비밀번호 위반이란 무엇입니까?

게시 됨: 2022-06-10

비밀번호 위반이란 무엇입니까? WordPress 웹사이트에서 이러한 일이 발생하지 않도록 하려면 어떤 조치를 취해야 하나요?

인터넷과 웹사이트 로그인 양식이 시작된 이래로 우리는 모두 온라인 개인 정보를 보호하기 위해 안전하고 깨지지 않는 암호를 사용하도록 배웠습니다. 그러나 WordPress 사이트 소유자로서 그 어느 때보다 중요합니다. 지속적인 사이버 보안 위협으로 인해 해커가 웹 사이트를 인수할 수 있는 암호 위반을 방지하기 위한 조치를 취해야 합니다.

이 가이드에서는 비밀번호 위반의 위험과 WordPress 사이트를 완전히 제어하는 ​​데 사용되는 방법에 대해 알아봅니다. 또한 비밀번호 침해로부터 사이트를 보호하기 위해 무엇을 해야 하는지 정확히 알려드립니다. 한 번 보자.

비밀번호 위반이란 무엇입니까?

간단히 말해서 비밀번호 위반은 누군가가 귀하의 허가 없이 귀하의 비밀번호에 액세스하는 경우입니다. 많은 사용자 이름과 비밀번호 조합이 손상되기 때문에 비밀번호 침해는 종종 대규모로 발생합니다. 암호 위반은 종종 누출과 데이터베이스 덤프를 초래합니다. 이러한 데이터베이스 덤프는 다크 웹에 공개되거나 판매되기도 합니다.

암호 위반은 여러 가지 이유로 큰 문제입니다. 첫 번째는 분명히 해커가 온라인 계정에 액세스할 수 있다는 것입니다. 암호가 데이터 유출에 포함되면 온라인 보안이 크게 저하됩니다.

설상가상으로 여러 계정에 대해 암호를 재사용하는 경우 해당 계정이 모두 손상됩니다. 최근 Verizon 데이터 침해 조사 보고서에 따르면 직원의 70% 이상이 직장에서 비밀번호를 재사용합니다. 그러나 Verizon 보고서에서 가장 중요한 통계는 해킹 관련 침해의 81%가 도난 당했거나 취약한 암호를 활용했다는 것입니다.

비밀번호 위반

MITM(Man-In-the-Middle) 공격이란 무엇입니까?

비밀번호 침해와 관련하여 MITM(Man-In-the-Middle) 공격을 이해하는 것이 중요합니다. 중간자 공격은 해커가 정보 또는 데이터의 발신자와 수신자 사이의 중개자 위치에 자신을 배치하는 사이버 공격의 일반적인 용어입니다.

해커가 사용자의 웹 브라우저와 현재 방문 중인 웹 사이트 사이에 있는 경우를 예로 들 수 있습니다. 중간에 위치하여 공격자가 도청할 수 있고 많은 경우 두 개의 서로 다른 위치 간에 송수신되는 대상 콘텐츠를 수정할 수 있습니다.

해커가 사이트 사용자의 로그인 자격 증명을 캡처할 수 있는 경우 해당 정보를 사용하여 WordPress 사이트에 대한 권한 있는 액세스 권한을 얻을 수 있습니다. 또한 사이트의 관리자 자격 증명을 캡처할 수 있는 경우 사이트를 완전히 다른 위치로 리디렉션하는 것을 포함하여 원하는 모든 작업을 사이트에 수행할 수 있습니다.

해커가 로그인을 위해 암호와 자격 증명을 훔치는 방법

해커는 피싱, 인증 쿠키 도용, 안전하지 않거나 암호화되지 않은 연결 감시를 포함하여 비밀번호 도용에 다양한 기술을 사용합니다.

암호 위반이 어떻게 발생하고 자격 증명이 도난당할 수 있는지 완전히 이해하려면 먼저 브라우저의 내장 개발자 도구를 사용하여 제출된 자격 증명이 포함된 비보안 HTTP 요청을 살펴봐야 합니다.

이것은 메시지 가로채기(Man-In-the-Middle) 공격이 아니지만 그럼에도 불구하고 암호 위반임을 명심하십시오. 그리고 이 정보는 이 프로세스에서 나중에 찾아야 할 사항을 설명하는 데 도움이 됩니다.

이제 해커가 암호화되지 않은 HTTP 트래픽을 검사할 때 무엇을 보는지 살펴봐야 합니다. 이 예에서는 Wireshare라는 도구를 사용하고 있습니다. 이것은 누구나 사용할 수 있는 인기 있는 무료 네트워크 분석 도구입니다. 귀하와 동일한 WiFi 네트워크에 있는 악의적인 사용자는 이러한 도구를 사용하여 HTTPS를 통해 암호화되지 않은 민감한 정보를 얻을 수 있습니다.

쿠키는 웹사이트 인증과 정확히 어떤 관련이 있습니까?

단순히 로그인 자격 증명과 암호를 훔치는 것 외에도 지식이 풍부한 해커가 인증 쿠키를 훔쳐 웹사이트에서 완전히 가장하는 데 사용할 수 있습니다.

HTTP가 stateless 프로토콜이라는 것을 이해하는 것이 중요합니다. 즉, HTTP에서 서버는 동일한 TCP 소켓을 통해 도착하는 요청에 개별적인 의미를 첨부하지 않습니다.

이것이 의미하는 바는 사이트에서 페이지를 요청할 때마다 전체 비밀번호를 입력하지 않으려면 브라우저가 사이트를 탐색할 때 따라오는 임시 토큰을 저장해야 한다는 것입니다.

이 토큰을 세션 토큰이라고 합니다. 그리고 브라우저는 웹사이트에서 요청할 때마다 이 토큰을 자동으로 보냅니다. 다행히 웹 브라우저에는 이 정확한 기능을 위해 내장된 메커니즘이 있습니다. 그리고 그 메커니즘은 쿠키입니다.

그렇기 때문에 브라우저에 저장된 모든 쿠키를 삭제하면 이전에 로그인했던 모든 웹사이트에서 로그아웃됩니다.

이는 해커와 악의적인 공격자가 암호 위반을 유발하고 사용자를 가장하기 위해 암호를 알 필요조차 없음을 알려줍니다. 그들이 해야 할 일은 세션 토큰에 손을 대고 사이트에 바로 로그인할 수 있다는 것입니다.

WordPress 암호 위반의 이전 예에서와 같이 이제 Wireshark를 사용하는 공격자가 동일한 동일한 정보에 액세스할 수 있음을 알 수 있습니다.

그런 다음 Cookie-Editor와 같은 완전 무료 브라우저 확장을 사용하여 해커는 웹 브라우저에서 훔친 쿠키의 가치를 쉽게 사용하고 WordPress 관리 대시보드에서 사용자처럼 탐색을 시작할 수 있습니다. 그리고 그로 인해 자신이나 웹 사이트에 좋은 것은 없습니다.

비밀번호 침해로부터 자신을 보호하는 방법

일부 유형의 암호 위반 공격은 숙련된 해커가 수행하기에는 매우 낮은 노력입니다. 그리고 이것은 특히 보안이 취약하거나 공용 WiFi 위치와 같은 공용 네트워크에 해당됩니다.

다행히 WordPress 사이트를 비밀번호 위반으로부터 보호하는 것은 매우 간단합니다. 모든 책임 있는 WordPress 웹사이트 소유자는 전체 웹사이트를 망칠 수 있는 공격을 피하기 위해 즉시 집중해야 합니다.

무엇보다도 관리하는 모든 WordPress 사이트에서 HTTPS를 활성화하고 시행해야 합니다. 이는 사용자에게 사이트 로그인 권한이 부여되지 않은 경우에도 크든 작든 모든 유형의 WordPress 사이트에 대한 절대적인 요구 사항입니다.

간단히 말해서 HTTPS는 브라우저와 사이트 서버 간의 모든 트래픽을 암호화합니다. 공격자가 HTTPS로 암호화된 트래픽의 내용을 읽으려고 시도하면 결국 왜곡되고 의미 없는 암호화된 텍스트만 보게 됩니다.

그리고 귀하의 비밀번호는 안전할 것입니다.

물론 사이트에서 HTTPS를 적용하려면 SSL 보안 인증서가 있어야 합니다. 오늘날 많은 WordPress 호스트가 무료 SSL 인증서를 제공하므로 간단합니다.

iThemes Security Pro 플러그인을 사용하여 WordPress 사이트의 비밀번호 침해 방지

로그인 양식이 포함된 다른 모든 웹사이트 애플리케이션과 마찬가지로 WordPress 콘텐츠 관리 시스템은 사용자 또는 다른 사용자가 로그인할 때 HTTP 요청 내에서 사용자 이름과 비밀번호를 제출합니다. 그리고 아마도 아시다시피 HTTP는 암호화된 프로토콜이 아닙니다.

즉, HTTPS를 사용하여 사이트를 안전하게 실행하지 않으면 사용자와 웹 서버 간의 모든 통신이 해커와 악의적인 공격자의 도청에 노출됩니다.

그러면 해커가 WordPress 사이트의 일반 텍스트 HTTP(암호화되지 않은) 트래픽을 쉽게 가로채서 수정할 수 있습니다. 물론 해커가 찾는 가장 중요한 정보는 암호를 포함하여 사이트 관리자의 로그인 자격 증명입니다. 그렇기 때문에 WordPress 사이트에 항상 HTTPS를 사용하는 것이 중요합니다. 다음은 HTTP와 HTTPS가 무엇을 의미하는지에 대한 빠른 가이드입니다.

WordPress 웹 사이트가 있는 경우 최고의 방어선 중 하나는 iThemes Security Pro 플러그인입니다. iThemes Security는 사용자 계정을 보호하고 WordPress를 강화하도록 설계된 기능을 갖춘 강력한 WordPress 보안 플러그인입니다.

예를 들어, iThemes Security Pro의 비밀번호 요구 사항 기능은 비밀번호 정책일 뿐만 아니라 비밀번호 시행 도구이기도 합니다.

암호 요구 사항 기능을 사용하면 대시보드 내의 모든 WordPress 사용자 그룹의 구성원이 다음을 수행하도록 쉽게 할 수 있습니다.

  • 강력한 암호 사용
  • 암호가 만료되고 각 그룹 내 사용자가 재설정할 할당된 시간을 선택합니다.
  • 손상된 암호 거부(이렇게 하면 사용자가 Have I Been Pwned에 의해 추적된 암호 위반에 나타나지 않은 암호를 사용하게 됨)
  • 사이트의 모든 사용자가 구현 중인 새로운 강력한 비밀번호 정책을 준수하도록 전체 사이트 비밀번호를 강제로 변경합니다.

iThemes Security Pro 암호 요구 사항 기능은 이 가이드에서 방금 논의한 암호 위반 공격 등으로부터 WordPress 로그인 자격 증명을 보호하기 위해 작동합니다.

사실, 모든 종류의 악의적인 공격으로부터 사이트를 보호하는 것이 중요한 경우 WordPress 사이트 소유자가 없어야 하는 완전한 WordPress 보안 제품군입니다.

또한 버튼을 한 번만 클릭하여 암호 정책을 시행할 수 있습니다. 진실은 대부분의 사람들이 저항이 가장 적은 길을 택한다는 것입니다. 취약하거나 손상된 비밀번호를 사용하는 옵션을 제거하면 귀하와 귀하의 사이트를 사용하는 모든 사람이 비밀번호 위반으로 인한 피해로부터 계정을 완전히 보호할 수 있습니다.

추가 암호 예방 조치

WordPress 사이트에서 즉시 HTTPS를 활성화한 다음 비밀번호 위반 공격으로부터 보호하기 위해 보안 제품군을 설치해야 한다는 점은 의심의 여지가 없지만 WordPress 보안 및 강화와 관련하여 취해야 할 몇 가지 추가 조치가 있습니다.

  • 2FA(2단계 인증)를 추가하여 WordPress 사이트 인증 메커니즘의 보안을 강화하십시오. iThemes Security Pro 플러그인이 도움이 될 것입니다.
  • iThemes Security의 무차별 대입 방지 기능을 사용하여 암호 추측 공격 및 DDoS 공격과 같은 해킹 시도를 방지하기 위해 사이트에서 실패한 로그인 시도를 제한하십시오.
  • 보안 로깅을 켜면 WordPress 관리 대시보드에 대한 무단 액세스를 모니터링할 수 있습니다.
  • 무단 또는 의심스러운 파일 변경 사항을 감지하려면 WordPress 사이트에서 파일 변경 감지를 활성화해야 합니다.
보너스 콘텐츠 받기: 암호 없는 로그인 시작하기
여기를 클릭하십시오

마무리: WordPress 사이트에서 비밀번호 위반 방지

성공적인 암호 위반은 WordPress 사이트 소유자에게 발생할 수 있는 가장 파괴적인 일 중 하나입니다. 그리고 세계에서 가장 큰 웹사이트도 그 위험에서 자유롭지 못합니다.

그러나 이 가이드를 공부한 후에는 이 치명적인 타격을 방지하는 데 도움이 되는 도구를 사이트에 사용할 수 있습니다.

그리고 여기에서 설명하는 올바른 도구의 도움으로 더 안전한 WordPress 사이트를 운영할 수 있습니다.

WordPress 보안 및 보호를 위한 최고의 WordPress 보안 플러그인

WordPress는 현재 모든 웹사이트의 40% 이상을 차지하므로 악의적인 의도를 가진 해커의 쉬운 표적이 되었습니다. iThemes Security Pro 플러그인은 WordPress 보안에서 추측을 배제하여 WordPress 웹사이트를 쉽게 보호하고 보호할 수 있습니다. 귀하의 WordPress 사이트를 지속적으로 모니터링하고 보호하는 전임 보안 전문가를 직원으로 두는 것과 같습니다.

iThemes 보안 프로 받기