WordPress 로그인 보안: 로그인 페이지를 쉽게 보호 - MalCare

게시 됨: 2023-04-19

분당 WordPress 웹 사이트에 대한 해킹 공격이 90,000회 이상 있다는 사실을 알고 계셨습니까? 그것은 매우 높은 통계이며 우리가 단순히 무시할 수 없는 것입니다.

WordPress 사이트를 해킹하기 위해 해커는 로그인 페이지를 가장 많이 대상으로 합니다. 이 페이지를 통해 사이트에 액세스하면 해커가 사이트를 완전히 제어할 수 있기 때문입니다.

계속되는 혼란은 귀하의 사이트에 심각한 영향을 미칩니다. 해커는 귀하의 이름으로 불법 제품을 판매하거나 귀하의 방문자를 악성 웹사이트로 보낼 수 있습니다. 또한 방문자가 중복 제품을 구매하거나 맬웨어를 다운로드하도록 속일 수 있습니다. 이는 귀하의 비즈니스와 평판에 심각한 손상을 줄 수 있습니다.

다행히 가장 표적이 되는 페이지인 로그인 페이지를 보호하여 해커가 웹 사이트를 남용하는 것을 방지할 수 있습니다. MalCare에서는 이러한 해킹을 매일 처리하며 모든 WordPress 사용자에게 문제를 해결하고자 합니다. 여기서는 로그인 페이지를 해커로부터 보호하기 위해 취할 수 있는 최상의 보안 조치를 보여줍니다. 또한 해커로부터 웹 사이트를 보호하는 방법에 대한 가이드를 확인할 수 있습니다.

요약: 구현하기 쉽고 로그인 페이지를 자동으로 보호하는 WordPress 보안 솔루션이 필요한 경우 MalCare Security Plugin을 설치하십시오. 로그인 시도 제한을 즉시 활성화하고 WordPress 웹 사이트를 강화할 수 있는 옵션도 제공합니다.

[lwptoc skipHeadingLevel=”h3,h4,h5,h6″]

WordPress 로그인 페이지를 보호하는 5단계

WordPress 로그인 페이지를 보호하기 위해 취할 수 있는 몇 가지 조치가 있습니다. 그러나 취하는 모든 단계가 효과적인 것은 아닙니다. 때때로 로그인 페이지가 취약한 상태에서 소음만 추가하는 경우가 있습니다.

이 기사에서는 효과적인 것으로 입증되었으며 확실히 사이트 보안을 유지할 수 있는 5가지 중요한 단계에 초점을 맞출 것입니다.

사이트에 SSL이 이미 설치되어 있다고 가정합니다. SSL 보호 기능이 없는 경우 호스팅 제공업체나 SSL 제공업체에서 즉시 추가해야 합니다. 모든 웹사이트는 첫 번째 기본 사이트 보안 수단으로 SSL을 설치해야 합니다. 웹 사이트와 서버 간에 전송되는 데이터를 암호화합니다. 즉, 데이터가 사이트와 호스팅 서버 사이를 이동할 때 해커가 데이터를 훔칠 수 없습니다. 따라서 로그인 페이지에서 사용자 자격 증명을 훔치려는 해커는 그렇게 할 수 없습니다.

1. 강력한 사용자 이름과 암호를 사용하여 로그인 페이지 보호

WordPress 사이트에서 사용자 계정을 만들 때 사람들은 기억하기 쉽거나 다른 모든 계정에 사용했던 것을 사용하는 경향이 있습니다. 이것의 문제는 해커의 작업을 훨씬 더 쉽게 만든다는 것입니다.

첫째, 해커는 무차별 대입이라는 기술을 사용하여 다른 사용자 이름과 비밀번호를 시도하여 계정에 침입하는 방법을 추측합니다. 그들은 몇 초 안에 수천 번의 시도를 할 수 있는 자동화된 봇과 알고리즘을 사용하여 이를 수행합니다. "password123'과 같은 간단한 암호를 사용하는 경우 봇이 처음 몇 번의 시도에서 암호를 추측할 수 있습니다.

둘째, 모든 계정에 동일한 자격 증명을 사용하는 경우 문제가 발생합니다. 상위 기업의 데이터 유출이 너무 많았고 2019년에만 41억 건의 기록이 노출되었습니다. 예를 들어 쇼핑 웹사이트에서 사용자 이름과 암호를 도난당한 경우 해커는 이를 사용하여 이메일, 인터넷 뱅킹 또는 WordPress 사이트와 같은 다른 계정을 해킹하려고 시도할 수 있습니다.

관리자 로그인 자격 증명은 집이나 사무실의 열쇠와 같습니다. 그렇기 때문에 로그인 보안의 첫 번째 단계는 견고한 사용자 이름과 암호를 사용하는 것입니다.

  • 기본 사용자 이름 'admin'은 절대 사용하지 않는 것이 좋습니다. 웹 사이트 이름이 thefirstexample.com 인 경우 관리자 사용자 이름을 'thefirstexample'로 만들지 마십시오. 이것은 해커가 로그인 화면에서 시도하는 처음 몇 개의 사용자 이름입니다. 대신 누구도 추측하기 어려운 독특하고 독특한 것을 사용하십시오.
  • 비밀번호는 누구도 추측하기 어려운 비밀번호를 사용해야 합니다. 암호는 기호 및 숫자와 함께 사용하는 것이 좋습니다. 이렇게 하면 비밀번호가 정말 강력해집니다.

비밀번호를 생성하는 동안 WordPress는 비밀번호가 얼마나 약한지 또는 강력한지를 나타냅니다. 예를 들어 WordPress 관리자 계정에 다음을 만들었습니다.

워드프레스 약한 비밀번호

WordPress는 비밀번호가 매우 약하다고 표시했습니다. 그래서 우리는 다음과 같이 게임을 향상시켰습니다.

강력한 암호 워드프레스

마지막으로 귀하의 WordPress 웹사이트는 귀중한 자산이므로 고유한 비밀번호가 필요하다고 생각합니다. 다른 사이트에서 사용하지 않는 것을 생각해 내십시오.

이제 로그인 자격 증명이 안전하다는 것을 알 수 있습니다. WordPress 사이트에 여러 명의 사용자가 있는 경우 WordPress 로그인 페이지를 보호하는 데 매우 중요한 단계이므로 모든 사용자가 이러한 권장 사항을 따르는 것이 중요합니다.

2. 보안 강화를 위해 로그인 시도 횟수 제한

기본적으로 WordPress는 무제한 로그인 시도를 허용합니다. 해커는 무차별 대입 공격을 통해 이 기능을 이용합니다. 사용자에게 허용되는 실패한 로그인 시도 횟수를 제한하여 무차별 암호 대입 보호를 얻을 수 있습니다.

웹사이트, 특히 온라인 뱅킹 웹사이트에 잘못된 비밀번호를 입력했을 때 이 프롬프트가 표시되었을 수 있습니다.

실패한 로그인 시도

이는 웹 사이트에서 제한된 로그인 시도를 구현했기 때문입니다. 사용자는 올바른 자격 증명을 입력하여 계정에 들어갈 수 있는 세 번의 기회가 있습니다. 세 번 잘못 시도하면 계정이 잠기며 '비밀번호 찾기' 옵션을 사용해야 합니다.

다음 두 가지 방법으로 이 기능을 구현할 수 있습니다.

  • 플러그인 사용 – MalCare 보안 플러그인을 권장합니다. 일단 설치되면 제한된 WordPress 로그인 보호가 자동으로 구현됩니다. 플러그인은 또한 악성 봇이 사이트에 액세스하지 못하도록 하는 보안 문자 기반 보호 기능을 제공합니다.
  • 수동 – 로그인 시도 횟수를 수동으로 제한하려면 functions.php 파일에 액세스해야 합니다. 해당 콜백 함수를 사용하여 WordPress 작업 및 후크 필터를 추가해야 합니다. 이 방법은 기술적이고 위험합니다. 코딩에 정통하지 않다면 시도하지 않는 것이 가장 좋습니다.

이 두 가지 조치를 취하면 WordPress 웹 사이트에서 로그인 페이지에 대한 기본 보안 조치를 취할 수 있습니다. 이제 더 발전된 조치로 넘어갈 수 있습니다.

[ss_click_to_tweet 트윗=”WordPress는 기본적으로 무제한의 로그인 시도를 허용합니다. MalCare를 사용하여 제한된 로그인 시도를 자동으로 구현하십시오.” content=”WordPress는 기본적으로 무제한의 로그인 시도를 허용합니다. MalCare를 사용하여 제한된 로그인 시도를 자동으로 구현하십시오.” 스타일 = "기본값"]

3. 로그인 보안 강화를 위한 2-Factor 인증 사용

Gmail 계정에 로그인하려고 할 때 두 단계를 따라야 합니다.

1단계는 자격 증명을 입력하는 것입니다. 2단계에서 Gmail은 등록된 전화번호 또는 이메일 주소로 인증 코드를 보냅니다. 그런 다음 이메일에 액세스하려면 Gmail 계정에 이 번호를 입력해야 합니다. 이것은 2단계 인증 또는 2단계 인증입니다.

로그인 보안을 위한 이중 인증

계정에 액세스하는 사용자가 인증되었는지 확인하기 위해 프로세스는 일반 자격 증명과 실시간으로 생성되는 일회용 암호(OTP)를 사용합니다.

따라서 해커가 귀하의 자격 증명을 추측하더라도 귀하에게 전송된 일회성 코드를 입력해야 하며 WordPress 로그인 페이지를 쉽게 보호할 수 있습니다.

플러그인을 사용하여 2단계 인증을 구현할 수 있습니다. 권장하는 두 가지 플러그인은 Google Authenticator 2FA 및 Two Factor Authentication입니다.

참고: MalCare 플러그인을 사용 중인 경우 2단계 인증을 곧 사용할 수 있습니다.

4. 지리적 차단 – 해커가 WordPress 웹사이트에 접근하지 못하도록 방지

WordPress 사이트를 설정할 때 특정 지역으로 구성하지 않는 한 전 세계의 트래픽을 자동으로 환영합니다.

트래픽이 발생하는 위치를 확인하려면 Google Analytics에 가입해야 합니다. 대시보드에 '사용자는 어디에 있습니까?' 옵션이 표시됩니다. '위치 개요'를 클릭하면 방문자의 정확한 위치를 확인할 수 있습니다.

블로그의 주요 트래픽

또는 MalCare와 같은 플러그인도 트래픽이 발생한 위치를 보여줍니다.

여러 번 특정 국가에서 원치 않는 트래픽을 받고 있는 웹사이트 소유자를 발견했습니다.

우리가 의미하는 바를 보여주기 위해 예를 들어 보겠습니다. 예를 들어 영국에만 서비스를 제공하는 웹사이트( example.co.uk)가 있다고 가정해 보겠습니다. 그러나 Analytics를 확인하면 러시아, 싱가포르 및 미국과 같은 다른 국가에서 웹 사이트 트래픽이 많이 발생하는 것을 볼 수 있습니다. 위험 신호로 간주해야 합니다.

이것은 해커를 나타내는 것일 뿐이며 MalCare 플러그인을 사용하여 트래픽이 실제로 악의적인지 여부를 확인할 수 있습니다.

MalCare 플러그인 설치 후 대시보드에 접속합니다. '보안'에서 웹사이트에서 이루어진 로그인 시도 횟수와 플러그인이 차단한 횟수를 확인할 수 있습니다.

MalCare 로그인 요청

'자세히 보기'를 클릭하면 감사 로그에 트래픽이 발생한 위치와 시도한 사용자 이름이 정확히 표시됩니다.

더 나은 WordPress 보안을 위해 로그인 시도를 제한하는 malcare

이러한 트래픽이 원치 않는 위험이라고 생각되면 단순히 전체 국가를 차단할 수 있습니다. 이를 위해 MalCare에는 선택한 국가의 모든 IP 주소를 차단하여 보안 계층을 추가하는 '지역 차단'이라는 옵션이 있습니다. 방법은 다음과 같습니다.

  • 대시보드에서 사이트를 선택한 다음 'Geoblocking'을 클릭합니다.
malcare 지역 차단
  • 그런 다음 드롭다운 메뉴에서 차단하려는 국가를 선택합니다. '국가 차단'을 클릭하면 '선택한 국가 IP가 성공적으로 차단되었습니다.
malcare 지역 차단

지리적 차단 또는 국가 차단은 해킹 위험을 줄이는 데 도움이 됩니다. 일부 트래픽이 합법적일 수 있으므로 전체 국가를 차단하는 것은 바람직하지 않습니다. 그러나 해당 국가에서 오는 트래픽이 필요하지 않다고 100% 확신하는 경우 해커가 액세스하지 못하도록 WordPress 로그인 페이지를 보호할 수 있도록 차단하는 것이 가장 좋습니다.

또한 읽기: WordPress 로그인이 안전하지 않은 문제를 해결하는 방법

5. 자동 로그아웃

계정에 로그인하고 열어 두는 습관을 갖는 것은 드문 일이 아닙니다. 계정에서 로그아웃하지 않고 브라우저를 닫는 경우가 있습니다. 시스템을 방치하면 해커가 브라우저를 다시 열고 자동으로 계정에 로그인할 수 있습니다.

이러한 습관은 공격의 위험을 확대합니다. 이러한 위험을 완화하기 위해 많은 웹사이트에서 '자동 로그아웃'을 구현합니다. 이것은 온라인 뱅킹의 일반적인 관행입니다. 일정 시간 동안 활동이 없으면 웹사이트에서 자동으로 로그아웃됩니다. 아래와 같은 프롬프트가 표시될 수 있습니다.

오류로 인해 로그아웃됨

이는 WordPress 웹사이트에서 구현할 수 있는 필수 조치입니다. 사용자가 자신의 시스템에서 떨어져 있는 동안 로그인한 계정을 다른 사람이 악용할 가능성이 없도록 합니다.

이 조치는 특히 원격으로 또는 자신의 개인 장치에서 작업하는 사람들에게 권장됩니다. 웹사이트 소유자는 그들이 비활성 상태일 때 로그아웃하는 것을 잊지 않도록 보장할 수 없습니다. 공용 컴퓨터나 보안되지 않은 공용 Wi-Fi를 사용하는 경우 웹사이트가 더 큰 위험에 노출됩니다.

전자 뱅킹 서비스와 달리 WordPress는 사용자가 비활성 상태일 때 자동 로그아웃하지 않습니다. 그러나 Bulletproof Security와 같은 플러그인을 사용하여 이 보안 조치를 구현할 수 있습니다.

플러그인에는 활성화할 수 있는 '유휴 세션 로그아웃'이라는 보안 기능이 있습니다. 사용자가 자동으로 로그아웃되는 비활성 기간을 선택할 수 있습니다.

자동 로그아웃

이 조치는 귀하의 사이트를 잘못된 사람의 손에 넘어가지 않도록 안전하게 지켜줍니다.

[ss_click_to_tweet tweet="MalCare의 이 보안 가이드로 WordPress 로그인 페이지를 쉽게 보호했습니다." content="MalCare의 이 보안 가이드로 WordPress 로그인 페이지를 쉽게 보호했습니다." 스타일 = "기본값"]

결론: 로그인 페이지만 있는 것이 아닙니다.

WordPress 로그인 페이지의 보안을 보호하면 안전한 WordPress 웹사이트에 한 걸음 더 다가갈 수 있습니다. 해커는 해킹하기 쉬운 웹사이트를 노리는 것을 좋아합니다. 따라서 기본적인 조치로 웹 사이트를 보호함으로써 해커는 아마도 몇 번의 시도를 한 다음 더 쉬운 대상으로 이동할 것입니다.

그러나 이것은 해커가 귀하의 사이트를 해킹할 수 없다는 것을 보장하지 않습니다. 해커는 웹 사이트에서 발견한 모든 취약점을 식별하고 악용합니다. 보안 결함이 있는 설치한 새 플러그인에 있을 수 있습니다. 오래 전에 설치하고 업데이트하는 것을 잊은 테마가 시간이 지남에 따라 개발된 취약점일 수 있습니다. 해커들이 이용하는 많은 기회가 있습니다.

실제로 필요한 것은 포괄적인 보호 계획입니다. IP 차단, wp-config.php로 사이트 보호, WordPress 보안에 대한 전체 가이드 준수, 최고의 WordPress 보안 플러그인 중 하나인 MalCare를 사용하여 24시간 사이트를 보호하는 것과 같은 몇 가지 추가 보안 조치를 취하는 것이 좋습니다. 일반 스캔 보고서에 대한 액세스 권한을 제공하고 권장되는 WordPress 강화 조치를 구현할 수도 있습니다. 이렇게 하면 WordPress 사이트에 침입하기가 매우 어려워집니다!


 MalCare 보안 플러그인 으로 사이트를 보호하세요 !