WordPress 로그인 보안을 위한 5가지 간단한 규칙

게시 됨: 2022-07-12

성공적인 WordPress 보안 전략에는 WordPress 로그인을 강화하는 단계가 포함되어야 합니다. 이 게시물에서는 더 나은 WordPress 로그인 보안을 위한 5가지 간단한 규칙을 다룹니다.

WordPress의 가장 좋은 점은 누구나 웹사이트를 만들 수 있다는 것입니다. 그러나 이러한 접근성에는 예측 가능성이 있습니다. WordPress 작업 경험이 있는 사람은 wp-admin 영역을 통해 사이트가 변경되는 위치를 알고 있습니다. 그들은 wp-admin, wp-login.php 페이지에 액세스하기 위해 어디로 가야 하는지도 알고 있습니다.

기본적으로 WordPress 로그인 URL은 모든 WordPress 사이트에서 동일하며 액세스하는 데 특별한 권한이 필요하지 않습니다. 이것이 WordPress 로그인 페이지가 WordPress 사이트에서 가장 공격을 많이 받고 잠재적으로 취약한 부분인 이유입니다.

불행히도 인터넷을 돌아다니며 무차별 대입 공격을 하는 봇을 만드는 데는 많은 기술이 필요하지 않으며 초보자 수준의 해커도 만들 수 있습니다. WordPress 로그인 페이지에 대한 공격은 진입 장벽이 낮기 때문에 WordPress 로그인 보안은 모든 WordPress 사이트를 보호하는 데 중요합니다.

이러한 규칙을 따르고 WordPress 보안 모범 사례를 사용하면 일반적인 사용자 로그인 실수에 취약해지는 것을 피할 수 있습니다.

1. 강력한 암호 사용

인터넷에는 암호 보안 모범 사례에 대한 혼란스럽고 모순된 정보가 많이 있습니다. 이러한 혼란을 없애기 위해 강력한 암호를 사용하여 WordPress 보안을 향상시키는 방법에 대한 기본 사항을 분석해 보겠습니다.

비밀번호를 생성할 때 가장 먼저 고려해야 할 항목은 비밀번호의 길이 입니다. 아래 목록은 4코어 i5 프로세서를 사용하여 암호를 해독하는 데 걸리는 예상 시간을 보여줍니다.

7개의 문자를 해독하는 데 0.29밀리초가 걸립니다.
8명의 캐릭터를 깨는데 5시간이 걸립니다.
9개의 캐릭터가 크랙되는 데 5일이 걸립니다.
10개의 문자를 해독하는 데 4개월이 걸립니다.
11개의 문자를 해독하는 데 10년이 걸립니다.
12개의 문자를 해독하는 데 2세기가 걸립니다.

보시다시피 비밀번호에 단일 문자를 추가하면 로그인 보안이 크게 향상될 수 있습니다.

길이가 최소 12자이고 임의적이며 " ISt8XXa!28X3 "과 같은 많은 문자가 포함된 암호는 해독하기가 매우 어렵습니다.

불행히도 일부 해커는 GPU와 더 강력한 CPU를 활용하여 암호를 해독하는 데 필요한 시간을 줄이고 있습니다. 따라서 로그인을 강화하려면 비밀번호 엔트로피도 염두에 두십시오. 암호 엔트로피가 높을수록 암호 해독이 더 어려워집니다.

예를 들어, 길이 요구 사항을 기준으로 "abcdefghijkl"과 같은 암호는 12자이며 이는 크랙에 200년이 걸릴 것입니다. 그러나 암호는 일련의 문자를 사용하기 때문에 임의의 문자가 있는 "rfybolaawtpm"과 같은 암호에 비해 암호를 훨씬 더 예측할 수 있습니다.

문자를 무작위로 지정하면 예측 가능성이 줄어들고 암호의 강도가 높아집니다. 그러나 이 두 암호에는 궁극적으로 암호 엔트로피를 줄이는 한 가지 공통점이 있습니다. 둘 다 소문자만 사용하여 가능한 문자 풀을 26개로 제한합니다. 그렇기 때문에 암호를 92로 해독하는 데 필요한 문자 풀을 늘리려면 영숫자, 대문자 및 일반 ASCII 문자를 포함하는 것이 중요합니다.

팁: LastPass와 같은 암호 관리자를 사용하여 암호를 쉽게 생성하고 안전하게 저장하십시오.

팁: 최소한 WordPress를 편집할 수 있는 사용자에게 강력한 암호를 사용하도록 요구해야 합니다. iThemes Security Pro와 같은 WordPress 보안 플러그인을 사용하여 권한 있는 사용자가 강력한 암호를 사용하도록 하면 WordPress 로그인 보안을 강화하는 데 도움이 됩니다.

2. 모든 계정에 고유한 비밀번호 사용

온라인 보안을 위한 또 다른 모범 사례는 보유한 모든 계정과 웹사이트 로그인에 고유한 암호를 사용하는 것입니다. 이것은 매우 중요하므로 다시 한 번 말씀드립니다. 모든 사이트에 대해 다른 비밀번호를 사용해야 합니다.

비밀번호 재사용이 왜 그렇게 중요한가요? 모든 사이트에 동일한 암호를 사용하고 해당 사이트 중 하나가 손상된 경우 이제 모든 사이트의 모든 계정에 대해 손상된 암호를 사용하고 있는 것입니다. 해커는 사용자의 이메일 주소 또는 사용자 이름과 연결된 손상된 비밀번호의 데이터 덤프를 사용하여 계정에 액세스할 수 있습니다. 위험을 감수하지 않는 것이 가장 좋습니다.

비밀번호를 재사용하는 사용자가 많을수록 WordPress 로그인 보안이 약해집니다.

Cybernews에서 수집한 목록에서 2022년에 가장 많이 사용된 비밀번호는 123456이었습니다. 사이트의 WordPress 로그인 보안은 가장 약한 링크만큼만 강력하므로 강력한 비밀번호 요구 사항에 미리 대비하십시오.

팁: 손상된 비밀번호로부터 WordPress 보호

iThemes Security Pro와 같은 플러그인을 사용하여 손상된 비밀번호로부터 WordPress를 보호할 수 있습니다. iThemes Security Pro는 HaveIBeenPwned API를 활용하여 데이터 유출 시 비밀번호가 등장했는지 여부를 감지합니다.

팁: 사용자가 비밀번호를 자주 변경하도록 권장

iThemes Security의 암호 요구 사항 기능을 사용하면 다음에 로그인할 때 모든 사용자가 암호를 변경하도록 할 수 있습니다. 사용자에게 강제로 새 암호를 생성하도록 하면 모든 사람이 강력하고 손상되지 않은 암호로 새로 시작할 수 있으므로 WordPress 로그인이 증가합니다. 보안.

팁: 암호 관리자 사용

궁극적으로 암호 관리자를 사용하면 로그인 및 고유 암호를 추적하는 데 도움이 될 수 있습니다. 암호 관리자의 도움으로 암호를 기억할 필요가 없습니다.

3. 로그인 시도 제한

기본적으로 WordPress에는 누군가가 할 수 있는 로그인 시도 실패 횟수를 제한하는 기능이 내장되어 있지 않습니다. 공격자가 할 수 있는 로그인 시도 실패 횟수에 대한 제한 없이 성공할 때까지 무한한 수의 사용자 이름과 암호를 계속 시도할 수 있습니다.

iThemes Security Pro와 같은 WordPress 보안 플러그인을 설치하여 로그인 시도 실패 횟수를 제한하여 WordPress 로그인 보안을 강화하세요. iThemes Security Pro WordPress Brute Force Protection 기능은 사용자 이름 또는 IP가 잠기기 전에 허용된 로그인 시도 실패 횟수를 설정할 수 있는 기능을 제공합니다. 잠금은 공격자의 로그인 시도 기능을 일시적으로 비활성화합니다. 공격자가 세 번 차단되면 사이트를 보는 것조차 금지됩니다. 참고: 로그인 시도 실패에 대한 규칙을 얼마나 엄격하게 할지 결정할 때 사이트의 실제 사용자를 염두에 두십시오. 잠금 규칙을 너무 가혹하게 만들면 실수로 실제 사용자를 잠글 위험이 있습니다.

4. 요청당 외부 인증 시도 제한

로그인 양식을 사용하는 것 외에 WordPress에 로그인하는 다른 방법이 있습니다. XML-RPC를 사용하여 공격자는 단일 HTTP 요청에서 수백 번의 사용자 이름과 암호를 시도할 수 있습니다. 무차별 대입 증폭 방법을 사용하면 공격자가 단 몇 번의 HTTP 요청으로 XML-RPC를 사용하여 수천 번의 사용자 이름과 암호를 시도할 수 있습니다. 공격자가 데이터베이스 덤프를 시작점으로 사용하고 요청당 수천 개의 추측을 할 수 있다는 것을 알면 WordPress 로그인 보안의 중요성이 훨씬 더 명확해집니다. iThemes Security Pro의 WordPress Tweaks 설정을 사용하여 XML-RPC 요청당 여러 인증 시도를 차단할 수 있습니다. 모든 요청에 대해 사용자 이름과 비밀번호 시도 횟수를 제한하면 WordPress 로그인 보안에 큰 도움이 됩니다.

또한 WordPress 로그인 보안 계획을 개발할 때 WordPress Rest API가 WordPress 사용자를 인증하는 추가 방법을 추가한다는 사실을 아는 것이 중요합니다. 쿠키 인증은 WordPress에 로그인할 때 자동으로 쿠키를 저장하는 인증 방법 중 하나이므로 플러그인과 테마가 사용자를 대신하여 기능을 수행할 수 있습니다. 쿠키 인증은 wp-login.php에 추가한 보호 기능의 이점을 얻을 것입니다.

5. 이중 인증 사용

마지막으로 WordPress 로그인 보안을 높이는 가장 좋은 방법인 WordPress 이중 인증을 저장했습니다. 이중 인증을 사용하려면 로그인하기 위해 WordPress 사용자 이름 및 비밀번호와 함께 추가 코드가 필요합니다.

이중 인증 방법에는 여러 가지가 있지만 모든 방법이 동일하게 생성되는 것은 아닙니다. 가능하면 이중 인증에 SMS를 사용하지 마십시오. National Institute of Standards and Technology는 더 이상 SMS를 사용하여 인증 코드를 보내고 받는 것을 권장하지 않습니다.

iThemes Security Pro와 같은 워드프레스 보안 플러그인을 사용하여 이메일 또는 모바일 앱 방법 중 하나를 2단계로 활성화해야 합니다.

많은 사이트에서 이메일 주소를 사용자 이름으로 사용하도록 요구합니다. 공격자가 이러한 사이트 중 하나를 해킹하면 다음 단계는 훔친 새 이메일 주소와 비밀번호를 사용하여 이메일 계정에 로그인을 시도하는 것입니다. 사용자 또는 클라이언트 중 한 명이 모든 사이트에서 손상된 비밀번호를 재사용하는 경우 이중 요소 이메일 코드와 함께 이메일 계정이 손상됩니다. 2단계의 모바일 앱 방식은 워드프레스 로그인 보안을 높이는 데 가장 큰 역할을 할 것입니다. 로그인에 필요한 추가 인증 코드는 사용자의 휴대전화로 전송됩니다. 따라서 공격자가 WordPress 및 이메일 자격 증명에 액세스할 수 있어도 로그인할 수 있는 방법이 없습니다.

요약: 간단한 WordPress 로그인 보안 체크리스트

WordPress 로그인 보안은 모든 사이트에서 최우선 순위가 되어야 합니다. 이제 사이트의 로그인 보안을 높이는 방법을 알았으므로 이 효과적인 해킹 방지 전략을 활용할 수 있습니다.

1. 강력한 암호 사용
2. 모든 계정에 고유한 비밀번호 사용
3. 로그인 시도 제한
4. 인증 시도 제한
5. 이중 인증 사용

보너스 콘텐츠 받기: WordPress 보안 가이드

여기를 클릭하십시오

WordPress 보안 및 보호를 위한 최고의 WordPress 보안 플러그인

WordPress는 현재 모든 웹사이트의 40% 이상을 차지하므로 악의적인 의도를 가진 해커의 쉬운 표적이 되었습니다. iThemes Security Pro 플러그인은 WordPress 보안에서 추측을 배제하여 WordPress 웹사이트를 쉽게 보호하고 보호할 수 있습니다. 귀하의 WordPress 사이트를 지속적으로 모니터링하고 보호하는 전임 보안 전문가를 직원으로 두는 것과 같습니다.

iThemes 보안 프로 받기

크리스틴 라이트

Kristen은 2011년부터 WordPress 사용자를 돕기 위한 자습서를 작성해 왔습니다. 여기 iThemes의 마케팅 이사로서 그녀는 효과적인 WordPress 웹 사이트를 구축, 관리 및 유지하는 가장 좋은 방법을 찾는 데 전념하고 있습니다. Kristen은 또한 일기 쓰기(그녀의 보조 프로젝트인 The Transformation Year 를 확인하십시오!), 하이킹과 캠핑, 스텝 에어로빅, 요리, 가족과 함께 하는 일상적인 모험을 즐기며 보다 현대적인 삶을 살기를 희망합니다.