WordPress 로그인 보안: 로그인 페이지를 보호하는 5가지 쉬운 단계

WordPress 로그인 보안에 대해 걱정해야 하는지 궁금하십니까?

WordPress는 웹 사이트를 구축하기가 매우 쉽기 때문에 세계에서 가장 인기 있는 CMS입니다. 무료 CMS이지만 대가를 치러야 합니다. WordPress는 매우 예측 가능하기 때문에 때때로 쉬운 대상이 됩니다.

예를 들어 로그인 페이지를 살펴보십시오.

모든 WordPress 웹사이트에는 동일한 로그인 페이지(/wp-admin.com 또는 /wp-login.php)가 있습니다. 약한 자격 증명을 사용하려는 인간의 경향과 예측 가능성을 결합하면 페이지가 해커의 매혹적인 대상이 됩니다.

보안 전문가들은 로그인 페이지가 웹사이트에서 가장 취약한 페이지라고 말합니다. 매일 해커는 봇을 배포하여 해당 페이지에서 무차별 대입 공격을 수행합니다. 로그인 자격 증명을 알아내면 CMS에 쉽게 액세스할 수 있습니다. 따라서 이러한 초대받지 않은 손님으로부터 건물을 보호하기 위해 최선을 다해야 합니다.

이 기사에서는 WordPress 로그인 보안을 개선하고 해킹을 방지하는 5가지 고급 방법을 보여줍니다.

2022년 WordPress 로그인 페이지를 보호하는 방법

사이버 보안 영역에는 잘못된 조언이 많이 있습니다. 그것의 대부분은 사람들을 두려움에 몰아넣고 강박적인 선택에 굴복하게 만드는 것을 목표로 합니다. 노이즈를 추가하는 대신 이 기사에서는 실제로 작동하는 방법을 보여줍니다. 사람들은:

강력한 암호 적용 및 SSL 인증서 설치가 포함되지 않았다는 사실을 눈치채셨을 것입니다. 그것은 주어진 것이기 때문입니다. 우리는 당신이 이미 그것들을 사용하고 있기를 바랍니다. 이를 수행하는 방법에 대한 다른 가이드를 참조하세요.

참고: 아래에 언급한 조치를 수행하려면 플러그인을 한두 개 설치해야 합니다. 그리고 우리는 최고의 플러그인조차도 고장을 일으킬 수 있다는 것을 알고 있습니다. 따라서 더 진행하기 전에 웹사이트를 백업하십시오.

이제 시작하겠습니다.

1. 로그인 페이지 URL 변경

기사 시작 부분에서 말했듯이 기본 WordPress 로그인 페이지는 다음과 같습니다.

• www.website.com/wp-admin/
• www.website.com/wp-login.php/

WordPress 로그인 페이지를 대상으로 하는 봇을 설계하는 해커를 포함하여 모두가 알고 있습니다. 그리고 미국인의 59% [1] 가 약한 비밀번호를 사용하기 때문에 로그인 페이지를 무차별 대입 하여 웹사이트를 해킹하는 것은 너무 쉽습니다.

로그인 페이지를 보호하는 한 가지 방법은 URL을 변경하는 것입니다.

새 사용자 정의 로그인 페이지 URL을 만드는 것은 쉽습니다. 몇 번의 클릭으로 수행할 수 있는 여러 플러그인이 있습니다.

WPS 로그인 숨기기 플러그인을 사용하여 프로세스를 시연하겠지만 다른 플러그인을 선호하는 경우 바로 진행하십시오. 단계는 똑같이 쉽고 빠릅니다.

WordPress 로그인 URL을 변경하는 방법

WPS 로그인 숨기기를 설치하고 활성화합니다. 설정 → WPS 로그인 숨기기 로 이동합니다.

페이지 하단에서 아래로 스크롤하여 로그인 URL 섹션에 새 URL을 삽입하고 변경 사항 저장 을 누르십시오.

새 URL로 로그인해 보세요. 팀원들과 공유하는 것을 잊지 마십시오.

도움이 필요한 경우 WordPress 로그인 페이지 URL을 변경하는 방법에 대한 전용 가이드가 있습니다.

2. 이중 인증 구현

Facebook과 Gmail을 사용하는 동안 이중 인증을 경험했을 것입니다. 서비스는 일반적으로 계정에 로그인을 시도할 때마다 등록된 휴대폰 번호로 고유 코드를 보냅니다. 이 보안 조치는 계정 소유자만 계정에 액세스할 수 있도록 구현됩니다. 해커가 귀하의 자격 증명을 손에 넣을 수 있다고 해도 귀하의 등록된 휴대폰 번호로 전송된 고유 코드를 도용할 수 있는 방법은 없습니다.

2단계 인증은 WordPress 웹사이트에도 적용할 수 있습니다. 로그인 페이지에 보안 계층을 추가합니다. 다음 플러그인 중 하나를 설치하기만 하면 됩니다.

• miniOrange의 Google OTP
• Google Authenticator – 2단계 인증(2FA)
• WP 화이트 시큐리티의 WP 2FA

이중 인증 플러그인을 설정하는 것은 매우 쉽습니다. miniOrange의 Google Authenticator를 사용하여 설정 과정을 보여드리겠습니다.

이중 인증을 구현하는 방법

WordPress 로그인 페이지에 miniOrange의 Google Authenticator를 설치하십시오. 플러그인을 활성화하자마자 설정 위젯이 나타납니다. 첫 번째 옵션(예: Google Authenticator )을 선택합니다.

다음으로 스마트폰에 Google Authenticator 앱을 다운로드합니다. 앱을 열고 QR 코드를 스캔합니다 .

앱에서 코드를 생성합니다. 설정 위젯에 입력하고 저장 을 누르십시오.

2FA WordPress 로그인 보안이 이제 로그인 페이지에서 활성화되었습니다.

3. 로그인 시도 실패 제한

WordPress는 사용자에게 무제한 로그인 시도를 허용합니다. 이것은 무해하게 들릴지 모르지만 솔직히 말해서 눈에 띄는 보안 허점입니다.

무제한 로그인 시도를 통해 해커는 무차별 대입 공격을 수행할 수 있습니다. 이러한 유형의 공격에서 해커는 봇을 배포하여 사용자 이름과 암호의 올바른 조합을 찾습니다. 봇은 올바른 자격 증명을 찾기 전에 여러 번 실패합니다. 봇 공격에 대응하는 가장 효과적인 방법 중 하나는 로그인 시도를 제한하는 것입니다.

아래 플러그인이 바로 도움이 될 것입니다.

• 로그인 시도 제한 새로고침
• WPS 제한 로그인
• Arshid의 WP 제한 로그인 시도

실패한 로그인 시도를 제한하는 방법

플러그인 설치 후 로그인 시도 제한 → 설정 → 로컬 앱 으로 이동합니다. 여기에서 웹사이트에서 로그인 시도를 허용해야 하는 횟수를 설정할 수 있습니다. 그리고 해당 로그인 시도 횟수 이후 누군가가 잠긴 상태로 유지되는 기간.

4. 사용자 이름 발견 방지

일반적으로 사용자 이름은 암호보다 덜 중요한 것으로 간주됩니다. 그것은 공개적으로 이용 가능한 기록이며, 그렇기 때문에 우리는 그것이 가치가 낮아야 한다고 가정합니다. 사실이 아니다.

사용자 이름은 자격 증명의 절반을 차지합니다. 비밀번호처럼 보호해야 합니다.

WordPress 웹사이트에서 게시물 및 작성자 아카이브에 표시된 사용자 이름을 찾을 수 있습니다. 고맙게도 둘 다 비활성화하는 방법이 있습니다.

작성자 아카이브를 비활성화하는 방법

이것은 모든 SEO 플러그인을 사용하여 수행할 수 있습니다. 아래 튜토리얼에서는 Yoast SEO를 사용하여 보여줍니다.

SEO → Search Appearance → Archives 로 이동한 다음 Author Archives를 비활성화합니다. 변경 사항 저장 을 누르십시오.

표시 이름을 변경하는 방법

표시 이름은 게시된 기사 및 댓글에 표시됩니다. 기본적으로 표시 이름과 사용자 이름(로그인에 사용하는 이름)은 동일합니다. 사용자 이름이 검색되지 않도록 하려면 표시 이름을 다른 이름으로 변경할 수 있습니다.

사용자 → 프로필 → 닉네임 으로 이동합니다. 표시 이름은 직접 변경할 수 없습니다. 대신 닉네임을 변경하십시오. 그런 다음 아래 드롭다운 메뉴에서 새 닉네임 을 선택합니다.

5. 자동 로그아웃

자동 로그아웃은 스누퍼로부터 웹사이트를 보호합니다. 사용자가 세션을 방치하면 자동 로그아웃이 세션을 종료하여 웹사이트를 보호합니다.

기본 WordPress 동작은 로그인 세션 쿠키가 만료된 후 48시간 후에 사용자를 로그아웃하는 것입니다. 사용자가 "기억하기" 상자를 선택하면 14일 동안 로그인 상태가 유지됩니다. 약간의 유휴 시간으로 인해 세션을 종료하려면 별도의 플러그인을 설치해야 합니다.

아래 플러그인은 유휴 사용자 세션을 종료하기 위해 자동 로그아웃하는 데 도움이 됩니다.

• 비활성 로그아웃
• iThemes 보안

자동 로그아웃을 활성화하는 방법

플러그인을 활성화한 다음 설정 → 비활성 로그아웃 → 기본 관리 로 이동합니다. 유휴 시간 초과에 대한 시계를 설정합니다. 역할 기반 시간 초과에 대한 옵션도 있습니다. 당신이 좋아하는 경우 그것을 확인하십시오.

WordPress 로그인 보안에 대한 결론

해커가 웹 사이트에 무차별 대입하는 것을 방지하기 위한 조치를 구현했지만 침입자는 취약한 테마와 플러그인을 통해 여전히 액세스할 수 있습니다. 따라서 사이트를 24시간 최신 상태로 유지하십시오.

웹사이트를 더욱 안전하게 보호하려면 이 가이드에서 다루는 모든 보안 조치를 취하는 것이 좋습니다. 10가지 주요 WordPress 보안 팁.

WordPress 로그인 보안을 처리하는 방법에 대해 질문이 있는 경우 아래 의견에 알려주십시오.