5 가장 일반적인 WordPress 공격 및 이를 방지하는 방법

게시 됨: 2023-04-19

해커가 WordPress 웹 사이트를 공격할까봐 걱정되십니까? 우리는 당신에게 걱정하지 말라고 말할 수 있었으면 좋겠지만 진실은 WordPress 웹사이트가 지속적으로 해커의 표적이 된다는 것입니다. 이것은 주로 WordPress가 인터넷의 모든 웹 사이트의 1/3을 지원하기 때문에 인기가 있기 때문입니다.

WordPress 자체는 안전한 웹 사이트 구축 플랫폼이지만 단독으로 작동하지 않습니다. WordPress 사이트를 실행하려면 플러그인과 테마가 필요합니다. 플러그인과 테마는 종종 해커가 웹사이트를 해킹하기 위해 악용하는 취약점을 개발합니다.

웹 사이트에 액세스하면 민감한 정보 도용, 고객 사기, 불법 콘텐츠 표시와 같은 모든 종류의 악의적인 활동을 실행합니다. 한편, 귀하의 사이트는 검색 결과에서 경고로 표시되거나 Google에 의해 블랙리스트에 오르거나 웹 호스트에 의해 정지될 수 있습니다. 이 모든 것이 방문자와 수익의 손실로 이어집니다.

WordPress 개발자가 플랫폼을 최대한 안전하게 유지하는 동안 WordPress 사이트 소유자도 스스로 조치를 취해야 합니다. 이 기사에서는 WordPress 사이트에 대한 가장 일반적인 공격과 이에 대해 취할 수 있는 예방 조치에 대해 설명합니다.

요약: WordPress 웹사이트를 공격하는 해커가 걱정된다면 즉시 웹사이트 보호 조치를 취할 수 있습니다. WordPress 보안 플러그인 MalCare를 설치할 수 있습니다. 매일 사이트를 스캔 및 모니터링하고 해커의 침입을 차단합니다.

[lwptoc skipHeadingLevel=”h1,h3,h4,h5,h6″ skipHeadingText=”마지막 생각”]

워드프레스가 해커에게 인기 있는 표적인 이유는 무엇입니까?

워드프레스는 코딩을 몰라도 누구나 웹사이트를 구축할 수 있는 웹사이트 구축 플랫폼입니다. 또한 WordPress는 무료입니다.

그 결과, 이 플랫폼은 오늘날 13억 개 이상의 활성 사이트에 힘을 실어주고 있습니다.

이 모든 것의 단점은 WordPress 웹사이트가 다른 플랫폼에 구축된 웹사이트보다 더 많이 타겟팅된다는 것입니다.

이제 해커가 사이트에 침입할 수 있는 여러 가지 방법이 있습니다. 가장 일반적인 5가지로 좁혀졌습니다. 무슨 일이 일어나고 WordPress 사이트를 어떻게 보호할 수 있는지 설명하겠습니다.

5 WordPress 웹 사이트에 대한 가장 일반적인 공격

1. 취약한 플러그인 및 테마

WordPress 사이트는 핵심 설치, 테마 및 플러그인의 세 가지 요소를 사용하여 생성됩니다. 세 가지 요소 모두 사이트를 해킹에 취약하게 만들 가능성이 있습니다.

수년 동안 WordPress 코어에는 주요 취약점이 없었습니다. 경험이 풍부하고 자격을 갖춘 개발자 팀이 유지 관리합니다. 그들은 플랫폼이 완전히 안전하도록 열심히 노력하므로 걱정할 것이 없습니다.

그러나 WordPress 플러그인 및 테마는 타사 개발자가 생성하며 WordPress 취약점을 자주 개발하는 경향이 있습니다.

개발자가 취약점을 발견하면 즉시 수정하고 업데이트된 버전을 릴리스합니다.

워드프레스 업데이트

사이트 소유자인 귀하는 최신 버전으로 업데이트해야 하며 귀하의 사이트는 안전합니다. 이러한 보안 업데이트를 즉시 설치하는 것이 중요합니다. 개발자가 업데이트를 릴리스할 때 업데이트 이유도 함께 릴리스하기 때문입니다. 따라서 취약점이 대중에게 공개됩니다.

이것은 해커들이 이제 취약점이 존재한다는 것을 안다는 것을 의미합니다. 또한 모든 사이트 소유자가 사이트를 즉시 업데이트하는 것은 아니라는 사실도 알고 있습니다. 따라서 플러그인이나 테마가 취약하다는 사실을 알게 되면 봇과 스캐너를 프로그래밍하여 인터넷을 크롤링하고 이를 사용하는 사이트를 찾습니다. 취약점이 무엇인지 정확히 알면 wp feed 맬웨어 등과 같은 맬웨어를 쉽게 악용, 침입 및 삽입할 수 있습니다.

취약한 플러그인 및 테마로부터 사이트를 보호하는 방법

  1. WordPress 리포지토리 또는 ThemeForest 및 Code Canyon과 같은 마켓플레이스에서 찾을 수 있는 신뢰할 수 있는 테마 및 플러그인만 사용하십시오.
  2. 플러그인 목록을 정기적으로 확인하고 사용하는 플러그인만 보관하십시오. 필요하지 않거나 비활성 상태인 것은 삭제하십시오.
  3. 테마를 정기적으로 검사하고 이상적으로는 적극적으로 사용 중인 테마만 유지해야 합니다.
  4. 해적판 테마와 플러그인을 사용하지 마십시오. 일반적으로 웹 사이트를 감염시키는 맬웨어가 포함되어 있습니다.
  5. 사이트의 모든 플러그인과 테마를 인식하는지 확인하십시오. 때때로 해커는 웹사이트 백도어가 설치된 자체 플러그인과 테마를 설치합니다. 이것은 그들에게 귀하의 사이트에 대한 비밀 액세스를 제공합니다.

2. 무차별 대입 공격

WordPress 사이트에 로그인하려면 로그인 자격 증명, 즉 사용자 이름과 비밀번호를 입력해야 합니다.

많은 경우 WordPress 사이트 소유자는 기억하기 쉬운 사용자 이름과 비밀번호를 사용합니다. 많은 WordPress 사용자는 기본 사용자 이름 'admin'을 유지합니다. 일반적인 암호에는 'password123' 또는 '1234567'이 포함됩니다.

해커는 이를 잘 알고 있으며 WordPress 사이트의 로그인 페이지를 공격합니다.

워드프레스 로그인 페이지

그들은 일반적으로 사용되는 사용자 이름과 암호의 데이터베이스를 만듭니다. 다음으로 WordPress 사이트를 대상으로 봇을 프로그래밍하고 데이터베이스에 있는 다양한 조합을 시도합니다.

로그인 자격 증명이 약하면 봇이 추측하여 사이트에 침입할 가능성이 높습니다. 이것은 '무차별 대입 공격'으로 알려져 있으며 성공률이 10%인 것으로 추정됩니다!

Brute Forcing으로부터 사이트를 보호하는 방법

무차별 대입 공격으로부터 사이트를 보호하기 위해 취할 수 있는 몇 가지 단계가 있습니다.

  1. 기본적으로 WordPress 사용자 이름은 admin입니다. 관리자에서 더 고유한 것으로 변경할 수 있습니다.
  2. 강력한 워드프레스 비밀번호를 사용하세요. Birdsofafeather123$와 같이 숫자 및 기호와 함께 암호를 사용하는 것이 좋습니다.
  3. 다른 웹사이트에서 사용하지 않은 고유 자격 증명을 사용하십시오.
  4. 사이트에서 로그인 시도 횟수를 제한하십시오. 이것은 WordPress 사용자가 올바른 자격 증명을 입력할 수 있는 기회가 3회 또는 5회와 같이 제한되어 있음을 의미합니다. 그런 다음 '비밀번호 찾기' 옵션을 사용해야 합니다. 사이트에 MalCare 보안 플러그인을 설치하면 이 로그인 보호 기능이 자동으로 구현됩니다.
  5. WordPress 사용자가 스마트폰에서 생성되거나 등록된 이메일 주소로 전송되는 일회용 비밀번호와 함께 자격 증명을 입력해야 하는 이중 인증을 사용합니다.

3. 인젝션 공격

거의 모든 웹사이트에는 연락처 양식, 사이트 검색 표시줄 또는 방문자가 데이터를 입력할 수 있는 댓글 섹션과 같은 입력 필드가 있습니다. 일부 웹사이트에서는 방문자가 문서 및 이미지 파일을 업로드할 수도 있습니다.

일반적으로 이 데이터는 수락되어 처리 및 저장을 위해 데이터베이스로 전송됩니다. 이러한 필드는 데이터베이스로 이동하기 전에 데이터를 검증하고 삭제하기 위해 적절한 구성이 필요합니다. 이렇게 하면 유효한 데이터만 허용됩니다. 이러한 대책이 부족하면 해커가 이를 악용해 악성코드를 입력한다.

문의 양식이 있는 WordPress 사이트의 예를 들어 보겠습니다. 이상적으로는 이 양식에 이름, 이메일 주소 및 전화번호를 입력해야 합니다.

문의 양식
  1. 이름 필드에는 알파벳 문자만 입력해야 합니다.
  2. 이메일 주소 필드는 [email protected]과 같은 유효한 이메일 주소 형식을 허용해야 합니다.
  3. 전화번호 필드에는 숫자만 포함되어야 합니다.

이제 이러한 구성이 제자리에 있지 않으면 해커가 다음과 같은 악성 스크립트를 삽입할 수 있습니다.

 String userLoginQuery = "SELECT user_id, username, password_hash FROM users WHERE username = '" + request.getParameter("user") + "'";

이것은 데이터베이스가 특정 기능을 실행하도록 명령하는 코드입니다. 이러한 방식으로 해커는 사이트에서 악성 스크립트를 실행하여 사이트를 완전히 제어할 수 있습니다.

WordPress 사이트에서 가장 많이 사용되는 주입 공격에는 SQL 주입 공격과 교차 사이트 스크립팅이 있습니다.

인젝션 공격으로부터 웹사이트를 보호하는 방법

  1. 많은 인젝션 공격은 방문자가 사이트에 입력할 수 있도록 하는 테마와 플러그인에서 비롯됩니다. 신뢰할 수 있는 테마와 플러그인만 사용하는 것이 좋습니다. 다음으로 플러그인과 테마를 항상 최신 상태로 유지하세요.
  2. 필드 항목 및 데이터 제출을 제어합니다. 이것은 기술적이며 개발자의 도움이 필요합니다.
  3. WordPress 방화벽을 사용하십시오. 사이트에 MalCare를 설치한 경우 자동으로 강력한 방화벽을 설치하여 해커로부터 사이트를 보호합니다.

4. 피싱 및 데이터 도용

방문자는 다양한 방식으로 웹 사이트와 상호 작용합니다. 그들 중 일부는 귀하의 블로그 게시물을 읽고 다른 일부는 귀하의 연락처를 통해 귀하에게 연락하는 식입니다. 전자상거래 사이트를 운영하는 경우 많은 방문자가 귀하의 웹사이트에서 상품을 구매합니다. 즉, 웹사이트에 로그인하여 신용 카드 정보를 입력해야 합니다.

누군가 귀하의 사이트에 신용 카드 정보를 입력하면 해당 정보를 귀하의 사이트 서버로 전송하여 저장합니다. 이 정보는 전송되는 동안 가로챌 수 있습니다. 또한 신용 카드 데이터를 도난당할 수 있습니다.

그들은 또한 귀하의 웹사이트에 침입하여 귀하를 사칭할 수 있습니다. 이들은 이메일을 보내거나 방문자를 다른 웹사이트로 리디렉션하고 개인 데이터 및 결제 정보를 공개하도록 속입니다.

피싱 및 데이터 도용으로부터 사이트를 보호하는 방법

  1. SSL 인증서를 사용하십시오. 이렇게 하면 사이트 간에 전송되는 데이터가 암호화됩니다. 해커가 가로채더라도 해독할 수 없기 때문에 사용할 수 없습니다. SSL 및 HTTPS 사용에 대한 가이드를 참조하세요. 또한 귀하의 사이트에서 WordPress 사이트가 안전하지 않다는 경고를 제거합니다.
  2. WordPress 보안 플러그인을 사용하여 웹 사이트에 의심스러운 활동이 있는 경우 알림을 받으십시오. 플러그인은 해킹 시도도 차단합니다.

5. 쿠키 훔치기

사이트에 로그인할 때 브라우저에서 '기억' 또는 '비밀번호 저장'을 요청하는 것을 보셨습니까? 이렇게 하면 웹 사이트에 액세스할 때마다 로그인 자격 증명을 입력할 필요가 없습니다. 브라우저가 로그인 정보를 저장하도록 선택할 수 있습니다.

사용자 이름과 비밀번호

브라우저는 쿠키 때문에 이러한 데이터를 저장할 수 있습니다. 쿠키는 방문자와 웹 사이트의 상호 작용을 기록하는 아주 작은 데이터입니다. 예를 들어 온라인 상점을 운영하는 경우 사이트에서 고객이 검색한 제품 및 구매한 제품과 같은 고객의 여정을 추적할 수 있습니다. 이 데이터는 분석에 사용되며 광고주는 방문자의 선호도에 맞게 광고를 조정합니다. 이제 쿠키는 은행 정보와 개인 정보도 저장할 수 있습니다.

해커가 귀하의 웹사이트 쿠키를 훔칠 수 있는 경우 귀하의 비즈니스 및 방문자의 민감한 데이터에 액세스할 수 있습니다. 그들은 이 데이터를 악용하여 신용 카드 정보를 사용하여 고객을 속이는 등의 악의적인 행위를 수행할 수 있습니다.

쿠키 훔치기 및 세션 하이재킹에 대한 쉬운 가이드에서 이에 대해 자세히 알아볼 수 있습니다.

쿠키 도용 및 세션 하이재킹으로부터 사이트를 보호하는 방법

  • WordPress 키와 솔트를 정기적으로 변경하십시오. 키와 솔트는 브라우저 쿠키에 저장된 정보의 안전한 암호화를 제공합니다. 이 조치는 본질적으로 기술적입니다. MalCare의 WordPress 강화 기능을 사용하여 키와 솔트를 변경하는 것이 좋습니다. MalCare 대시보드에서 보안 > WordPress 강화 > WordPress 보안 키 및 솔트 변경에 액세스합니다.
악성 사이트 경화
  • 여기에서도 웹사이트 데이터를 보호하기 위해 SSL 인증서를 설치하는 것이 좋습니다.

이렇게 하면 가장 일반적인 WordPress 공격이 끝납니다. 마무리하기 전에 이러한 공격에 대해 사이트를 더 강력하게 만드는 몇 가지 WordPress 강화 조치를 보여드리고자 합니다.

공격으로부터 WordPress 사이트를 강화하는 방법 ?

특정 공격으로부터 웹 사이트를 보호하기 위해 특정 조치를 취할 수 있지만 더 나은 보호를 위해 사이트에 구현할 수 있는 몇 가지 전반적인 보안 조치가 있습니다. 이를 WordPress 강화 조치라고 합니다. 여기에서 간략하게 설명했지만 WordPress Hardening에 대한 심층 가이드에서 자세한 설명을 읽을 수 있습니다.

1. 파일 편집기 비활성화

WordPress에는 대시보드에서 직접 테마 및 플러그인 파일을 편집할 수 있는 기능이 있습니다. 많은 웹사이트 소유자는 이 기능이 필요하지 않으며 대부분 개발자가 사용합니다. 그러나 해커가 wp-admin 대시보드에 침입하면 테마 및 플러그인 파일에 악성 코드를 삽입할 수 있습니다. 따라서 이 기능이 필요하지 않으면 비활성화할 수 있습니다.

2. 플러그인 또는 테마 설치 비활성화

해커가 사이트에 액세스할 수 있게 되면 자체 플러그인이나 테마를 설치합니다. 이러한 플러그인과 테마는 일반적으로 악성이며 백도어를 포함합니다. 이것은 해커에게 귀하의 사이트에 대한 비밀 진입을 제공합니다.

또한 앞서 언급했듯이 취약한 테마와 플러그인은 해킹된 사이트의 주요 원인입니다. 웹사이트에 여러 사용자가 있는 경우 안전하지 않은 플러그인이나 테마를 설치할 수 있습니다. 이렇게 하면 사이트가 해커에게 노출될 수 있습니다. 이를 피하려면 사이트에서 플러그인 및 테마 설치를 비활성화할 수 있습니다.

사이트에 정기적으로 플러그인과 테마를 설치하지 않는 경우 설치 옵션을 비활성화할 수 있습니다.

3. 로그인 시도 제한

앞에서 언급했듯이 WordPress 사용자가 사이트에 들어가기 위해 올바른 로그인 자격 증명을 입력해야 하는 기회를 제한할 수 있습니다. 이것은 무차별 대입 공격의 위험을 제거합니다.

4. 보안 키 및 솔트 변경

키와 솔트는 브라우저에 저장된 정보를 암호화합니다. 따라서 해커가 쿠키를 훔쳐도 해독할 수 없습니다. 그러나 해커가 이러한 키와 솔트에 액세스하면 이를 사용하여 쿠키를 해독할 수 있습니다. 열쇠와 솔트를 정기적으로 변경하면 쿠키 도난을 방지할 수 있습니다.

5. 알 수 없는 폴더에서 PHP 실행 차단

WordPress 사이트에는 코드를 실행하는 특정 파일과 폴더만 있습니다. 다른 폴더는 이미지와 비디오를 저장하는 업로드 폴더와 같은 정보만 저장합니다.

그러나 해커가 웹사이트에 액세스하면 임의의 폴더에 PHP 코드를 삽입하거나 자체 폴더를 생성하기도 합니다.

알 수 없는 폴더에서 PHP 실행을 비활성화하여 이러한 활동을 차단할 수 있습니다.

이러한 조치를 구현하려면 전문 기술이 필요합니다. 수동으로 수행하지 않는 것이 좋습니다. 몇 번의 클릭만으로 이 작업을 수행할 수 있는 MalCare와 같은 플러그인을 사용하는 것이 훨씬 더 안전하고 쉽습니다.

악성 사이트 경화

이를 통해 귀하의 WordPress 웹 사이트가 안전하고 해커로부터 보호된다고 확신합니다.

마지막 생각들

해커는 WordPress 사이트에 침입할 수 있는 다양한 방법을 가지고 있으며 새로운 방법을 자주 제시합니다!

웹사이트를 보호하고 해킹 공격으로부터 안전한지 확인하기 위해 보안 조치를 취해야 합니다.

MalCare 보안 플러그인을 사용하여 WordPress 사이트를 보호하는 것이 좋습니다. 해커와 악성 봇이 사이트에 액세스하는 것을 차단합니다. 귀하의 사이트가 모니터링되고 보호되고 있음을 안심할 수 있습니다.

MalCare 보안 플러그인 으로 해킹을 방지하세요 !