다. 그것은 당신이 대안을 고려할 때 할 가치가 있는 투자입니다.
2. Rublon 이중 인증
사용하기 쉬운 WordPress용 2단계 인증 플러그인을 찾고 있다면 Rublon 2단계 인증 플러그인을 살펴보십시오. Rublon 2FA 플러그인은 기술적인 장애물 없이 모든 무단 로그인으로부터 사이트를 신속하게 보호합니다.
Rublon 플러그인을 다운로드하고 설치하면 다음에 WordPress에 로그인하려고 할 때 WordPress 사용자 계정의 이메일 주소로 전송되는 확인 링크를 클릭해야 합니다. 그런 다음 신원을 확인하기 위해 링크를 클릭하면 향후 로그인을 위해 사이트에서 장치를 기억하도록 할지 묻는 메시지가 표시됩니다. 즉, 사이트에 액세스할 때마다 동일한 장치와 브라우저를 사용하는 한 로그인할 때마다 신원을 확인할 필요가 없습니다.
확인 후 다른 기기나 브라우저를 사용하는 경우 프로세스를 반복하고 해당 항목도 저장하면 됩니다. 다른 사람이 액세스할 수 있는 기기에서는 절대 이 작업을 수행하지 않도록 주의하세요!
Rublon 2FA 플러그인의 무료 버전은 사용자가 한 명뿐인 WordPress 사이트에 가장 적합한 옵션 중 하나입니다. 유료 버전으로 업그레이드하면 이 플러그인을 사용하여 다중 사용자 웹 사이트를 보호할 수도 있습니다.
장점, 단점 및 비용
- Rublon Two-Factor Authentication 의 장점: 대부분 사이트 관리자에게 손을 대지 않아도 됩니다. 플러그인을 설치하고 활성화하면 교육이나 구성이 필요하지 않습니다. 상자에서 바로 작동합니다.
- Rublon Two-Factor Authentication의 단점: 푸시 알림이나 문자 메시지 확인을 지원하지 않습니다. 따라서 2FA에 대한 이메일 확인만 가능합니다.
- Rublon Two-Factor 인증 비용: 이 플러그인의 개인 단일 웹사이트 버전은 완전히 무료입니다. 결과적으로 다중 사용자 사이트를 실행 중이거나 여러 사이트가 있는 경우 플러그인의 유료 버전을 가져와야 합니다. 이렇게 하려면 영업 팀에 견적을 문의하십시오.
3. 듀오 2단계 인증
Duo Two-Factor Authentication은 찾을 수 있는 가장 진보된 2FA WordPress 플러그인 중 하나입니다. 이를 통해 WordPress 대시보드 내에서 사용자 역할을 기반으로 2단계 인증을 설정할 수 있습니다.
예를 들어 편집자와 작성자가 2FA 로그인 프로세스를 사용하도록 요구할 수 있지만 구독자(어떠한 방식으로든 관리 대시보드에 액세스할 수 없음)는 사용자 이름과 암호만 입력하면 사이트에 들어갈 수 있습니다. 이 편리한 기능은 기본 사용자가 2단계 인증의 지연된 프로세스로 인해 좌절하지 않도록 할 수 있습니다.
이 플러그인은 또한 다음과 같은 다양한 사용자 확인 옵션을 제공합니다.
- 자동 전화
- PIN 코드가 포함된 SMS 메시지
- 모바일 앱
WordPress 2단계 인증 이메일만 제공하는 Rublon 2단계 인증 플러그인보다 더 유연한 2FA 도구입니다.
장점, 단점 및 비용
- 듀오 2단계 인증의 장점: 이 WordPress 2단계 인증 플러그인은 사용자 역할 구성을 지원하고 다양한 사용자 확인 방법을 포함합니다. 이 때문에 WordPress 사이트에 매우 다양합니다.
- Duo Two-Factor Authentication의 단점: 안타깝게도 이 플러그인은 WordPress Multisite를 지원하지 않습니다. 이러한 이유로 일부 사용자에게는 의문의 여지가 없을 수 있습니다.
- 듀오 2단계 인증 비용: 이 플러그인은 사이트에 정기적으로 로그인하는 사용자가 10명 이하인 경우 완벽한 무료 솔루션입니다. 그러나 10명 이상이면 추가 사용자당 월 3달러를 지불하여 한도를 늘릴 수 있습니다.
4. Google Authenticator – WordPress에 대한 Google의 2단계 인증
WordPress에 대한 Google 2단계 인증은 WordPress 사이트에서 2FA를 구현하기 위해 고려할 수 있는 옵션이기도 합니다.
Google Authenticator는 이메일 메시지, QR 코드 및 푸시 알림을 포함하여 악의적인 무단 로그인으로부터 사이트를 보호하는 다양한 확인 방법을 제공합니다.
Duo Two-Factor Authenticator와 마찬가지로 이 플러그인을 사용하여 특정 WordPress 사용자 역할에 대한 특정 2FA 규칙을 설정할 수 있습니다. 이 기능은 Google의 이중 인증을 WordPress의 해킹 공격에 대한 강력한 무기로 만듭니다.
사용자 이름, 비밀번호 및 추가 확인 요소를 요구하도록 Google Authenticator를 설정할 수 있습니다. 또는 비밀번호 없이 사용자 이름과 추가 요소만 요구하도록 플러그인을 구성할 수 있습니다.
장점, 단점 및 비용
- Google Authenticator의 장점: 이 플러그인은 2FA와 관련하여 특정 사용자 역할을 지원하고 SMS, QR 코드, 푸시 알림 및 자동 전화 통화를 포함하여 사이트 사용자를 확인하는 다양한 방법과 함께 제공됩니다.
- Google Authenticator의 단점: Google이 무료로 제공하는 버전은 사용이 허용되는 기능이 비교적 제한적입니다.
- Google Authenticator 비용: 무료 버전은 단일 사용자 이중 인증을 제공합니다. 연간 $15부터 여러 사용자를 위해 업그레이드할 수 있습니다.
WordPress 사이트에 2단계 인증을 배포할 때입니까?
귀하의 WordPress 사이트는 귀하의 로그인 페이지가 허용하는 만큼만 안전하다는 점을 기억하십시오. 대부분의 경우 사용자 이름과 암호에 대한 액세스를 제한하는 것만으로는 충분하지 않습니다.
2FA를 구현하면 악의적인 무차별 대입 공격으로부터 사이트, 방문자, 사용자 및 고객을 안전하게 보호할 수 있습니다.
2단계 인증으로 우수한 백업 시스템을 보완하면 사이트 보안을 위한 기본 조치를 취하는 것입니다.
Dan Knauss는 StellarWP의 기술 콘텐츠 제너럴리스트입니다. 그는 1990년대 후반부터 오픈 소스에서 일하고 2004년부터 WordPress에서 일하는 작가, 교사 및 프리랜서였습니다.