WordPress 2FA 인증: 이 필수 사이트 보안 요소에 대한 진상
게시 됨: 2023-06-122FA는 프런트 엔드와 백 엔드에서 간단한 솔루션이지만 내부적으로 많은 일이 일어나고 있습니다. 이는 사이트에 추가 보안 계층을 추가하는 환상적인 보완 방법이며 사용자가 사이트와 정보를 안전하게 유지할 수 있도록 도와줍니다.
이 자습서에서는 2FA, 특히 WordPress 2FA 인증에 대해 설명합니다. 전반적으로 이것이 무엇인지, 비밀번호 선택, 사이트에서 2FA를 구현하는 방법 등을 살펴보겠습니다.
2FA란 무엇이며 달성에 도움이 되는 것
간단히 말해서 2단계 인증은 일반적인 로그인 자격 증명 이상의 추가 보호 계층을 제공하는 보안 수단입니다. 2FA를 사용하면 사용자는 종종 숫자 코드인 TOTP(Time-Based One-Time Password)와 같은 두 번째 정보를 제공해야 합니다.
일반적으로 표시되는 추가 정보는 짧은 시간 후에 만료되는 숫자 코드입니다.
기술적인 의미에서 2FA에는 두 가지 형태의 사용자 인증이 필요합니다. 첫 번째 '요소'는 비밀번호와 같이 사용자가 알고 있는 정보입니다. 두 번째 요소는 장치로 전송되는 토큰이나 코드와 같이 사용자가 가지고 있는 것입니다. 사용자의 암호를 알고 있더라도 세션을 확인하고 인증하려면 두 번째 요소가 여전히 필요합니다.
그러나 현대적인 방법에는 지문과 같은 정보가 포함됩니다. 그럼에도 불구하고 핵심 개념은 다른 사람이 액세스할 수 없는 정보를 제공한다는 것입니다. 해당 정보가 귀하가 제공하도록 요청받은 내용과 일치하는 경우 필요한 액세스 권한을 얻을 수 있습니다.
2FA 및 워드프레스
2FA는 WordPress 사용자 로그인과 관련하여 더욱 관련성이 높아집니다. 콘텐츠 관리 시스템(CMS)은 시장에서 최고의 웹사이트 플랫폼입니다. 이는 부분적으로 뛰어난 핵심 보안 때문입니다. 그러나 인기가 많은 플랫폼은 보안 대상이 될 수 있습니다.
예를 들어 2021년에 Sucuri는 거의 50,000개의 해킹된 사이트를 수정했습니다. 대부분은 오래된 플러그인과 테마의 취약점 때문이었습니다. 또한 무차별 대입 공격은 사이트 네트워크를 파괴할 수 있습니다. Wordfence는 수백만 개의 WordPress 웹사이트를 강타한 최근 봇넷 공격에 대해 보고합니다.
이 두 가지 예는 특히 플러그인 및 테마 업데이트를 유지하지 않는 경우 사용자 오류가 WordPress 보안을 어떻게 방해할 수 있는지 보여줍니다. 그러나 2FA를 사용하는 것은 WordPress 사이트를 공격으로부터 보호하고 사용자에게 책임을 부여하는 등의 효과적인 방법입니다.
두 번째 인증 형식은 악의적인 행위자가 계정에 접근하지 못하게 할 뿐만 아니라 더 안전하게 원격으로 작업할 수 있게 해줍니다. 전체 사용자 기반도 자체 보안에 대한 책임이 있으므로 전체 사이트를 더 안전하게 만듭니다.
전반적으로 2FA는 민감한 정보에 대한 무단 액세스를 중지하고 사용자 신뢰와 신뢰를 구축하며 데이터 보안 지침을 부분적으로 준수하는 중요한 방법입니다. 특히 WordPress와 같은 인기 있는 플랫폼의 경우 중요한 작업 및 보안 조치입니다. 또한 비밀번호 선택이 방해가 되지 않는다는 의미이기도 합니다. 그러나 이것은 더 깊이가 필요한 복잡한 주제입니다.
잘못된 암호 선택이 스트레스를 유발하는 방법
매년 많은 뉴스 매체와 사이트에서 잘못된 암호 목록을 게시하며 목록은 매번 비슷해 보입니다. 예를 들어 Tom's Guide는 최종 사용자에게 가장 일반적이지만 취약한 비밀번호를 보여줍니다.
- 쿼티
- 123456
- 비밀번호
그러나 관리자 및 백엔드 사용자도 약하고 위험한 암호를 사용하는 것을 위반합니다. 예를 들어, admin , root 및 guest는 모두 목록에서 높은 위치에 있습니다. 사실 관리자 비밀번호는 WordPress의 기본 관리자 사용자 역할에도 "admin"이라는 사용자 이름이 있다는 점을 고려할 때 더 걱정됩니다.
그럼에도 불구하고 이러한 암호는 무차별 암호 대입 기술과 자동화 도구를 사용하여 거의 몇 초 안에 해독할 수 있습니다. 그러나 Melapress 로그인 보안과 같은 솔루션과 함께 사용하면 사용자가 강력한 암호를 생성하고 2FA를 사용하여 사이트를 추가로 보호할 수 있습니다.
사용자는 타사 앱이나 기술을 통해 자신의 세부 정보를 인증해야 하므로 무단 액세스의 위험을 줄이는 중요한 방법입니다. 또한 강력한 암호 정책을 강화 및 강화하고 데이터 유출 및 기타 사이버 공격도 방지할 수 있습니다.
2FA는 사용자 책임을 보장하고 사이트 보안의 약점을 보완하는 환상적인 방법이지만 유일한 방법은 아닙니다. 다음으로 다른 조항이 2FA와 함께 작동하여 더 나은 서비스를 제공하는 방법을 살펴보겠습니다.
현재 보안 제공과 함께 2FA 슬롯을 사용하는 방법
2FA는 만능 보안 전술이 아닙니다. 대신, 보완적인 것으로 전체 보안 조항에 포함됩니다. 따라서 귀하와 귀하의 사용자는 여전히 일반적인 보안 구현을 준수해야 합니다.
- 강력한 암호를 사용하십시오. 크래킹하는 데 걸리는 시간이 늘어나므로 긴 것을 선택하는 것이 좋습니다. 2FA는 강력한 암호의 필요성에 의존하지 않지만 로그인 자격 증명을 보호하기 위해 가능한 한 많은 작업을 수행하는 것이 좋습니다. Melapress 로그인 보안은 작업에 이상적입니다.
- 소프트웨어 업데이트를 자주 수행하십시오. WordPress의 경우 여기에는 플러그인, 테마 및 코어 파일이 포함됩니다. 나중에 WordPress 2FA 인증 플러그인에 대해 논의할 예정이며 최신 정보를 유지하는 데 매우 중요합니다.
비밀번호를 조금 더 다루기 위해 강력한 비밀번호를 2FA와 결합하면 본인만 계정에 액세스할 수 있습니다. 예를 들어, 로컬 작업 장소에서 안전하지 않은 Wi-Fi 연결로 인해 비밀번호가 손상될 수 있습니다. 그러나 계정 액세스 권한을 얻으려면 두 번째 인증 형식을 제공해야 합니다.
크래킹에 거의 영향을 받지 않는 더 강력한 암호는 서버 리소스에도 문제를 일으키지 않습니다. 잠재적으로 많은 수의 IP 주소에서 여러 번의 로그인 시도(및 잠재적인 2FA 요청)가 발생하지 않기 때문입니다.
더 나아가 2FA를 전용 무차별 암호 대입 보호와 결합할 수 있습니다. 이 개념은 이 게시물의 범위를 벗어나지만 강력한 솔루션을 제공할 수 있는 WordPress 보안 플러그인(예: Wordfence 또는 Jetpack Security)이 많이 있습니다.
나에게 맞는 2FA '형식' 선택하기
Two-Factor Authentication의 이점 중 하나는 구현 방법의 유연성입니다. 2FA를 사용하는 네 가지 방법이 있습니다.
- SMS, 텍스트 기반 방법.
- 이메일 인증.
- Authy, Sentinel, Duo 등과 같은 전용 앱.
- 푸시 알림.
이들 각각은 서로 다른 방식으로 동일한 결과를 달성하지만 모두 동일하지는 않습니다. 장단점과 함께 각각을 차례로 분석해 보겠습니다.
SMS
많은 온라인 서비스의 기본 2FA 방법은 문자 메시지를 통해 모바일 장치에 인증 코드를 보내는 것입니다. 특정 필드에 전화번호를 입력해야 시간 제한이 있는 코드가 전송됩니다.
여기에서 얻을 수 있는 이점에는 로그인을 인증하는 데 도움이 되는 다른 타사 앱이 필요하지 않고 설정 및 사용이 매우 쉽다는 점 등이 있습니다. 그러나 SMS에는 심각한 단점이 있습니다. 먼저 확인을 위해 웹을 통해 더 많은 개인 정보(전화 번호)를 전달해야 합니다.
SMS 기반 2FA를 선택할 때 염두에 두어야 할 몇 가지 사항이 있습니다. 첫 번째는 SMS 전송에 대해 네트워크 사업자가 부과하는 네트워크 요금입니다. 둘째, SMS 메시지는 암호화되지 않으며 SIM 카드 스와핑에 취약합니다. 그렇더라도 기술적으로 정통하지 않은 사용자에게 더 나은 보호 기능을 제공할 수 있습니다.
이메일 알림
이메일 알림은 SMS 인증 방법과 유사합니다. 여기에서 로그인 페이지에 이메일 주소를 입력하면 세션을 인증하기 위한 코드 또는 토큰을 받게 됩니다.
이메일 2FA 인증은 사용하기 쉽고 간단합니다. 받은 편지함에 액세스하여 로그인을 확인하기만 하면 됩니다.
이메일이 암호화되지 않은 경우 '중간자 공격' 또는 이와 유사한 공격에 취약해질 수 있습니다. 그러나 WordPress 이메일을 보호하고 일반적으로 암호화되지 않은 이메일과 관련된 위험을 피하기 위한 조치를 취할 수 있습니다.
푸시 알림
푸시 알림은 이메일과 SMS 인증 사이의 격차를 해소하는 역할을 합니다. 여기에는 계정에 로그인하기 전에 승인해야 하는 알림을 스마트폰으로 받는 것이 포함됩니다. Apple은 이 방법을 사용하여 생태계 전체에서 신뢰할 수 있는 장치를 설정하는 회사 중 하나입니다.
이 방법은 또한 편리하고 이메일 및 SMS만큼 사용하기 쉽습니다. 또 다른 이점은 암호, 코드 또는 토큰에 전혀 의존하지 않는 경우가 많다는 것입니다. 이것은 사용자를 위해 거의 생각하거나 노력하지 않고도 계정을 더 안전하게 만들 수 있는 환상적인 사용자 경험(UX) 요소입니다.
그러나 이 접근 방식에는 여전히 단점이 있습니다. 푸시 알림은 승인하기가 매우 쉽기 때문에 바쁜 사용자는 의도하지 않고 그렇게 할 수 있습니다. 사용자가 수신하는 알림의 수가 많을수록 사용자의 주의 지속 시간이 줄어들고 이는 문제가 될 수 있다는 연구 결과가 있습니다.
이를 위해서는 적절한 계정 보안에 대해 사용자를 교육하는 것이 중요합니다. 예상치 못한 푸시 알림은 절대 승인되어서는 안되며 빈번한 요청은 추가 조사를 위해 보고되어야 합니다.
앱 사용
2FA 구현을 강화하는 일반적인 방법은 앱을 사용하는 것입니다. 주변에는 Google Authenticator, Authy, Duo, Sentinel, Microsoft Authenticator 등 셀 수 없이 많은 제품이 있습니다.
이러한 앱은 30초마다 각 사이트에 대한 일회성 코드를 생성하여 로그인을 확인하고 인증하기 위해 해당 웹사이트에 입력하게 됩니다. 보다 안전한 접근 방식 중 하나로 간주됩니다. 그러나 푸시 알림과 마찬가지로 앱을 사용하려면 여전히 호환되는 장치와 인터넷 액세스가 필요합니다.
선택할 2FA 형식
2FA를 사용하는 것이 2FA를 사용하지 않는 것보다 더 나은 옵션입니다. 2FA 앱과 같은 특정 방법은 다른 방법보다 더 안전하지만 사용자 기반이 매우 다양할 수 있음을 인식해야 합니다.
또한 진입 장벽을 낮추고 사용자가 2FA에 익숙해지도록 해야 합니다. 이를 위해 사용자에게 제공할 수 있는 옵션이 많을수록 2FA 구현이 큰 성공을 거두는 데 도움이 되므로 더 좋습니다.
WP 2FA 소개: WordPress 2FA 인증을 구현하는 가장 좋은 방법
사용 가능한 WordPress Two-Factor Authentication 플러그인이 많이 있습니다. 예를 들어, miniOrange 및 Two Factor Authentication은 다양한 기능을 제공하며 만족스러운 많은 사용자의 지지를 받고 있습니다.
그러나 WP 2FA 플러그인은 최고의 솔루션이 될 수 있는 기능, 지원 및 비용을 제공합니다. WordPress 웹사이트에 Two-Factor Authentication을 추가하는 가장 좋은 방법입니다.
무료 버전의 사양을 확인하는 것이 좋지만 프리미엄 버전을 사용하면 필요한 모든 기능을 사용할 수 있습니다.
- 귀하와 사용자의 필요에 맞게 여러 가지 2FA 방법 중에서 선택할 수 있습니다.
- 2FA 정책을 사용자 정의할 수 있습니다. 여기에는 2FA를 의무화하고 유예 기간을 제공하는 등의 요소가 포함됩니다.
- 사용자가 WordPress 대시보드에 액세스할 필요가 없습니다. 사이트의 프런트 엔드를 통해 로그인 인증을 제공할 수 있습니다.
- Twillo 및 Authy와 같은 타사 서비스 통합도 많이 있습니다. 이를 통해 사용자에게 추가 인증 방법을 제공할 수 있습니다.
가격면에서 WP 2FA는 엄청난 가치를 제공합니다. 예를 들어 WP 2FA Starter 라이선스는 연간 $29입니다. 이를 통해 필요한 만큼의 웹사이트에 WP 2FA 정식 버전을 설치하고 5명의 사용자에게 로그인 인증을 제공할 수 있습니다. 사용자 제한과 기능 세트를 늘리는 유연한 계획이 있습니다.
더 좋은 점은 WP 2FA를 사용하는 것입니다. 다음으로 방법을 보여드리겠습니다.
WP 2FA를 사용하여 사용자 사이트 보안을 강화하는 방법
WP 2FA에는 사이트에서 WordPress 2FA 인증을 구현하는 데 필요한 모든 기능이 있습니다. 또한 구성 및 사용이 간단합니다. 설치 프로세스는 다른 무료 WordPress 플러그인과 매우 유사합니다. 플러그인 > 새로 추가 화면의 검색 창을 사용하여 찾을 수 있습니다.
여기에서 지금 설치 및 활성화 버튼을 클릭한 다음 WordPress가 설치 프로세스를 마칠 때까지 기다립니다. 이제 WordPress 웹사이트에서 2FA를 설정할 준비가 되었습니다.
1. 설치 마법사를 사용하여 WP 2FA 구성
WP 2FA는 WordPress 2FA 인증과 관련된 모든 어려운 작업을 수행할 수 있습니다. 설정 마법사는 서로 다른 정책 및 구현 방법에 따라 완료까지 4단계를 통해 실행됩니다.
설치 마법사는 환영 페이지로 시작하며 계속하려면 시작하기 버튼을 클릭하십시오.
처음 두 단계에서는 구현하려는 2FA 방법을 살펴봅니다. 확인란을 사용하여 사이트에 앱 기반 2FA 및 이메일 2FA를 추가합니다. 플러그인의 프리미엄 버전에는 선택할 수 있는 추가 방법이 포함되어 있습니다.
계속하기를 클릭하면 사용자가 다른 앱이나 기기에서 2FA를 설정해야 하는 경우를 대비하여 백업 코드를 사용자에게 제공할 수도 있습니다. WP 2FA의 프리미엄 버전을 사용하면 더 많은 대체 인증 옵션을 제공할 수 있습니다.
설치 마법사의 세 번째 화면에서는 2FA를 시행할 대상을 선택할 수 있습니다. 여기에는 모든 사용자, 사용자 없음, 특정 사용자 및 역할을 선택하는 세 개의 라디오 버튼이 있습니다.
모든 사용자 또는 특정 사용자 및 역할에 대해서만을 선택하면 추가 옵션이 표시됩니다. 이를 통해 제외할 사용자 또는 정책의 일부로 포함할 역할을 지정할 수 있습니다.
모두 완료를 선택하면 자신의 사용자 계정에 대해 WP 2FA를 구성하라는 메시지가 표시됩니다. 프로세스가 거의 완료되었습니다.
2. 사용자 계정에 WP 2FA 설정
WordPress 2FA 인증을 설정한 후 자신의 사용자 계정에 대해 2FA를 설정할 수 있습니다.
사용 가능한 옵션에는 설정 마법사에서 사용할 수 있는 방법이 포함됩니다. SMS 및 푸시 알림과 같은 일부 방법은 제3자 서비스 공급자가 작동해야 하므로 추가 구성이 필요합니다. 이 예에서는 2FA TOTP 앱 방법을 사용합니다.
아직 2FA 앱이 없다면 먼저 다운로드해야 합니다. 선택할 수 있는 것이 많으며 WP 2FA는 범용 호환성을 제공합니다. 필요한 주요 기능은 앱을 사용하여 WordPress 대시보드 내에서 QR 코드를 스캔하는 것입니다.
마법사를 실행하면 사이트에 WordPress 2FA 인증을 사용할 수 있습니다.
요약하자면
2단계 인증은 온라인 계정을 보호하는 가장 사용자 친화적인 최고의 방법 중 하나입니다. 소유한 장치에서 얻은 토큰 또는 코드를 사용한 확인에 의존합니다. 따라서 해당 코드가 없으면 암호가 노출되더라도 계정이 안전합니다.
WP 2FA 플러그인을 사용하면 기술 지식 없이도 몇 분 안에 WordPress 2FA 인증을 구현할 수 있습니다. 설치 마법사는 전체 프로세스를 안내하며,
WP 2FA의 무료 버전은 완전한 기능을 제공하지만 2FA의 프리미엄 버전은 더 많은 기능을 제공합니다. 라이선스는 연간 29달러부터 시작하며 각각 사이트에 대해 5명의 사용자를 설정할 수 있습니다.
