안전한 WooCommerce 스토어를 위한 9가지 체크리스트

WooCommerce는 WordPress용으로 널리 사용되는 전자 상거래 플러그인으로 모든 온라인 상점의 28% 이상을 차지합니다. 공개적으로 액세스할 수 있는 소프트웨어인 WordPress는 고유한 WooCommerce 웹 사이트를 구축하기 위해 사용자 지정 및 수정할 수 있습니다. 반면에 인터넷의 모든 웹사이트와 마찬가지로 워드프레스 웹사이트도 해커에 취약합니다. 그리고 피할 수 있는 보안 문제로 인해 WordPress 핵심 웹 사이트와 실제로 관련이 없습니다.

이 게시물에서는 전자 상거래 상점이 악의적인 사용자에 의해 손상되는 것을 방지하기 위한 최고의 WooCommerce 보안 팁을 안내합니다. 다양한 방식으로 이를 계획하고 구현할 수 있지만 사이트 보안을 최적화하기 위한 쉽고 효과적인 솔루션이 있으며 여기에서도 이에 대해 설명합니다.

WooCommerce 보안을 강화하기 위한 9가지 체크리스트

다음은 WooCommerce 보안을 강화할 수 있는 방법입니다. 이러한 보안 조치 중 일부는 스스로 쉽게 구현할 수 있고 나머지는 WordPress 전문가의 개입이 필요합니다.

1. 플러그인을 최신 상태로 유지

플러그인 및 테마 업데이트는 필수적입니다. 이유는 다음과 같습니다.

• 해커는 플러그인 및 테마의 취약점을 악용하고 해당 플러그인/테마를 통해 웹사이트를 공격할 수 있습니다. 그들은 비즈니스 및 고객 데이터에 액세스하여 다크 웹에서 판매하거나 자금을 이체하거나 사기를 저지르는 등의 불법 행위에 성공할 수 있습니다.

• 오래된 플러그인은 보안 침해의 91%를 담당하므로 업데이트가 필요합니다. 또한 수천 개의 웹 사이트가 매일 해킹됩니다. 해커가 상점에 침입하면 순진한 사용자에게 악성 코드를 전달할 수 있습니다. 또는 DDoS 공격을 시작하여 웹 사이트 속도를 늦추거나 종료하여 가동 중지 시간을 유발할 수 있으며, 이로 인해 분당 평균 5,600달러가 소요됩니다.

• 플러그인 및 테마 업데이트는 버그 수정 및 성능 개선과 함께 제공됩니다. 최신 버전은 이전 소프트웨어 버전에서 식별된 문제를 수정하고 새로운 기능을 추가할 수도 있습니다. 플러그인/테마를 유지 관리하면 사용 가능하고 안전하게 유지됩니다.

WordPress 테마 또는 플러그인을 업데이트하려면 WordPress 관리자의 '업데이트' 탭을 방문하세요. 라이브 사이트에 적용하기 전에 변경 사항을 테스트하기 위해 먼저 스테이징 사이트(라이브 웹사이트의 복제본)에서 테마/플러그인을 업데이트하는 것이 좋습니다. 플러그인을 업데이트하면 플러그인 코드가 코어 WP 파일에 사용된 코드와 호환되지 않아 '치명적인 오류'가 발생할 수 있기 때문입니다.

기술적 배경이 있는 경우 스테이징 사이트를 더 쉽게 설정할 수 있습니다. 그렇지 않은 경우 전문가가 설정하여 업데이트를 설치할 수 있는지 확인할 수 있습니다. WooCommerce 보안을 돌보고 업데이트 문제로 인한 결과를 피할 수도 있습니다.

2. 전용 WooCommerce 호스팅 제공업체 선택

WooCommerce를 위한 특별한 호스팅이 필요하십니까? 음, 평균 WooCommerce 사이트가 데이터베이스 집약적이며 높은 트래픽을 수용해야 하는 점을 감안할 때 전용 WooCommerce 호스팅 회사는 일반 호스팅 서비스보다 더 적합합니다. WooCommerce 보안의 관점에서 이러한 공급자는 귀하의 사이트에서 필요한 모든 영역을 포괄하는 전문적인 지원을 제공할 것으로 기대할 수 있습니다.

다음은 호스팅 제공업체를 찾을 때 검토해야 할 몇 가지 보안 기능입니다.

• 암호화된 연결을 활성화하고 해커가 이름, 주소, 암호, 신용 카드 번호 및 기타 민감한 데이터를 보지 못하도록 차단하는 SSL 인증서.

• 자동 백업을 통해 공격 발생 시 사이트를 백업하고 실행할 수 있습니다.

• 공격 모니터링을 통해 실시간으로 공격을 탐지하고 완화합니다.

• 지식이 풍부한 WooCommerce 호스팅 전문가의 연중무휴 지원을 통해 보안 문제를 도와드립니다.

• 라이브로 푸시하기 전에 스토어에 대한 플러그인 및 변경 사항을 안전하게 테스트하기 위한 내장 스테이징 환경.

성능 측면에서 공급자가 약속한 가동 시간 보장에 집중할 수 있습니다. 많은 제품이 있는 대규모 WooCommerce 사이트가 있고 매일 상당한 트래픽을 유도하는 경우 99.9% 가동 시간 보장이 제공됩니다.

3. WordPress 보안 플러그인을 사용하여 방화벽 설정

호스팅 공급자가 방화벽을 제공하더라도 웹 사이트 수준에서 방화벽을 설정하면 또 다른 보안 계층이 추가되어 컴퓨터 네트워크에 대한 무단 액세스를 방지할 수 있습니다. 플러그인을 사용하여 방화벽을 설정하고 고급 기술 지식이 있는 경우 사용자 정의를 추가할 수 있습니다. WordFence는 신뢰할 수 있는 WordPress용 방화벽입니다. 다음과 같은 기능 모음을 제공하는 완전한 WordPress 보안 플러그인입니다.

• 악성 트래픽을 식별하고 차단하는 WAF(웹 애플리케이션 방화벽)

• 정의된 잘못된 로그인 시도 횟수 후에 사용자를 차단하는 무차별 대입 공격으로부터 보호

• 해커가 사이트에 설치했을 수 있는 악성 소프트웨어를 식별하기 위한 맬웨어 검사

• reCAPTCHA 및 이중 인증과 같은 로그인 보안 활성화

가장 중요한 WordFence 기능의 대부분은 무료 버전에서 사용할 수 있습니다. 프리미엄 버전으로 업그레이드하는 비용은 연간 99달러이며 실시간 IP 차단 및 방화벽 규칙과 같은 고급 기능이 함께 제공되어 WordFence 팀이 이를 감지하는 즉시 새로운 위협 및 맬웨어로부터 사이트를 보호합니다.

WordFence와 같은 올인원 보안 플러그인이 제공하는 기능을 수동으로 구현할 수 있습니다. 일부는 수행하기가 쉽지만 특별한 요구 사항이 있습니다. 예를 들어 자체 방화벽을 설정하려면 서버에 대한 전체 액세스 권한이 필요하며 이는 전용 서버를 사용하지 않는 한 불가능합니다. 또한 웹 개발 기술이 있는 경우에만 간단하고 즐거운 명령줄 인터페이스에서 작업해야 합니다.

4. 로그인 페이지를 더 안전하게 만드세요

웹사이트의 관리 영역은 다양한 사용자 이름과 암호 조합을 시도하여 WP 관리자에 대한 액세스를 시도하는 무차별 대입 공격의 위협을 받고 있습니다. 무차별 대입 공격 또는 도난당한 자격 증명의 사용은 해킹 내 위반의 80% 이상을 차지합니다. 스토어의 관리자 로그인 페이지 보안을 강화하기 위해 취할 수 있는 몇 가지 WooCommerce 보안 조치가 있습니다.

사용자 이름을 'admin'에서 다른 것으로 변경하십시오.

해커의 일반적인 속임수는 기본 WordPress 관리자 사용자 이름인 'admin'을 악용하여 계정에 로그인을 시도하는 것입니다. WordPress의 초기 버전은 기본적으로 'admin' 사용자 이름으로 설정되어 있으므로 상점 소유자가 이를 사용하는 습관이 있을 수 있습니다. Wp-admin 공격의 위험을 줄이기 위해 'admin'을 다른 이름으로 변경하는 것이 필요하며 아무 것도 없습니다! 단계는 다음과 같습니다.

1. 이동 > 새 사용자 추가
2. 원하는 사용자 이름으로 새 사용자를 만들고 '관리자' 역할을 부여합니다.
3. 이전 'admin' 계정에서 로그아웃하고 새 계정으로 로그인합니다.
4. 사용자 목록으로 돌아가서 이전 '관리자' 계정을 삭제합니다.

이중 인증(2FA) 활성화

이중 인증을 사용하려면 두 가지 방법으로 신원을 확인해야 합니다. WordPress 관리자 계정에 대한 액세스를 제한하기 위한 두 번째 방어선 역할을 합니다. 보호하려는 계정에 2FA를 추가하는 인증 앱으로 활성화할 수 있습니다.

인증 앱은 WP 관리자 계정에 로그인하는 사람이 본인임을 확인하는 데 사용할 수 있는 일회성 코드를 생성합니다. 먼저 스마트폰이나 태블릿에서 인증 장치를 설정해야 합니다. 이 과정에서 앱은 QR 코드를 스캔하거나 휴대전화에 카메라가 없는 경우 코드를 수동으로 입력하여 휴대전화에 저장하는 비밀 키를 생성합니다. 이를 통해 앱의 서버와 휴대전화에 비밀 키 사본이 있습니다. 그런 다음 로그인하기 위해 사용자 이름과 비밀번호를 입력할 때마다 앱에서 관리자 계정에 로그인하기 위해 입력하는 액세스 코드(일반적으로 6자리 숫자)를 보냅니다.

다음은 WordFence를 사용하여 2FA를 설정하는 방법의 예입니다.

1. Google Authenticator와 같은 인증 앱을 스마트폰이나 태블릿에 다운로드
2. WordFence 설치 및 활성화
3. 워드펜스 '로그인 보안' 페이지로 이동
4. 인증 앱을 열고 WordFence에 표시되는 QR 코드를 스캔하세요.
5. 복구 코드 섹션에서 '다운로드'를 클릭하세요. 그러면 인증 앱에 액세스할 수 없는 경우에 사용할 수 있는 일련의 코드가 제공됩니다.
6. 인증 앱의 6자리 코드를 입력하세요.
7. '활성화' 클릭

5. 상점 계정에 강력한 암호 요구

WooCommerce는 비즈니스 모델에 맞는 상점을 만들 수 있는 유연성을 제공합니다. 여기에는 팀 내에서 다양한 액세스 수준을 제공하는 것이 포함됩니다. 모든 팀원의 스토어 계정을 보호하는 것은 WooCommerce 보안을 강화하는 간단한 방법입니다.

직원들은 비밀번호가 강력해야 한다는 것을 알고 있지만 1초 이내에 해킹될 수 있는 약한 비밀번호를 사용하는 경향이 있습니다. 강력한 암호 정책은 복잡한 암호를 생성해야 할 필요성을 반복할 수 있습니다. 상점 관리자 또는 관리자와 같은 일부 역할만 보안 암호를 생성하도록 하는 것보다 모든 사용자에 대해 암호 복잡성 정책을 시행하는 것이 더 안전한 옵션입니다.

이를 달성하는 한 가지 방법은 iThemes 보안 플러그인을 사용하여 상점 계정이 강력한 암호를 설정하도록 하는 것입니다. 방법은 다음과 같습니다.

1. 플러그인 설치 및 활성화
2. 설정 페이지에서 웹사이트 유형으로 '전자상거래'를 선택합니다.
3. 사용자로 'Self' 선택
4. 플러그인이 '비밀번호 정책으로 사용자 계정을 보호하시겠습니까?'라고 물으면 토글을 '예'로 설정합니다.

6. 모든 타사 전자 상거래 플랫폼에 대해 고유한 암호 생성

WooCommerce 보안에서 종종 간과되는 측면은 비밀번호 해킹에 대한 WooCommerce 스토어에 연결된 서비스에 사용하는 여러 계정의 취약성입니다. WooCommerce 스토어에 연결한 모든 서비스에 동일한 비밀번호를 사용하면 해커의 작업이 쉬워집니다. 대신 고려해야 할 사항은 다음과 같습니다.

• Stripe 및 PayPal과 같은 모든 결제 게이트웨이, 호스팅 및 WooCommerce 스토어에 사용하는 기타 타사 서비스에 고유한 비밀번호를 설정하십시오. 비밀번호 중 하나가 노출되더라도 다른 계정은 안전합니다.

• 암호가 서로 충분히 구별되는지 확인하십시오. 단순히 숫자나 문자를 변경하거나 추가하여 비밀번호를 재사용하는 것은 효과가 없습니다.

7. 정기적인 매장 백업 유지

백업이 해커로부터 사이트를 보호하지는 않지만 사이트가 손상된 경우 중요한 데이터에 액세스할 수 있도록 합니다. 데이터의 백업 복사본이 있으면 사이버 공격 또는 트래픽 급증으로 인한 하드웨어 오류 또는 충돌과 같은 기타 이벤트가 발생한 후 사이트를 다시 온라인 상태로 만드는 데 도움이 될 수 있습니다. 일일 백업을 통해 예상치 못한 상황이 발생했을 때 고객, 주문 및 제품 정보를 복원할 수 있고 비즈니스 연속성이 유지되어 고객과 수익 손실을 방지할 수 있습니다.

편리한 솔루션은 BlogVault와 같은 실시간 WordPress 백업 플러그인을 사용하는 것입니다. 실시간 백업은 데이터를 임의의 시점으로 복원할 수 있는 기능을 제공하며 보안 관련 문제의 지속적인 위협에 직면하는 대규모 데이터베이스가 있는 경우 특히 유용합니다.

8. 데이터베이스 보안

WordPress 데이터베이스는 웹사이트의 모든 정보를 저장하므로 매력적인 대상이 됩니다. WordPress는 데이터베이스 관리 시스템으로 MySQL을 사용합니다. WordPress 사이트의 PHP 코드에는 데이터베이스와 통신하기 위한 SQL 명령이 포함되어 있습니다. SQL이 해킹될 수 있는 방법 중 하나는 해커가 SQL 코드를 사용하여 데이터베이스를 조작하고 중요한 정보에 액세스하는 것입니다. 이러한 유형의 공격은 SQL 주입이며 데이터베이스 기반 웹 사이트에서 일반적입니다.

다행히 WordPress 데이터베이스를 보호하는 방법이 있습니다. 시작하는 데 도움이 되는 두 가지 방법이 있습니다.

기본 테이블 접두사 변경

WooCommerce 스토어의 기본 테이블 접두사는 wp_ 입니다. 이 설정을 기본값으로 두면 SQL 주입에 대한 저장소가 열립니다. 스토어를 설정할 때 PhpMyAdmin에서 이 설정을 변경하거나 DB Prefix와 같은 플러그인을 사용할 수 있습니다. 테이블 접두사를 변경하기 전에 WP 데이터베이스를 백업해야 합니다. 그리고 WordPress 유지 관리 및 보안 업데이트가 상당히 계획되어 있는 경우 웹 사이트 방문자를 유지 관리 페이지나 임시 페이지로 안내할 수 있습니다.

wp-config 파일 보호

wp-config.php 파일은 관리자 비밀번호를 포함하여 상점의 모든 데이터베이스 정보를 포함하므로 WooCommerce 상점에서 가장 중요한 파일입니다. 이 파일을 루트 하위 디렉터리의 기본 위치에서 상위 하위 디렉터리로 이동하면 잠재적인 해커가 파일을 찾기가 더 어려워집니다.

참고: Codeable은 게시물에 언급된 (플러그인) 권장 사항과 관련이 없습니다.

9. 검증된 WordPress 보안 전문가 고용

WooCommerce 스토어를 안전하게 유지하기 위해 취할 수 있는 가장 효과적인 조치는 WordPress 보안 전문가를 고용하는 것입니다. 기본 SSL 인증서 설치부터 대규모 전자 상거래 사이트에 대한 무차별 대입 공격으로부터 보호하기 위한 방화벽 구현에 이르기까지 보안 전문가를 고용하면 주문 관리 및 재고 추적과 ​​같은 매장의 다른 부분에 집중할 수 있습니다.

WooCommerce 보안 전문가를 찾는 방법

DIY, 에이전시 고용 또는 웹상의 수많은 시장에서 프리랜서를 찾는 등 다양한 옵션이 있습니다. WordPress 보안 전문가를 제공하는 기관은 일반적으로 패키지에 다양한 서비스를 포장하므로 이 옵션을 선택하면 필요하지 않을 수 있는 서비스에 주의하십시오.

프리랜서 마켓플레이스에서 추가 비용을 지불하여 검증된 WP 개발자를 선택하거나 직접 평가해야 합니다. 이러한 사이트에서 가장 좋은 입찰을 선택하고 프리랜서가 자신이 유능하다고 느끼는 프로젝트에 입찰할 것이라는 보장은 없습니다. 단순히 사이트에서 이 요구 사항을 명시적으로 지정하지 않기 때문입니다.

더 나은 옵션은 Codeable에서 보안 전문가를 찾는 것입니다.

• Codeable은 워드프레스에 특화된 프리랜서 플랫폼입니다.
• 귀하의 프로젝트와 유사한 보안 프로젝트를 수행한 검증된 WordPress/WooCommerce 전문가와 일치시킵니다. 이렇게 하면 추측을 제거하고 작업에 적합한 사람을 확보하는 데 도움이 됩니다.
• Codeable이 일반 프리랜스 마켓플레이스와 다른 점은 프로젝트를 성공적으로 실행할 수 있는 전문가와만 작업할 수 있다는 것입니다. 고민 끝에 프로젝트에 동의한 WooCommerce 보안 전문가에게 접근할 수 있어 안심할 수 있습니다.
• Codeable은 소규모 프로젝트나 보안 감사와 같은 일회성 작업에 적합한 옵션입니다. 대행사를 고용하는 것보다 비용이 적게 들고 전략적 활동을 위한 상당한 시간을 절약할 수 있습니다.
• 채용 절차는 간단하며 WooCommerce 보안 및 유지 관리 계획에 대해 마음이 바뀌더라도 고용할 의무가 없습니다.

새로운 위협으로부터 WooCommerce 스토어 보호

Woocommerce 보안 계획을 마련하면 기존 및 새로운 사이버 보안 위협에 효과적으로 대응할 수 있습니다. 워드프레스 및 전자 상거래 관련 보안 문제를 사전에 관리하는 것은 비즈니스 중단 없이 수행하고 해킹으로 인한 재정적 손실을 방지하며 고객의 신뢰를 유지하는 데 필수적입니다.

Codeable의 WordPress 보안 전문가가 보안 위험을 관리하는 데 도움을 줄 수 있습니다.

프로젝트를 제출하고 보안 문제를 즉시 완화하십시오. Codeable은 비용 친화적이며 환불 보장을 제공하므로 작은 작업으로 테스트한 다음 더 큰 보안 프로젝트에 사용할지 여부를 결정할 수 있습니다.