WordPress 애플리케이션 비밀번호의 모든 측면 살펴보기

게시 됨: 2022-10-25

WordPress 애플리케이션 비밀번호를 사용하면 REST API 요청을 인증할 때 타사 서비스를 웹사이트에 연결할 수 있습니다. 다른 응용 프로그램이 웹 사이트에 액세스하도록 허용하는 것 외에도 이 기능은 데이터 보호를 지원할 수 있습니다. 악의적인 행위자와 해커가 사이트의 핵심 정보를 변경하는 것을 방지합니다.

그러나 애플리케이션 비밀번호는 웹사이트 시스템에 대한 보안 침해의 위험이 있습니다. 특히 액세스 데이터를 관리할 때 제어 및 유연성이 부족합니다.

이 기사에서는 WordPress 애플리케이션 비밀번호의 모든 이점과 제한 사항을 다룹니다. 또한 보안 인증 수준을 통합하기 위해 가장 많이 권장되는 플러그인을 언급합니다.

  • WordPress 애플리케이션 비밀번호의 이점
  • WordPress 애플리케이션 비밀번호의 위험
  • WordPress 애플리케이션 비밀번호를 생성하는 방법
  • WordPress 응용 프로그램 암호를 비활성화하는 방법
  • 최고의 WordPress 보안 플러그인

WordPress 애플리케이션 비밀번호의 이점

애플리케이션 비밀번호는 API 요청 인증 문제를 해결했습니다. 이 시스템이 워드프레스 5.6에 등장하기 전에는 API 요청 인증 과정이 너무 불편했습니다. Cookie & None 기반 인증 작업이 필요합니다. 이 접근 방식은 악성 사이트 및 해커의 공격을 받을 위험이 있기 때문에 신뢰할 수 없는 것 같습니다.

응용 프로그램 암호를 사용하면 임시 토큰, 취소 가능 및 실제 자격 증명에 대한 좋은 견인력과 관련하여 다른 응용 프로그램이 웹 사이트에 더 잘 연결할 수 있습니다. 타사 서비스 인증을 위한 포괄적인 솔루션인 이 기능은 다음과 같은 다양한 이점으로 탁월한 이점을 입증합니다.

  • 요청하기 쉬운 API 자격 증명: 사용자는 특정 애플리케이션의 액세스 요청을 허용하는 암호를 생성할 수 있습니다. 앱의 이름을 지정하고 URL을 승인하거나 거부하여 애플리케이션이 프로토콜을 통과하도록 허용할 수 있습니다.
  • 간편한 자격 증명 취소: 이 기능을 적용하면 개인 및 전체 암호를 쉽게 취소할 수 있습니다. 또한 생성된 날짜와 마지막 IP를 통해 무단 자격 증명을 더 잘 추적할 수 있습니다.
  • 대화식 로그인 보안: 응용 프로그램 암호를 사용하면 자격 증명을 직접 사용하지 않고 인증할 수 있는 대화식 흐름이 더 많이 활성화됩니다. 특히 reCAPTCHA 및 Two Factor와 같은 보안 기능을 허용하여 사용자 계정을 보호할 수 있습니다.

WordPress 애플리케이션 비밀번호의 위험

다양한 이점에도 불구하고 애플리케이션 암호는 보안 장벽과 관련된 몇 가지 문제로 남아 있습니다. 실제로 악성 사이트 및 해커의 공격을 방지하려면 이 기능을 비활성화해야 한다는 것이 일반적인 의견입니다.

WordPress 애플리케이션 비밀번호를 비활성화해야 합니까? 올바른 답을 찾기 위해 다음 문제를 살펴보겠습니다.

  • 무차별 대입 공격으로부터 웹 사이트를 보호할 수 없습니다. 사용자 인증이 필요한 웹사이트가 무차별 대입 공격을 당하기 직전입니다. 무차별 대입 공격은 문자, 숫자 및 기호를 결합하는 모든 방법을 테스트하여 중요한 데이터를 훔치는 것과 관련된 보안 위험을 유발합니다.
  • 활성화 또는 비활성화 여부에 관계없이 특정 사용자 역할의 암호를 제어하는 ​​것은 어렵습니다.
  • 응용 프로그램 암호는 대화형 사용자 암호를 사용하여 웹 사이트 API에 액세스할 수 있습니다.
  • 로그인이 되지 않아 비밀번호 사용을 통제하기 어렵습니다.

WordPress 애플리케이션 비밀번호를 생성하는 방법

유료 멤버십 프로 플러그인이 있는 관리자 대시보드를 통해 애플리케이션 비밀번호를 쉽게 생성할 수 있습니다. 이 프로세스에 대한 전체 가이드는 다음과 같습니다.

  1. 관리자 계정을 사용하여 WordPress 사이트에 로그인합니다.
  2. 사용자 > 프로필 을 선택합니다.
  3. 응용 프로그램 암호 제목으로 이동합니다.

ppwp-add-wordpress-application-password-settings-screen

4. 새 응용 프로그램 암호 이름 필드에 적절하게 설명하는 이름을 입력합니다. 이 필드는 응용 프로그램 암호의 연결 위치를 식별하는 이점과 함께 내부 사용을 허용합니다.

5. 새 위치 암호 추가 를 클릭하여 암호를 만듭니다. 암호를 생성하기 전에 다음 권장 사항을 따라야 합니다.

  • 화면 종료 후 비밀번호 찾기가 불가능하므로 즉시 복사하여 안전한 곳에 붙여넣기 하셔야 합니다.
  • 사용자 계정에 대해 애플리케이션 암호를 무제한으로 생성할 수 있습니다.
  • 액세스를 쉽게 제어하려면 각 타사 연결 응용 프로그램에 대해 암호를 생성해야 합니다. 특히, 타사 애플리케이션 서비스를 취소하고 싶을 때마다 비활성화 및 삭제할 수 있습니다.

ppwp-wordpress-application-password-example

6. 생성된 비밀번호로 REST-API를 통해 웹사이트에 액세스하는 타사 서비스를 인증합니다.

WordPress 응용 프로그램 암호를 비활성화하는 방법

위에서 언급했듯이 WordPress 응용 프로그램은 중요한 데이터를 변경하고 훔치는 것과 관련된 다양한 잠재적인 보안 위험으로 남아 있습니다. 따라서 타사 애플리케이션 및 서비스에 대한 권한을 부여하기 위해 API가 필요하지 않은 경우 애플리케이션 비밀번호를 비활성화해야 합니다.

일반적으로 Astra Security, WebARX 또는 Wordfence와 같은 전문 보안 플러그인은 이 기능을 자동으로 비활성화하도록 지원합니다. 애플리케이션 비밀번호를 활성화하려면 플러그인을 비활성화하면 됩니다.

그러나 WordPress 웹 사이트에 다양한 플러그인이 있으면 성능이 느려질 수 있습니다. 플러그인을 사용하지 않으려면 다음 지침에 따라 애플리케이션 비밀번호를 수동으로 비활성화하십시오. 특히 이 기능을 비활성화하려면 다음 코드를 functions.php에 추가해야 합니다.

 add_filter( 'wp_is_application_passwords_available', '__return_false' );

그 외에도 적절한 사용자에게 애플리케이션 비밀번호를 사용할 수 있는 권한을 부여할 수 있습니다. 다음 코드를 사용하면 관리자만 이 기능을 사용할 수 있습니다.

 함수 my_prefix_customize_app_password_availability(
$사용 가능,
$user
) {
if ( ! user_can( $user, 'manage_options' ) ) {
$available = 거짓;
}

반환 $available;
}

add_filter(
'wp_is_application_passwords_available_for_user',
'my_prefix_customize_app_password_availability',
10,
2
);

최고의 WordPress 보안 플러그인

#1 애플리케이션 비밀번호 비활성화

ppwp-disable-application-password-wordpress-plugin

Disable Application Password는 복잡한 설정 요구 사항이 없는 사용하기 쉬운 플러그인입니다. 특히 암호를 활성화 및 비활성화하려면 한 줄의 코드를 사용하기만 하면 됩니다.

이 플러그인은 강력한 데이터 보안으로 무료입니다. 구체적으로, 제3자 위치와 연결되지 않고 쿠키가 생성되지 않아 사용자 개인정보에 영향을 미치지 않습니다.

#2 WP 케르베르 보안

ppwp-wp-cerber-security-plugin

WP Cerber Security는 잠재적인 위험으로부터 보안 장벽을 보호하기 위한 전문 솔루션을 제공합니다. 트래픽 이상 징후 및 악성코드를 탐지하는 섬세한 알고리즘으로 시스템 데이터 유출 위험을 최소화합니다.

코드 삽입 및 무차별 대입 공격으로부터 웹 사이트를 보호하는 것 외에도 REST API 및 GEO를 통해 액세스를 제한할 수 있습니다. 또한 플러그인은 스팸 및 바이러스 완화와 같은 다양한 고급 기능도 제공합니다.

이 플러그인의 모든 멋진 기능을 분기별 $29, 단일 웹사이트의 경우 연간 $99로 소유할 수 있습니다.

#3 워드펜스

ppwp-wordfence-플러그인

WordFence 플러그인은 다양한 고급 기능을 통해 보안 장벽을 강화하는 시장을 선도합니다. 특히 이 플러그인은 로그인 보안, 악성코드 검사, 이중 인증 및 기타 관련 측면을 관리하는 웹사이트를 지원합니다.

이 프리미엄 플러그인은 1,100만 건 이상의 공격과 55,000건 이상의 악성 IP를 성공적으로 차단했습니다. 출처 웹사이트에 접속할 때 수많은 유익한 블로그를 통해 플러그인에 빠르게 익숙해질 수 있습니다.

WordFence는 세 가지 다른 요금제를 제공합니다. 특히 프리미엄, 케어 및 응답 번들에 대해 $99, $490 및 $950의 비용이 듭니다.

#4 WP Fail2ban

ppwp-wp-fail2ban-플러그인

WP Fail2ban은 무차별 대입 공격을 방지하는 하나의 기능으로 간단하게 최적화된 솔루션을 제공합니다. 다른 대안과 비교하여 이 플러그인은 모든 로그인 시도를 집계하여 소프트 또는 하드 금지 여부를 결정합니다.

또한 더 많은 규칙을 추가하여 구성을 사용자 정의할 수 있습니다. 또한 이 무료 플러그인을 사용하면 로그인 시도 필터링, 다중 사이트 지원 및 Cloudfare의 구성 도구와 같은 고급 기능을 사용할 수 있습니다.

#5 miniOrange의 Google OTP

ppwp-miniorange-google-authenticator-plugin

miniOrange의 Google Authenticator는 인증 시스템에 두 번째 레이어를 제공하여 웹사이트가 공격을 받지 않도록 도와줍니다. 구체적으로 푸시알림, 보안질문, QR코드 등 다양한 인증 형태를 제공한다.

인증 유형을 선택하는 것 외에도 특정 사용자 역할에 대한 액세스 권한을 제어할 수 있습니다.

가격 계획에 대해 miniOrange는 세 가지 번들을 제공합니다. Premium Lite의 경우 연간 $99, Premium의 경우 연간 $199, 기업가의 경우 최소 $59.

#6 실드 보안

ppwp-shield-security-wordpress-plugin

Shield Security는 포괄적인 기능으로 높은 수준의 보호를 보장합니다. 방어 및 보호 기능의 개발과 관련하여 이 플러그인은 다양한 방식으로 이점을 입증했습니다. 무차별 대입 공격, 맬웨어 주입 및 기타 복잡한 사례와 같은 모든 잠재적인 보안 위험을 피하는 데 도움이 됩니다.

CrowdSec에서 수집한 귀중한 데이터와 함께 이 플러그인은 네트워크 성능을 활용하여 보다 지능적인 보안 솔루션을 결정합니다.

언급된 모든 기능과 함께 Shield Security는 세 가지 요금제를 제공합니다. ShieldPro의 경우 $6.58/월, ShieldPro Agency의 경우 $24.92/월, Shield Support의 경우 $59/년.

WordPress 애플리케이션 비밀번호에 관한 모든 것입니다!

WordPress 애플리케이션 비밀번호는 보안 장벽에 대한 실질적인 이점과 제한을 모두 가져옵니다. 웹 사이트를 타사 응용 프로그램에 연결하기 위한 요구 사항에 따라 유연하게 활성화/비활성화 여부를 결정할 수 있습니다.

수동 코드 또는 플러그인을 통해 애플리케이션 비밀번호를 활성화 및 비활성화할 수 있습니다. 언급된 모든 가이드와 권장 플러그인을 사용하면 장애물 없이 이 기능의 사용을 확실히 제어할 수 있습니다.

이 기사가 도움이 되었나요? 고려해야 할 플러그인이 있습니까? 아래 댓글 섹션에 여러분의 생각을 표현해주세요!