WordPress에서 실패한 로그인 시도를 차단하는 방법

게시 됨: 2021-10-26

로그인 실패는 다양한 이유로 발생할 수 있습니다. 종종 그것은 단순히 사용자가 자신의 암호를 잊어버린 결과입니다. 그것은 우리가 너무 가혹하게 판단하지 않기 위해 최선을 다하는 것입니다. 그러나 때로는 더 심각한 일이 발생할 수 있습니다. 누군가가 침입하려고 합니다.

실패한 로그인 문제 해결 기술

다른 모든 WordPress 문제와 마찬가지로 문제 해결(일명 문제의 핵심)은 우리가 수행해야 하는 첫 번째 단계입니다. 이렇게 하면 증상이 아닌 실제 문제를 처리하는 데 도움이 됩니다. 다행히도 이 프로세스를 시작하는 쉬운 방법이 있습니다. 데이터를 살펴보세요. 기본적으로 다음 두 가지 중 하나가 표시되어야 합니다.

  • 잘못된 사용자 이름 및 잘못된 비밀번호 조합

잘못된 사용자 이름과 비밀번호 조합은 두 가지 이유 중 하나로 인해 발생할 수 있습니다. 누군가 또는 무언가가 액세스 권한을 얻기 위해 사용자 이름/비밀번호 조합을 추측하려고 하거나 표적 공격입니다. 첫 번째 옵션의 경우 이것은 꽤 흔한 일입니다. 그렇지 않으면 웹사이트에 대한 액세스 권한을 얻거나 웹사이트에 과부하를 주기 위한 표적 공격(DoS/DDoS)일 수 있습니다.

  • 올바른 사용자 이름과 잘못된 비밀번호 조합

올바른 사용자 이름과 잘못된 암호 조합은 두 가지 중 하나를 의미할 수 있습니다. 누군가가 비밀번호를 잊어버린 진짜 경우이거나 누군가가 WordPress에 등록된 실제 사용자 이름을 발견하고 이제 비밀번호를 추측하려고 합니다.

기억해야 할 또 다른 사항은 주파수입니다. 단기간에 많은 시도를 하는 것은 일반적으로 자동화된 공격의 신호입니다. 반면 느리고 불규칙한 타임 라인은 아직 커피를 마시지 않은 사람의 전조입니다.

너무 많은 로그인 시도 실패의 위험

암호 추측 공격은 꽤 널리 퍼져 있습니다. 너무 많은 실패한 WordPress 로그인 시도는 일반적으로 이러한 종류의 공격을 나타냅니다. 이를 관리할 방법이 없으면 사이트가 공격과 중단에 노출될 수 있습니다. 다행스럽게도 이 위험을 관리하는 것은 매우 쉽고 관리 노력이 거의 필요하지 않습니다.

WordPress는 로그인 시도 실패 시 제한하거나 회피하는 기능을 제공하지 않습니다. 사용자는 올바른 결과를 얻을 때까지 계속해서 짜증나는 광고를 시도할 수 있습니다. 사람들에게 추가 기회를 주는 것은 윤리적인 일이라고 주장할 수 있지만 제한과 통제를 부과하는 것은 WordPress 웹사이트의 보안과 무결성을 보장하는 데 큰 도움이 될 수 있습니다.

WordPress에서 로그인 시도 실패를 방지하는 방법

WordPress 로그인 실패 정책을 구현하는 것은 생각보다 쉽습니다. 선택할 수 있는 옵션은 크게 두 가지이며 이제 이에 대해 설명합니다.

수동으로 실패한 로그인 제한

플러그인 없이 WordPress 로그인 실패를 제한하려는 경우 활성 테마의 function.php 파일을 수정하고 관련 코드를 추가할 수 있습니다. WordPress 웹 사이트에 사용자 정의 코드를 추가하는 방법에는 여러 가지가 있습니다. 그러나 이를 위해서는 PHP와 WordPress 작동 방식에 대한 충분한 이해가 필요합니다.

플러그인 설치

또 다른 가장 실용적인 옵션이 있습니다. 바로 플러그인을 사용하는 것입니다. 플러그인은 로그인 시도를 제한하는 플러그인과 더 엄격한 제어 및 보안을 위해 WordPress에서 암호 보안 정책을 시행할 수 있는 플러그인을 포함하여 모든 모양과 크기로 제공됩니다.

WPassword는 그러한 WordPress 플러그인 중 하나입니다. 관리자는 WordPress 웹 사이트에서 암호가 사용 및 관리되는 방식을 더 잘 제어할 수 있습니다. 여기에는 다른 많은 기능 중에서 실패한 로그인 시도를 명시적으로 처리하는 정책을 설정하는 기능이 포함됩니다.

고려해야 할 기타 사항

언급할 가치가 있는 또 다른 옵션은 CAPTCHA입니다. Advanced noCaptcha 및 Invisible Captcha와 같은 플러그인은 자동화된 공격을 막는 데 유용합니다. CAPTCHA는 로깅 시도가 이루어지기 전에 완료되어야 하므로 이러한 공격의 배후 봇은 테스트에 실패하고 단일 로그인 시도를 하지 않습니다.

실패한 로그인 정책에 대한 대화에서 자주 등장하는 또 다른 옵션은 IP 차단입니다. 이 옵션을 통해 문제가 되는 IP를 블랙리스트에 올려 처음부터 웹 사이트에 액세스하지 못하게 합니다. 이것은 기술적으로 정확하지만 지속적인 악의적인 행위자는 단순히 다른 IP를 사용할 수 있습니다. 이는 쉽게 할 수 있습니다. 이 때문에 IP 차단 전략은 종종 고양이와 쥐 게임으로 끝납니다.

한 가지 더 나은 옵션은 CDN(콘텐츠 전송 네트워크)을 사용하여 문제가 되는 IP 차단을 처리하도록 하는 것입니다. 이렇게 하면 귀중한 시간을 절약할 수 있으며 생산적인 일에 투자할 수 있습니다.

WordPress 로그인 실패 정책을 설계하는 방법

워드프레스 웹사이트에서 실패한 로그인 정책을 시행하기 전에 먼저 생각해야 할 몇 가지 사항이 있습니다. 다른 모든 보안 관련 문제와 마찬가지로 실패한 로그인 시도를 관리하는 것은 보안/사용성 역설로 어려움을 겪습니다. 보안이 강화될수록 활용도가 떨어집니다. 그 반대도 마찬가지입니다. 아무도 로그인할 수 없도록 하는 것은 매우 안전하지만 거의 사용할 수 없습니다. 사용자에게 로깅 기회를 무제한으로 제공하면 보안이 손상될 수 있지만 사용성은 높아집니다.

당신이 이해해야 할 것은 당신이 당신의 사용자들에게 얼마나 많은 자유를 줄 의향이 있는지입니다. 전통적으로 세 번의 시도가 적절하고 합리적인 것으로 간주됩니다. 일부는 이 개념에 동의하지 않고 최대 허용 로그인 시도를 10번으로 설정합니다. 어느 쪽이든 무제한 로그인 시도를 제공하는 것은 좋은 전략이 아니며 부정적인 영향을 미칠 수 있습니다.

문제의 진실은 옳고 그른 대답이 없다는 것입니다. 3은 안전한 숫자이지만 관리 오버헤드가 증가합니다. 10개는 관리 오버헤드가 낮을 수 있지만 더 많은 위험을 수반합니다.

따라서 로그인 시도 횟수를 3회로 제한한 다음 상황을 평가할 수 있습니다. WPassword를 사용할 때 이 번호를 변경하는 것은 매우 쉽습니다. 따라서 정책을 사용자와 상황에 매우 쉽게 적용할 수 있습니다.

계정이 잠겼을 때 어떤 일이 발생하는지 생각해 보는 것이 가장 좋습니다. 미리 구성된 기간 후에 계정이 자동으로 잠금 해제되어야 합니까, 아니면 관리자가 수동으로 잠금을 해제해야 합니까? 이 질문은 이전과 동일한 문제에 굴복합니다. 사용성과 보안 중에서 결정해야 합니다. 정책의 이 부분에 영향을 줄 수 있는 또 다른 필수 측면은 사용자의 위치입니다. 사람들이 지구 반대편에서 로그인하는 경우 계정을 잠금 해제하기 위해 아침 2시에 일어나서 기쁩니까? 그렇지 않은 경우 사용자가 다시 로그인하려면 얼마나 기다려야 합니까? 이것이 그들의 생산성이나 수익에 영향을 줍니까?

WordPress 로그인 실패를 관리하기 위한 올바른 플러그인(및 정책) 선택

암호 및 실패한 로그인 정책이 어떻게 생겼는지 이해했으면 구현 작업을 시작해야 합니다. 우리는 이전에 WPassword를 주요 후보로 언급했습니다. 많은 구성 옵션을 제공하므로 암호 정책을 구성하고 구현할 때 상당한 여유를 가질 수 있습니다.

WordPress에 대한 로그인 실패 정책을 활성화하면 계정이 잠기기 전에 사용자가 시도할 수 있는 횟수를 선택할 수 있습니다. 또한 아래에 설명된 대로 잠금 해제 방법과 사용자가 암호를 변경하도록 강제할지 여부를 결정할 수 있습니다.

1단계: WPassword 설치 및 활성화

WPassword를 설치하는 것은 쉽습니다. WP White Security 웹사이트에서 바로 비밀번호 보안 플러그인을 다운로드한 다음 WordPress 웹사이트에 업로드할 수 있습니다.

플러그인을 설치했으면 WordPress 사이드 메뉴에서 플러그인을 클릭하고 플러그인 을 찾은 다음 활성화 를 클릭합니다. 클릭해야 하는 암호 정책 이라는 새 메뉴 옵션이 추가됩니다.

2단계: 실패한 로그인 정책 활성화

실패한 로그인 정책 활성화 옆의 확인란을 선택하여 WordPress 웹사이트에서 실패한 로그인 시도를 제한합니다. 사용자를 잠그기 전에 실패한 로그인 시도 횟수를 입력합니다. 일반적으로 3 – 5는 좋은 시작으로 간주됩니다.

실패한 로그인 정책 활성화

다른 구성 옵션에는 계정이 잠긴 후 발생하는 작업과 차단된 사용자가 차단 해제 시 암호를 재설정해야 하는지 여부가 포함됩니다. 자세한 내용은 WordPress 로그인 실패 정책 지식 기반 문서를 참조하세요.

3단계: 추가 보안 조치 취하기

보안문자

우리는 또한 봇과 다른 형태의 자동화된 공격을 차단하면서 인간이 통과할 수 있도록 설계된 많은 로그인 및 양식에 존재하는 유비쿼터스 테스트인 CAPTCHA에 대해서도 언급했습니다. Advanced no Captcha 및 Invisible Captcha와 같은 플러그인을 사용하면 이러한 테스트를 매우 쉽게 구현할 수 있으며 보편적인 호환성과 다양한 버전에 대한 지원을 제공할 수 있습니다.

이중 인증

로그인 프로세스의 보안을 강화하려면 2단계 인증이 필수입니다. 이 과정을 통해 사용자는 스마트폰을 통해 제공된 1회용 비밀번호를 입력하여 2차 인증을 받아야 합니다. WP 2FA와 같은 플러그인을 통해 쉽게 수행할 수 있는 2FA를 사용하면 비밀번호가 유출되더라도 해당 사용자 계정에 전화가 연결되어 있지 않으면 로그인할 수 없도록 할 수 있습니다.

4단계: 한 단계 더 나아가기(선택 사항)

암호 및 실패한 로그인 정책, 보안 문자 및 이중 인증을 사용하면 잘 처리되어야 합니다.

그러나 웹 사이트에서 여전히 로그인 시도 실패가 많다면 CDN 서비스 사용을 고려해야 합니다. 대규모 공격에 적합한 솔루션을 구현하는 데 도움이 되도록 웹 호스팅 제공업체에 문의할 수 있습니다.

WordPress 암호 보안에는 360 접근 방식이 필요합니다.

기사 전체에서 보았듯이 암호 정책을 구현할 때 몇 가지 요소를 고려해야 합니다. 실패한 WordPress 로그인을 차단하는 것이 좋은 첫 번째 단계이지만(그리고 그 단계에서 필요한 단계임) 360도 접근 방식을 취하면 훨씬 더 안전할 수 있습니다. 이것은 모든 기반을 커버하는 데 도움이 될 뿐만 아니라 WordPress 웹사이트에 대한 더 많은 신뢰와 확신을 불러일으키는 데도 도움이 됩니다.

360도 접근 방식은 플러그인 및 테마, 호스팅, TLS, WordPress 코어 등을 포함한 여러 요소를 살펴봅니다. 이렇게 하면 WordPress 보안이 최상의 상태인지 확인할 수 있습니다.