WooCommerce 스토어를 위한 5가지 출시 후 보안 팁

게시 됨: 2016-04-12

이 WooCommerce 보안 소개에서 다루었듯이 안전하고 잘 보호된 상점을 위한 토대를 만드는 것은 몇 단계만 거치면 됩니다. 그러나 우리가 제공한 대부분의 팁은 매장을 런칭하기 이나 런칭 직후에 해야 할 일입니다.

보안은 한 번만 생각하고 다시는 생각할 수 있는 것이 아닙니다. 상점을 최신 상태로 유지하지 않거나 보안 동향에 주의를 기울이지 않거나 성장 및 확장에 따른 방어를 강화하지 않으면 자신이 매우 취약한 위치에 놓이게 될 수 있으며... 또한 고객을 위험에 빠뜨릴 수 있습니다.

출시 후 매장을 보호할 수 있는 몇 가지 방법을 더 살펴보겠습니다.

1. WordPress 버전 번호 숨기기

"알았어." "뭐? 이것이 어떻게 나를 안전하게 보호합니까?”

글쎄요. 그렇지 않습니다. 직접적으로는 아닙니다. 하지만 가끔 WordPress 업데이트 속도가 조금 느리다면 소스 코드를 살짝만 보면 잠재적인 공격자에게 잠재적으로 다른 공격에 더 취약하다는 것을 쉽게 알릴 수 있습니다 .

현재 버전의 WordPress는 다음 세 곳에서 찾을 수 있습니다.

  1. 헤더의 생성기 메타 태그
  2. RSS 피드의 생성기 메타 태그
  3. 쿼리 문자열

따라서 하루나 이틀 동안 업데이트를 테스트하고 정당한 이유로 버전 번호를 숨겨야 하는 선의의 개인이라면 Frankie Jarrett의 코드를 사용하여 모든 사람에게서 버전 번호를 숨길 수 있습니다. 이 세 곳. 그의 게시물로 이동하여 선택한 다음 functions.php 파일에 붙여넣습니다 .

Frankie Jarrett의 호의로 코드를 간략히 살펴봅니다.
Frankie Jarrett의 호의로 코드를 간략히 살펴봅니다.

다시 말하지만, 버전을 숨기는 것만으로는 사용자를 보호할 수 없습니다 . WordPress, WooCommerce , 모든 플러그인 및 확장 프로그램을 업데이트된 상태로 유지해야 합니다 . 그러나 우리는 또한 테스트와 구현 사이에 종종 간격이 있다는 것을 이해하므로 이는 중간에 사용자를 안전하게 유지하는 데 도움이 될 수 있습니다.

2. 결제 페이지에서 SSL을 강제 실행

보안은 보안 연결에서 시작됩니다. 이 팁을 따르면 고객이 결제 시 민감한 청구 및 배송 정보를 입력하는 동안 감시하는 눈으로부터 고객을 보호할 수 있습니다.

WooCommerce에서 "강제 보안 체크아웃" 설정을 활성화하면 체크아웃 프로세스와 관련된 모든 페이지가 로드될 때마다 강제로 HTTPS(즉, 보안 연결)를 사용해야 합니다.

고객의 브라우저와 상점만 HTTPS 연결을 통해 전송되는 정보의 암호를 해독할 수 있으므로 이 확인란을 선택하면 결제가 안전하고 악의적인 의도를 가진 사람이 신용 카드 번호나 유입되는 기타 민감한 정보를 엿볼 수 없습니다. 그리고 당신의 가게에서.

표제
보안 체크아웃을 강제하면 귀하와 귀하의 고객 모두를 안전하게 보호할 수 있습니다. 유일한 전제 조건은 SSL 인증서입니다.

이 설정은 WooCommerce > 결제로 이동하고 두 번째 확인란을 켜거나 끄면 WooCommerce에서 켜고 끌 수 있습니다.

이 설정이 상점에서 제대로 작동하려면 유효한 SSL 인증서가 필요합니다 . 아직 SSL 인증서를 획득하지 않았다면 이 가이드를 읽고 SSL 인증서가 중요한 이유와 약간 또는 무료로 인증서를 얻는 방법에 대해 자세히 알아보세요.

문서에서 이 페이지를 읽으면 WooCommerce의 이 설정에 대해 자세히 알아볼 수 있습니다.

3. 백업 및 보안 검색을 일상적인 이벤트로 만드십시오.

보안에 대한 첫 번째 게시물에서는 신뢰할 수 있는 소프트웨어를 사용하여 사이트에서 잠재적인 취약점, 무차별 대입 공격 또는 맬웨어를 검사할 것을 권장했습니다. 이제 시작했으므로 다음 단계로 넘어갈 차례입니다.

상점이 운영되고 있는 상태에서 백업과 보안 스캔은 매일 이루어져야 합니다 . 백업은 데이터 손실이 발생한 경우에 대비할 수 있는 수단을 제공하기 때문에 중요하며 보안 스캔은 이러한 손실(또는 감염)이 처음부터 발생하지 않도록 방지합니다.

검사, 백업, 알림 빈도는 원하는 대로 설정할 수 있지만 최소한 일일 백업과 일일 검사를 권장합니다 . 일부 솔루션은 실시간 백업과 더 빈번한 스캔을 제공합니다. Jetpack의 무차별 로그인 보호도 실시간이지만 원하는 대로 빈도를 늘리거나 줄일 수 있습니다.

안정적이고 효과적인 백업 및 보안 솔루션을 찾고 있다면 Jetpack Premium 플랜이 백업과 함께 제공되며 WooCommerce 고객은 즉시 15%를 절약할 수 있습니다 . 첫날부터 마음의 평화를 위해 Jetpack을 받으십시오.

4. WordPress 데이터베이스에 사용되는 기본 접두사 변경

이상하게 보일 수 있지만, 자신의 오락을 위해 웹사이트에 공격을 가하는 불쾌한 사람들이 있습니다. 상점이 100% 안전하다고 생각할 수도 있지만 이러한 스패머와 해커가 기회가 주어지면 찾아내고 악용할 수 있는 몇 가지 사소한 취약점이 있습니다.

알려진 잠재적인 취약점 중 하나는 WordPress 설정 및 설치 중에 기본 데이터베이스 테이블 설정을 사용하는 것입니다. 이러한 설정을 변경하면 악성 코드가 서버에 주입되는 것을 방지할 수 있습니다.

WordPress 정보를 저장하는 데 사용되는 데이터베이스 테이블의 기본 접두사는 wp_입니다. 대부분의 상점 소유자는 설정하는 동안 이 접두사를 변경하지 않기 때문에(또는 호스트/설치 절차에 따라 변경할 수 있는 옵션도 없음) 기본값을 사용하면 SQL 주입 공격의 위험에 처할 수 있습니다. ) , 모두 해커가 이러한 기본 테이블의 이름을 잘 알고 있기 때문입니다.

물론 지금쯤이면 이미 WordPress와 WooCommerce를 설정했을 것입니다. 그러나 이러한 설정을 변경하기에 너무 늦은 것은 아닙니다. phpMyAdmin에서 SQL 쿼리를 한두 번 실행하면 곧바로 해결됩니다.

잘 배치된 SQL을 사용하면 테이블 접두사의 이름을 바꾸고 WordPress 설치에 또 다른 보안 계층을 추가할 수 있습니다. (이미지 크레디트: WP로 파고들기)
잘 배치된 SQL을 사용하면 테이블 접두사의 이름을 바꾸고 WordPress 설치에 또 다른 보안 계층을 추가할 수 있습니다. (이미지 크레디트: WP로 파고들기)

Digging Into WP의 이 상세하고 믿을 수 없을 정도로 유용한 단계별 자습서를 살펴보고 데이터베이스 테이블 접두사를 훨씬 더 복잡하고 훨씬 더 안전한 것으로 변경하는 방법을 배우십시오 .

SQL 쿼리가 당신의 것이 아닙니까? 동일한 작업을 수행하는 몇 가지 무료 플러그인이 있지만 주의해야 합니다. SQL 데이터베이스에 대한 무제한 액세스를 허용하는 것은 위험할 수 있습니다 . 적어도 플러그인을 사용한 후에는 이와 같은 플러그인을 제거하여 향후 의도하지 않은 이름 변경 가능성이 없도록 하십시오.

5. "관리자" 계정 제거

이 마지막 조언은 여러분 중 일부에게는 성가시게 보일 수도 있고, 다른 사람들에게는 일반적인 지식처럼 보일 수도 있습니다. 하지만 매우 중요하므로 여기에서 시간을 내어 강조하고자 합니다.

온라인 상점을 운영하는 경우 WordPress에 내장된 기본 관리자 계정을 사용하지 않는 것이 좋습니다 . 데이터베이스 테이블 접두어와 마찬가지로 해커는 이 계정이 기본적으로 존재한다는 것을 알고 있으며(매우 가능성이 높음) 무차별 대입할 수 있는 더 나은 기회를 제공합니다.

"testadmin", "administrator" 또는 "owner"와 같이 비슷하게 들리는 계정 이라도 상점을 위험에 빠뜨릴 수 있습니다. HackerTarget.com의 Attacking WordPress 페이지에서 설명하는 것처럼(걱정하지 마세요. 해킹 방법이 아니라 조언을 위한 리소스입니다.) 해커는 계정이 있다는 것을 알게 되면 도구를 사용하여 빠르게 비밀번호를 추측할 수 있습니다 .

[…]. 500개의 암호가 "testadmin" 계정(사용자 열거 중에 발견됨)에 대해 테스트되었습니다. 500개의 비밀번호가 1분 16초 만에 테스트되었습니다! 테스트가 실행되는 동안 사이트는 여전히 응답했습니다. 웹 서버 관리자는 일종의 보안 로그 모니터링 시스템이 마련되지 않았다면 공격이 발생했다는 사실을 모를 것입니다.

그들은 비밀번호를 잘못 알고 있을 수 있지만 지금은 다른 사실을 알고 있습니다. 바로 이 계정이 존재한다는 것입니다. (이미지 크레디트: HackerTarget.com)
그들은 비밀번호를 잘못 알고 있을 수 있지만 지금은 다른 사실을 알고 있습니다. 바로 이 계정이 존재한다는 것입니다. (이미지 크레디트: HackerTarget.com)

이야기의 교훈: 관리자 계정은 고유한 이름을 지정해야 하며 악의적인 의도를 가진 사람이 추측할 수 없는 이름이어야 합니다 . 고유한 닉네임, 중간에 여러 개의 이니셜이 포함된 전체 이름 또는 쉽게 추측할 수 없는 다른 이름(예: 이름과 성 또는 상점 이름)을 사용하십시오.

그리고 보안 암호를 사용하는 것을 기억하십시오. 누군가 귀하의 계정 이름을 추측하더라도 여전히 로그인할 수 없다는 것을 알게 될 것입니다. 안전한 것과 그렇지 않은 것에 대한 복습이 필요하면 이 게시물의 섹션 #2를 참조하십시오.

상점이 온라인 상태가 되면 보안을 심각하게 고려하십시오.

매장을 출시하기 전에 보안을 유지하기 위해 할 수 있는 일이 많이 있지만 보안은 매장 소유주에게 지속적인 관심사가 되어야 합니다 . 이 팁을 따르고 상점과 WordPress를 최신 상태로 유지하면 고객과 팀을 안전하고 건전하게 유지할 수 있습니다.

이 게시물에서 권장하는 보안 팁에 대해 질문이 있습니까? 또는 공유할 수 있는 고급 팁이 있습니까? 아래 의견에서 귀하의 피드백과 생각을 환영합니다.