WordPress 무차별 대입 공격으로부터 웹 사이트를 보호하는 방법?
게시 됨: 2022-04-22WordPress 무차별 대입 공격은 공격이 성공하기도 전에 압도적입니다.
많은 사이트 관리자는 서버 리소스가 빠르게 고갈되고 사이트가 응답하지 않거나 완전히 충돌하여 실제 사용자가 잠기는 것을 보고 있습니다. 문제는 무차별 대입 봇이 로그인 페이지를 망치고 wp-admin에 도달하려고 할 때 무력감을 느낄 수 있다는 것입니다.
하지만 당신은 무력하지 않습니다. 여러 IP에서 들어오는 단일 사용자에 대해 여러 번 실패한 로그인 시도가 있는 경우 올바른 위치에 있습니다.
이 기사에서는 WordPress 무차별 대입 공격이 어떻게 보이는지, 사이트를 보호하는 방법을 설명합니다.
TL;DR MalCare의 로그인 보호를 활성화하여 WordPress 무차별 공격으로부터 사이트를 보호하십시오. 강력한 방화벽과 통합 봇 보호 기능으로 악성 봇이 사이트를 공격하는 것을 방지하십시오. WordPress의 무차별 대입에 대한 최고의 보안 플러그인인 MalCare로 사이트, 데이터, 사용자를 안전하게 보호하세요.
WordPress 무차별 대입 공격이란 무엇입니까?
WordPress 무차별 대입 공격은 사용자 이름과 비밀번호의 다양한 조합을 시도하여 wp-admin에 대한 무단 액세스를 얻으려는 시도 입니다. 해커는 시행 착오를 기반으로 자격 증명으로 로그인 페이지를 지속적으로 공격하는 봇을 개발했습니다.
종종 봇은 사전에서 일련의 암호를 시도하므로 사전 공격 또는 암호 추측 공격이라고도 합니다. 공격은 다른 IP 주소에서 오도록 구성할 수 있으므로 기본 보안 조치를 우회할 수 있습니다. 다른 유형의 무차별 대입 공격이 있으며 이 기사의 뒷부분에서 다룰 것입니다.
무차별 대입 공격의 목표는 wp-admin에 액세스한 다음 가장 일반적으로 사이트에 맬웨어를 설치하는 것입니다.
WordPress 무차별 대입 공격으로부터 사이트를 보호하는 방법(9가지 방법)
무차별 대입 공격을 경험하는 것은 무서운데, 특히 그것을 막기 위해 할 수 있는 일이 아무것도 없는 것처럼 느껴지기 때문입니다. 또한 공격의 효과가 즉시 표시됩니다. 대부분의 사이트에는 서버 리소스가 제한되어 있어 빠르게 소모되며 종종 공격을 받는 사이트가 완전히 중단됩니다.
다행히 WordPress에는 무차별 대입 공격을 방지하기 위해 할 수 있는 일이 많이 있습니다. 다음은 대부분의 공격을 차단하고 적절한 조치를 위해 최악의 영향을 완화하는 WordPress 무차별 대입 보호 단계 목록입니다.
1. 로그인 시도 제한
wordpress 무차별 대입 공격을 막는 가장 좋은 방법은 로그인 시도를 제한하는 것입니다. 로그인 페이지에 잘못된 비밀번호를 너무 많이 입력하면 계정이 일시적으로 차단됩니다. 이는 무차별 대입 봇의 효율성을 차단합니다. 이는 시행착오 방법에 의존하여 자격 증명을 추측하기 때문입니다. 게다가 봇은 수천 가지 조합을 시도할 수 없기 때문에 요청이 서버로 전송되지 않고 봇의 활동에 의해 리소스가 사용되지 않습니다.
기본적으로 WordPress는 무제한 로그인 시도를 허용하므로 처음에는 무차별 대입 공격에 취약합니다. MalCare를 사용하면 제한된 로그인 보호가 자동으로 활성화됩니다. 실제로 사용자가 합법적으로 비밀번호를 잊어버린 경우 보안 문자를 풀면 차단을 쉽게 통과할 수 있습니다. 따라서 로그인 시도를 제한하면 실제 사용자에게 부정적인 영향을 미치지 않으면서 무차별 대입 봇을 차단할 수 있습니다.
자세한 내용은 WordPress에서 로그인 시도를 제한하는 방법에 대한 가이드를 참조하세요.
2.나쁜 봇 차단
무차별 대입 공격은 거의 항상 봇에 의해 수행됩니다. 봇은 간단한 작업을 반복적으로 수행하도록 설계된 작은 프로그램이므로 무차별 대입 공격에 이상적입니다. 봇은 일치하는 항목을 찾을 때까지 로그인 페이지에서 일련의 자격 증명을 시도합니다.
게다가 모든 웹사이트 트래픽의 25% 이상이 봇이므로 봇 보호 기능이 있는 보안 시스템이 많이 있습니다. 그러나 여기서 중요한 차이점이 있습니다. 모든 봇이 나쁜 것은 아닙니다. 다른 검색 엔진 크롤러 및 가동 시간 모니터링 봇과 같은 좋은 것들이 있습니다. 사용자가 사이트에 액세스할 수 있기를 원하므로 MalCare와 같은 악성 봇만 지능적으로 차단하는 봇 보호 기능을 확보하는 것이 중요합니다. 올인원과 같은 다른 봇 보호 플러그인도 있지만 기본적으로 Googlebot을 포함한 모든 봇을 차단합니다.
3. 웹 애플리케이션 방화벽 설치
로그인 보호는 특히 무차별 대입 공격에 대한 방어인 반면 방화벽은 모든 종류의 공격에 대한 방어입니다. 무차별 대입을 포함하여.
방화벽은 규칙을 사용하여 악성 트래픽을 차단하고 웹사이트를 보호하는 데 많은 역할을 합니다. 또한 방화벽은 반복되는 잘못된 요청을 차단하여 무차별 대입 공격의 가장 큰 문제 중 하나인 서버 리소스에 대한 과도한 부하를 완화합니다.
무차별 대입 공격은 종종 다른 IP에서 공격하도록 구성되므로 대부분의 방화벽을 우회할 수 있습니다. 그러나 MalCare의 방화벽을 사용하면 웹사이트가 글로벌 IP 보호의 일부가 됩니다. 방화벽은 100,000개 이상의 사이트에서 기록된 동작에서 어떤 IP가 악성인지 학습하고 해당 사이트의 트래픽을 사전에 차단합니다. 이러한 조치는 봇이 사이트의 로그인 페이지를 무차별 대입하기 전에 먼저 웹 사이트에 대한 불량 트래픽의 양을 크게 줄입니다.
4. WordPress에 이중 인증 추가
사용자 이름과 암호를 추측할 수 있으므로 이중 요소 인증(실제로는 다중 요소 인증)이 사용자를 인증하는 동적 요소를 갖는 방법으로 등장했습니다. 이중 인증을 사용하면 OTP 또는 QR 코드와 같은 실시간 로그인 토큰이 사용자의 기기와 공유됩니다. 일반적으로 약 10-15분의 제한된 유효 기간을 가지며 해당 세션에 대해서만 사용자를 인증할 수 있습니다.
추가 토큰은 사용자 이름과 비밀번호 외에 크랙하기 어렵습니다. 따라서 로그인 페이지에 또 다른 보안 계층을 추가합니다. WP 2FA와 같은 플러그인을 설치하여 사이트에 2단계 인증을 쉽게 추가할 수 있습니다.
자세한 내용은 WordPress 2단계 인증에 대한 가이드를 참조하세요.
5. 강력하고 고유한 비밀번호 사용
보안의 가장 큰 결함은 사용자 자신이며 더 나아가 사용자가 설정한 암호입니다. 암호는 기억하기 쉬운 암호를 설정하고 다른 계정에서 재사용하려는 (이해할 수 있는) 인간의 경향 때문에 모든 보안 시스템에서 가장 큰 취약점입니다. 이것은 실제로 암호에 대한 두 가지 별개의 별개의 문제입니다.
우선, 다른 계정에서 비밀번호를 재사용하지 마십시오. 많은 무차별 대입 봇이 데이터 침해로 인해 도난당한 비밀번호를 사용하여 로그인 페이지를 공격합니다. 둘째, 상상할 수 있듯이 'password'와 같은 암호는 추측하기 매우 쉽습니다. 횡설수설의 최소 12자를 사용하거나 암호로 암호를 사용하는 것이 좋습니다.
비밀번호 재사용을 방지하고 필요에 따라 강력한 비밀번호를 생성하려면 LastPass 또는 1Password와 같은 비밀번호 관리자를 사용하는 것이 좋습니다. 계정이 손상된 것으로 의심되는 경우 MalCare 대시보드의 강화 섹션에서 모든 비밀번호를 강제로 재설정할 수 있습니다.
자세한 내용은 WordPress 암호 보안에 대한 기사를 참조하십시오.
6. WordPress에서 XML-RPC 비활성화
XML-RPC 파일은 사용자를 인증하는 또 다른 방법입니다. 즉, 관리자 대시보드에 액세스할 수 있는 대체 방법이므로 무차별 대입 공격에도 취약합니다. 대부분 사용되지 않는 파일이며 많은 플러그인이나 테마에서 활발히 사용되지 않습니다. 이전 버전과의 호환성을 위해 WordPress에 계속 포함되어 있으므로 비활성화하는 것이 상대적으로 안전합니다.
다음은 WordPress에서 XML-RPC를 비활성화하는 방법에 대한 가이드입니다.
7. 사용하지 않는 사용자 계정을 정기적으로 검토하고 제거합니다.
휴면 계정은 종종 해커의 표적이 됩니다. 계정이 하이재킹된 경우 사용자가 눈치채지 못할 가능성이 높기 때문입니다. 또한 휴면 계정은 장기간 동일한 암호를 사용하므로 무차별 대입이 더 쉽습니다.
따라서 사용자 계정을 정기적으로 검토하고 사용하지 않는 계정을 제거하십시오. 추가 크레딧을 받으려면 각 계정에 계정을 관리하는 데 필요한 최소한의 사용자 권한이 있는지 확인하십시오. 예를 들어 모든 사람을 관리자로 만드는 것은 무모합니다.
8. WordPress에서 지역 차단 고려
한 위치에서 많은 봇 트래픽이 보이면 국가 전체를 차단하는 것을 고려할 수 있습니다. 그러나 지역 차단을 사용할 때는 재량권을 권합니다. 해당 위치에서 합법적인 사용자가 전혀 없을 것으로 예상되는 경우에만 유용합니다.
또한 해당 지역에서 좋은 봇을 차단할 수 있다는 경고를 받습니다. 예를 들어 Googlebot은 전 세계의 모든 서버 위치에서 작동할 수 있으며 Googlebot이 사이트에 액세스하기를 확실히 원합니다.
다음은 WordPress에서 국가를 차단하는 단계별 가이드입니다.
9. 디렉토리 브라우징 비활성화
기본적으로 대부분의 WordPress 핵심 폴더와 파일은 브라우저를 통해 공개적으로 액세스할 수 있습니다. 예를 들어 브라우저 URL 표시줄에 yourwebsite.com/wp-includes를 입력하면 폴더의 전체 내용이 즉시 표시됩니다.
디렉터리 탐색 자체는 취약점이 아니지만 취약점을 악용하는 데 사용될 수 있는 사이트에 대한 정보를 드러낼 수 있습니다. /wp-content 폴더에는 플러그인과 테마가 있으며 해커가 설치된 플러그인과 버전 번호를 볼 수 있다면 잠재적으로 취약점을 찾아 악용할 수 있습니다. 이것은 디렉토리 무차별 대입이라고 하는 덜 대중적인 무차별 대입 공격 유형입니다.
따라서 보호 수단으로 디렉토리 탐색을 모두 비활성화하는 것이 좋습니다.
다음은 WordPress에서 디렉토리 탐색 비활성화에 대한 전체 가이드입니다.
다른 곳에서 읽지만 하지 말아야 할 것들
선의의 그러나 부실한 보안 조언이 많이 있습니다. 따라서 해야 할 일 목록 외에 하지 말아야 할 일도 나열하고 있습니다.
- 비밀번호 보호 wp-admin 디렉토리 : 절대 하지 마세요. 거의 모든 무차별 대입 방지 기사에 나타납니다. wp-admin 디렉토리를 암호로 보호하면 admin-ajax.php 파일에 대한 액세스를 제한하여 로그인하지 않은 사용자에 대해 AJAX를 중단합니다.
AJAX는 종종 웹 사이트의 동적 측면을 강화하는 데 사용됩니다. 귀하의 사이트에 검색창이 있다고 가정합니다. 방문자가 제품을 검색하는 데 사용하는 경우 전체 웹사이트가 아닌 검색 결과만 다시 로드됩니다. 이것은 엄청난 자원을 절약하며 웹사이트의 사용자 경험을 훨씬 더 빠르고 더 좋게 만듭니다.
또한 admin-ajax.php 파일을 제외하기 위한 많은 해결 방법을 볼 수 있지만 항상 원활하게 작동하는 것은 아닙니다. 결론은 해결 방법에 수반되는 노력이 그에 상응하는 보안 수준을 반영하지 않는다는 것입니다. 따라서 약간의 추가 이익을 위한 큰 단계입니다. - wp-login URL 변경: WordPress 강화 기사에서 이 조언을 자주 볼 수 있습니다. 그러나 로그인 URL은 분실 시 복구가 거의 불가능하므로 변경하지 않는 것이 좋습니다.
- admin을 사용자 이름으로 사용하지 마십시오. 무차별 대입 봇은 사용자 이름과 암호 조합을 효과적으로 추측하려고 하므로 admin과 같은 명백한 사용자 이름을 피하는 것이 좋습니다. 워드프레스에서는 대시보드에서 사용자 이름을 변경할 수 없으므로 플러그인을 설치해야 합니다.
그러나 이 측정값은 제한적이므로 여기에 너무 많은 시간과 노력을 들이지 않는 것이 좋습니다. 멤버십 사이트와 같은 특정 유형의 사이트에서 사용자 이름을 복구하는 다른 방법이 있습니다. 회원을 위한 고유한 사용자 이름을 갖고 정책을 시행한 다음 사람들이 고유한 사용자 이름을 잊어버렸을 때 불가피한 결과를 처리하는 데 필요한 노력은 제한된 유익한 효과를 얻을 가치가 없습니다.
WordPress의 무차별 대입 공격의 영향
무차별 대입 공격의 효과에 대해 생각하는 두 가지 방법이 있습니다. 첫째, 공격하는 동안 어떤 일이 일어나고, 두 번째는 공격이 성공하면 어떻게 되는지입니다.
일반적으로 공격의 경우 첫 번째 질문이 자주 발생하지 않습니다. 웹사이트가 공격을 받을 때 웹사이트에 미치는 영향이 거의 또는 전혀 없기 때문입니다. 공격이 성공하면 그 결과는 고개를 뒤로 젖힙니다. 그러나 무차별 대입 공격의 경우에는 그렇지 않습니다.
사이트가 무차별 대입되면 어떻게 됩니까?
서버 리소스에 대한 즉각적인 영향을 볼 수 있습니다. 공격이 요청으로 로그인 페이지를 공격하기 때문에 서버는 각 요청에 응답해야 합니다. 따라서 웹 사이트에서 서버 사용량 증가의 모든 영향을 보게 될 것입니다. 웹 사이트 속도가 느려지고, 일부 사용자가 로그인할 수 없고, 다운타임, 액세스할 수 없는 경우 등입니다. 웹 호스트는 특히 공유 호스팅을 사용하는 경우 메트릭에 영향을 미치기 때문에 지붕을 통과하는 서버 사용을 빠르게 제한합니다.
무차별 대입 공격이 성공하면 어떻게 됩니까?
공격이 성공하면 맬웨어나 일종의 손상을 볼 수 있을 것으로 합리적으로 예상할 수 있습니다. 해커가 귀하의 웹 사이트에 액세스하려는 몇 가지 이유가 있지만 그 중 어느 것도 좋지 않습니다.
그것이 충분히 나쁘지 않다면 귀하의 웹사이트가 봇넷의 일부가 될 수 있으며 귀하의 동의 없이 다른 웹사이트를 공격하는 데 사용될 수 있습니다. 이것은 다른 보안 시스템이 귀하의 웹사이트가 봇넷의 일부인 경우 악성으로 표시하기 때문에 중대한 결과를 초래할 수 있습니다.
WordPress 무차별 대입 공격의 결과 다루기
무차별 대입 공격이 성공한 경우 최악의 상황을 가정해야 합니다. 웹사이트가 손상되었습니다. 따라서 귀하의 최우선 순위는 귀하의 웹 사이트를 보호하는 것입니다. 손상을 억제하기 위해 취해야 하는 주요 단계는 다음과 같습니다.
- 모든 사용자를 강제 로그아웃하고 모든 비밀번호를 변경합니다.
- 즉시 웹사이트에서 맬웨어 검사
사이트에 맬웨어가 없다고 확신하면 위에 나열된 예방 조치를 구현하십시오. 로그인 보호 및 봇 보호를 담당하는 MalCare를 설치하는 동시에 멀웨어 스캐너, 클리너 및 고급 방화벽도 함께 설치하는 것이 좋습니다. MalCare를 설치하면 사이트가 WordPress 공격으로부터 안전하다는 확신을 가질 수 있습니다.
귀하의 사이트는 무차별 대입 공격에 취약합니까?
예, 모든 시스템은 무차별 대입 공격에 취약합니다. 작동 방식 때문에 로그인 페이지가 있는 모든 시스템에 대해 무차별 대입 공격을 시작할 수 있습니다. 워드프레스 웹사이트도 다르지 않습니다.
WordPress의 인기는 해커의 표적이 됩니다. 첫째, 인터넷의 많은 부분이 워드프레스에 의해 구동되기 때문이고, 둘째 워드프레스의 특정 측면이 잘 알려져 있기 때문입니다. 특히 무차별 대입 공격과 관련된 예에서 WordPress는 잘못된 로그인 시도를 제한하지 않습니다. 대책 부분에서 말씀드린 것처럼 MalCare의 로그인 제한 기능으로 이를 수정할 수 있습니다.
게다가 많은 사이트 소유자는 기억하기 쉬운 사용자 이름과 비밀번호를 사용하는 경향이 있습니다. 일반적인 것들은 사용자 이름으로 admin과 암호로 설정된 password1234 또는 12345678을 포함합니다.
이러한 요인으로 인해 웹 사이트는 무차별 대입 공격에 취약합니다.
무차별 대입 공격의 유형
무차별 대입 공격은 사회 공학 공격 또는 XSS 공격과 같은 다른 유형의 위협 및 공격과 다릅니다. 피싱과 같은 사회 공학 공격은 신뢰할 수 있는 엔터티로 가장하여 사람들이 자격 증명을 공유하도록 조작하는 반면 XSS 공격은 웹 사이트의 취약점을 악용합니다. 무차별 대입 공격은 약하거나 도난당한 자격 증명을 사용하여 성공합니다.
야생에서 무차별 대입 공격의 몇 가지 맛을 볼 수 있습니다. 모두 동일한 시행착오 패턴을 따르지만 시도하는 자격 증명이나 사용하는 메커니즘은 다를 수 있습니다. 다음은 무차별 대입 공격의 가장 일반적인 유형입니다.
- 단순 공격: 단순 무차별 대입 공격은 예를 들어 소셜 미디어 사이트에서 가져온 애완 동물 이름이나 생일과 같은 사용자 지식을 기반으로 자격 증명을 추측하는 논리를 사용합니다.
- 크리덴셜 스터핑: 이 유형의 공격은 사용자가 여러 시스템에서 동일한 사용자 이름과 암호를 사용하는 경향이 있다는 가정 하에 작동하며 침해로부터 얻은 데이터를 사용합니다.
- 사전 공격: 이름에서 알 수 있듯이 이 봇은 암호에 사전 파일을 사용합니다. 이것은 실제 사전일 수도 있고 비밀번호 추측을 위해 특별히 생성된 사전일 수도 있습니다.
- 레인보우 테이블 공격: 사전 공격과 유사한 개념으로 레인보우 테이블은 특별한 종류의 사전 목록입니다. 암호 목록 대신 레인보우 테이블에는 해시된 암호 목록이 포함됩니다.
- 암호 스프레이: 이 유형의 공격은 논리적으로 역무차별 대입 공격입니다. 일반적인 무차별 대입 공격에서 특정 사용자 이름이 대상이 되고 암호를 사용하여 추측 게임이 진행됩니다. 반대로 암호 스프레이를 사용하면 잠재적인 일치 항목을 찾기 위해 여러 사용자 이름에 대해 암호 목록을 시도합니다. 표적 공격에 비해 더 분산된 공격입니다.
사이트 관리자는 다양한 유형의 무차별 대입 공격의 차이점을 알 필요가 없습니다. 그러나 이러한 용어는 종종 같은 의미로 사용되므로 기본 메커니즘을 이해하는 데 도움이 됩니다.
기타 우수한 보안 관행
WordPress에서 무차별 대입 공격을 방지하는 것은 훌륭한 목표이지만 웹 사이트 보안의 일부일 뿐입니다. 다음은 사이트를 맬웨어로부터 안전하고 안전하게 유지하기 위한 몇 가지 주요 권장 사항입니다.
- 좋은 맬웨어 스캐너 및 클리너로 보안 플러그인 설치
- 모든 것을 최신 상태로 유지
- 일일 백업에 투자
전체 권장 사항 목록은 당사의 궁극적인 보안 가이드를 확인하십시오.
결론
무차별 대입 공격은 성공하지 못하더라도 웹사이트를 약화시킬 수 있습니다. 이러한 잠재적 위협을 처리하는 가장 좋은 방법은 MalCare와 같은 통합 봇 보호 기능이 있는 방화벽을 설치하는 것입니다.
무차별 대입 공격에 성공하더라도 MalCare는 악성 코드를 빠르게 감지하고 제거하도록 도와줍니다. 모든 감염의 경우와 마찬가지로 빠른 조치는 피해를 크게 제한합니다.
자주 묻는 질문
WordPress의 무차별 대입 공격이란 무엇입니까?
WordPress의 무차별 대입 공격은 해커가 합법적인 사용자 계정의 로그인 자격 증명을 추측하여 사이트의 wp-admin에 대한 액세스 권한을 얻으려는 경우입니다. 무차별 대입 공격은 봇을 사용하여 올바른 암호를 추측하기 위해 wp-login 페이지에서 수백, 수천, 때로는 수백만 개의 암호를 시도합니다.
무차별 대입 공격은 성공할 경우 사이트에 위험할 뿐만 아니라 사이트 성능에도 큰 영향을 미칩니다. 이 공격은 서버 리소스를 사용하고 때때로 사이트를 충돌시킬 수도 있습니다.
무차별 대입 공격으로부터 WordPress 사이트를 보호하는 방법은 무엇입니까?
무차별 대입 공격으로부터 사이트를 보호하는 가장 효과적인 방법은 로그인 시도를 제한하는 것입니다. 기본적으로 WordPress는 무제한 로그인 시도를 허용하므로 MalCare를 사용하여 무차별 대입 공격으로부터 사이트를 보호할 수 있습니다. 로그인 보호 외에도 MalCare에는 봇 보호와 고급 방화벽이 포함되어 있어 사이트를 보호하고 무차별 대입 공격의 악영향을 완화합니다.