WordPress 보안 및 강화, 최종 가이드

워드프레스는 엄청난 인기를 끌고 있습니다. 인터넷의 5개 사이트 중 거의 모든 사이트에서 WordPress를 어떤 형태로든 사용합니다. 겸손한 블로그나 다중 사이트 CMS(콘텐츠 관리 시스템) 또는 전자 상거래 사이트를 운영하는 것입니다. 결과적으로 WordPress 웹 사이트가 숙련된 해커와 스크립트 키디 모두에게 매우 인기 있는 대상이라는 것은 놀라운 일이 아닙니다.

웹마스터가 원하는 마지막 것은 웹사이트가 해킹당했다는 사실을 알아내는 것입니다. 인질로 잡혀 봇넷의 일부이거나 맬웨어를 유포하거나 DoS(서비스 거부) 공격에 가담할 수 있습니다. 이 기사에서는 WordPress 웹 사이트를 강화하는 데 도움이 되는 여러 팁과 전략을 공유합니다.

목차

• 워드프레스는 안전한가요?
• 플러그인 및 테마
  • 더 적은 소프트웨어 실행
  • 최소 권한 원칙 준수
  • WordPress 플러그인 및 테마 업데이트
  • 'nulled' WordPress 플러그인 및 테마를 멀리하세요.
• WordPress를 최신 상태로 유지
• 워드프레스 호스팅
• 워드프레스 대시보드
  • 등록 비활성화
  • 신임장
  • 이중 인증(2FA)
• WordPress 코어 강화
  • 디버그 로깅 비활성화
  • XML-RPC 비활성화
  • WordPress REST API 제한
  • WordPress 버전 공개 방지
  • WordPress 사용자 열거 방지
  • WordPress 파일 편집기 비활성화
  • 테마 및 플러그인 관리 비활성화
• TLS(SSL)
• 결론 및 다음 단계

워드프레스는 안전한가요?

이것은 많은 시스템 관리자가 묻는 질문이며 당연히 그렇습니다. WordPress는 전반적으로 잘 구축되고 안전하지만 보안 취약성에 취약하고 "엔터프라이즈급"이 아니라는 평판이 있습니다. 그 평판은 정확하지 않습니다. 종종 문제는 WordPress가 보안 바로 가기를 사용하는 동안 쉽게 설정할 수 있는 매우 인기 있는 소프트웨어 패키지라는 점에 있습니다. 플러그인과 테마라는 첫 번째 주제로 이동합니다.

플러그인 및 테마

WordPress 보안을 괴롭히는 가장 큰 문제는 또한 WordPress를 엄청나게 인기 있게 만드는 것입니다. WordPress 플러그인과 테마는 품질과 안전성 측면에서 매우 다양합니다. 개발자가 더 안전한 플러그인과 테마를 빌드할 수 있도록 워드프레스 팀에서 많은 작업을 수행했지만 여전히 보안 악몽으로 남아 있습니다. 이는 관리가 제대로 되지 않은 플러그인이나 대략적인 소스에서 얻은 플러그인을 사용할 때 알 수 있습니다.

WordPress 플러그인 및 테마에 대해 계속 논의하기 전에 먼저 WordPress 플러그인이 실제로 무엇인지 이해합시다. 플러그인은 WordPress의 기능을 확장하기 위해 WordPress가 실행하는 단순히 사용자 정의 PHP 코드입니다. 보다 자세하고 기술적인 설명은 WordPress 플러그인이란 무엇입니까?를 참조하십시오.

마찬가지로 WordPress 테마를 사용하면 WordPress 사이트의 시각적 측면을 사용자 지정할 수 있습니다. 공격자의 관점에서 둘 다 악용되어 악성 코드를 실행할 수 있기 때문에 둘 사이에는 거의 차이가 없습니다.

더 적은 소프트웨어 실행

그렇다면 플러그인이 악성인지 아닌지 어떻게 알 수 있습니까? 복잡한 질문이지만 다행히도 답변이 있습니다. WordPress 웹 사이트에 가장 적합한 WordPress 플러그인을 선택하는 방법에 대해 자세히 설명했습니다.

필요한 모든 조사를 수행하더라도 플러그인이 여전히 보안 위협이 될 가능성이 있습니다. 따라서 위험을 줄이는 방법 중 하나는 절대적으로 필요하고 신뢰할 수 있는 소프트웨어만 실행하는 것입니다. 새 WordPress 플러그인을 설치하기 전에 해당 플러그인을 설치해야 하는지 자문 해 보십시오. 사이트별 플러그인의 작은 코드 조각이 트릭을 수행할 수 있습니까? 아니면 완전히 확장된 플러그인이 합법적으로 필요합니까?

중요 — 인터넷에서 찾은 코드 조각에 매우 주의하십시오. 코드가 수행하는 작업을 완전히 이해하지 않는 한 코드를 사용하지 마십시오. 코드가 StackOverflow에 있다고 해서 사용하기에 안전한 것은 아닙니다.

플러그인을 실행해야 하는 경우 가이드에 설명된 대로 적극적으로 유지 관리하고 정기적으로 업데이트해야 합니다. 경험에 따르면 플러그인 또는 테마가 더 많이 다운로드되고 최근 업데이트되면 해당 플러그인 또는 테마가 널리 사용되며 작성자가 적극적으로 유지 관리하고 있음을 나타냅니다. 그렇다고 플러그인에 취약점이 없을 것이라는 의미는 아닙니다. 그러나 취약점이 발견되면 개발자는 신속하게 조치를 취하고 신속하게 수정 사항을 발표할 것입니다.

다운로드 횟수가 많지 않고 중요하며 활성 커뮤니티와 정기적인 업데이트가 없는 플러그인은 피하십시오. 1년 이내에 업데이트를 받지 못한 항목은 일반적으로 위험 신호입니다.

최소 권한 원칙 준수

WordPress는 데이터베이스에 연결하기 위해 MySQL 루트 사용자를 사용할 필요가 없습니다. 모든 WordPress 사용자가 관리자 역할을 가질 필요도 없습니다. 마찬가지로 특별한 이유가 없는 한 대부분의 프로그램을 권한 있는 사용자로 실행하는 것은 좋은 생각이 아닙니다.

보안 모범 사례는 항상 응용 프로그램이 제대로 작동할 수 있도록 가능한 최소한의 권한을 부여하고 추가 권한은 비활성화하도록 지시합니다. 이 관행을 일반적으로 최소 권한의 원칙이라고 합니다.

WordPress가 권한 있는 사용자 계정으로 데이터베이스에 연결하고 있다고 가정해 보겠습니다. SQL 주입 취약점이 포함된 WordPress 플러그인의 경우 공격자는 관리자로 SQL 쿼리를 실행할 수 있을 뿐만 아니라 경우에 따라 운영 체제 명령을 실행할 수도 있습니다. 공격자가 운영 체제 명령을 성공적으로 실행하면 정찰을 수행하고 다른 시스템에 대한 공격을 확대할 수 있습니다.

관리자 권한으로 소프트웨어를 실행하거나 사용자에게 필요한 것보다 더 많은 액세스 권한을 제공하면 문제가 발생합니다. 이는 보안 침해가 발생할 경우 공격자가 더 많은 피해를 입힐 수 있도록 하기 때문에 검증된 최소 권한 원칙에 위배됩니다.

WordPress의 좋은 점은 요구 사항에 따라 다른 사용자에게 다른 권한을 할당하는 데 사용할 수 있는 여러 기본 제공 역할이 있다는 것입니다. WordPress 보안 개선을 위해 WordPress 사용자 역할을 사용하는 방법에서 이에 대해 광범위하게 작성했습니다.

WordPress 플러그인 및 테마 업데이트

WordPress 플러그인 및 테마 업데이트는 새로운 기능과 버그 수정의 이점을 얻을 뿐만 아니라 보안 취약점을 패치하는 데도 중요합니다. 플러그인과 테마는 모두 WordPress 인터페이스 내에서 쉽게 업데이트할 수 있습니다.

일부 상용 플러그인에는 플러그인을 최신 상태로 유지하는 자체 메커니즘이 있을 수 있지만 대부분의 경우 이는 사용자에게 투명합니다. 그럼에도 불구하고 어떤 업데이트 시스템을 사용하든 플러그인과 테마를 최신 상태로 유지해야 합니다.

'nulled' WordPress 플러그인 및 테마를 사용하지 마십시오.

WordPress는 GPL ¹ 을 사용합니다. . 자세히 설명하지 않아도 GPL 라이선스를 사용하면 누구나 GPL 라이선스 소프트웨어를 자유롭게 배포할 수 있습니다. 여기에는 상용/프리미엄 GPL 라이선스 WordPress 테마 및 플러그인이 포함됩니다. 따라서 일반적으로 nulled , 프리미엄 테마 또는 플러그인이라고 하는 수정된 버전을 다운로드하여 무료로 사용하는 것은 불법 이 아닐 수 있습니다.

그러나 이미 짐작하셨겠지만 플러그인 개발자를 지원하지 않는 것 외에는 nulled 플러그인에 대한 업데이트를 받을 가능성이 거의 없습니다. 게다가 이 플러그인의 소스가 악의적인 일을 하도록 수정되었는지 알 수 있는 방법이 없습니다.

WordPress를 최신 상태로 유지

플러그인과 테마를 최신 상태로 유지해야 하는 것처럼 실행 중인 WordPress 버전도 최신 상태로 유지해야 합니다. 다행히도 중요한 보안 업데이트가 자동으로 발생하여 과거보다 훨씬 쉬워졌습니다. 물론 이 기능을 명시적으로 비활성화하지 않는 한.

새로운 기능, 개선 사항 및 버그 수정 외에도 WordPress 핵심 업데이트에는 WordPress 웹 사이트를 악용하여 부당한 이득을 취하는 공격자로부터 사용자를 보호할 수 있는 보안 수정 사항도 포함되어 있습니다.

워드프레스 호스팅

WordPress 사이트를 호스팅하기로 선택하는 위치와 방법은 요구 사항에 따라 크게 달라집니다. WordPress를 직접 호스팅하고 관리하는 데는 아무런 문제가 없지만 기술적으로 능숙하지 않거나 많은 노력 없이 WordPress 보안 기본 사항의 대부분을 충족하고 싶다면 다음을 선택할 수 있습니다. Kinsta 또는 WP Engine과 같은 관리형 WordPress 호스팅 공급자.

두 호스트 모두에서 웹사이트를 호스팅했기 때문에 이에 대해 작성했습니다. 고객 사례에서 우리는 고객과의 경험을 강조합니다. 귀하의 경험에 대해 자세히 알아보려면 WP 엔진 및 Kinsta 고객 사례를 읽어보십시오. 관리형 WordPress 호스팅은 그렇지 않으면 스스로 걱정해야 하는 많은 보안 결정 및 구성을 추상화합니다.

당연히 관리형 WordPress 호스팅도 적합하지 않을 수 있습니다. 특히 예산이 제한된 경우 WordPress를 직접 호스팅하도록 선택할 수 있습니다. 자체 호스팅 WordPress는 또한 WordPress 설치를 더 잘 제어할 수 있습니다. 다양한 WordPress 호스팅 옵션과 가장 적합한 방법에 대해 자세히 알아보려면 WordPress 호스팅 선택 가이드를 참조하세요.

워드프레스 대시보드

사이트의 WordPress 대시보드는 권한이 없는 사람이 숨어 있는 것을 원하지 않는 장소입니다. 공개 사용자가 WordPress 대시보드를 사용하여 로그인하도록 허용하는 정당한 이유가 있는 일부 사이트가 있지만 이는 보안 위험이 크므로 매우 신중 하게 고려해야 합니다.

다행히 대부분의 WordPress 웹 사이트에는 이 요구 사항이 없으므로 WordPress 대시보드에 액세스할 수 없습니다. 이를 수행하는 방법에는 여러 가지가 있으며 가장 적합한 방법을 선택해야 합니다.

일반적인 관행은 WordPress 관리(wp-admin) 페이지를 암호로 보호하여 액세스를 제한하는 것입니다. 또 다른 솔루션은 /wp-admin에 대한 액세스를 선택한 IP 주소 수에만 허용하는 것입니다.

등록 비활성화

기본적으로 WordPress는 공개 사용자가 WordPress 웹사이트에 등록하는 것을 허용하지 않습니다. 사용자 등록이 비활성화되었는지 확인하려면:

1. WordPress 대시보드 영역의 설정 > 일반 페이지로 이동합니다.
2. 멤버십 섹션으로 이동
3. 누구나 등록 가능 옆의 확인란이 선택되어 있지 않은지 확인합니다.

신임장

다른 웹사이트와 마찬가지로 WordPress 대시보드에 대한 액세스는 자격 증명만큼 강력합니다. 강력한 WordPress 비밀번호 보안을 적용하는 것은 모든 시스템의 중요한 보안 제어이며 WordPress도 예외는 아닙니다.

WordPress에는 기본적으로 암호 정책을 설정할 수 있는 방법이 없지만 WPassword와 같은 플러그인은 WordPress 대시보드에 액세스할 수 있는 모든 사용자에게 암호 강도 요구 사항을 적용하는 데 절대적으로 필요합니다.

웹사이트에 강력한 비밀번호 보안을 적용하고 나면 WPScan을 사용하여 약한 WordPress 자격 증명을 테스트하여 아직 약한 비밀번호를 사용하는 계정이 없는지 확인하세요.

이중 인증(2FA)

WordPress 대시보드에 대한 또 다른 필수 보안 제어는 이중 인증을 요구하는 것입니다. 2단계 인증(2FA)을 사용하면 공격자가 사용자의 암호를 알아낼 수 있는 경우 공격자가 WordPress 대시보드에 액세스하기가 훨씬 더 어려워집니다(예: 공격자가 데이터 유출로 사용자 암호를 발견할 수 있음).

운 좋게도 WordPress에서 이중 인증을 설정하는 것은 매우 쉽습니다. 이 기능을 추가하는 데 사용할 수 있는 고품질 플러그인이 많이 있습니다. WordPress에 사용할 수 있는 최고의 2FA 플러그인에 대한 하이라이트는 WordPress에 대한 최고의 2단계 인증 플러그인을 읽어보세요.

WordPress 코어 강화

WordPress의 핵심은 안전한 소프트웨어이지만 더 이상 강화할 수 없다는 의미는 아닙니다. 다음은 WordPress 코어와 관련된 여러 강화 전략입니다.

디버그 로깅이 비활성화되어 있는지 확인

WordPress를 사용하면 개발자가 디버그 메시지를 파일에 기록할 수 있습니다(기본적으로 /wp-content/debug.log임). 이것은 개발 환경에서 완벽하게 허용되지만, 동일한 파일 및/또는 설정이 프로덕션에 전달되는 경우 공격자가 이 파일에 쉽게 액세스할 수도 있다는 점을 명심하십시오.

WordPress 디버그는 기본적으로 비활성화되어 있습니다. 항상 다시 확인하는 것이 좋지만 wp-config.php 파일에 WP_DEBUG 상수가 정의되어 있지 않은지 확인하거나 명시적으로 false로 설정하십시오. 모든 디버깅 옵션 목록은 WordPress 디버그 가이드를 참조하세요.

어떤 이유로 웹사이트에 WordPress 디버그 로그가 필요한 경우 웹 서버 루트 외부의 파일(예: /var/log/wordpress/debug.log)에 로그인하세요. 파를 변경하려면

define('WP_DEBUG_LOG', '/path/outside/of/webserver/root/debug.log');

XML-RPC 비활성화

WordPress의 XML-RPC 사양은 서로 다른 시스템 간의 통신을 허용하도록 설계되었습니다. 이것은 거의 모든 응용 프로그램이 WordPress와 상호 작용할 수 있음을 의미합니다. WordPress XML-RPC 사양은 역사적으로 WordPress에 중요했습니다. 이를 통해 다른 시스템 및 소프트웨어와 상호 작용하고 통합할 수 있습니다.

좋은 점은 XML-RPC가 WordPress REST API로 대체되었다는 것입니다. XML-RPC와 관련된 몇 가지 보안 문제를 강조합니다. 인터페이스는 수년 동안 수많은 보안 취약점의 원인이었습니다. 또한 공격자가 사용자 이름 열거, 암호 무차별 대입을 위해 사용할 수도 있습니다. 또는 XML-RPC 핑백을 통한 서비스 거부(DoS) 공격.

따라서 XML-RPC를 적극적으로 사용하지 않고 적절한 보안 제어가 있는 경우가 아니면 비활성화해야 합니다. 이것은 타사 플러그인을 설치하지 않고도 쉽게 달성할 수 있는 작업이므로 아래에서 방법을 설명합니다.

/xmlrpc.php에 대한 액세스를 차단하도록 웹 서버를 구성할 수 있지만 기본 제공 WordPress 필터 를 사용하여 XML-RPC를 명시적으로 비활성화하는 것이 선호되는 방법입니다. 플러그인 파일에 다음을 추가하고 사이트에서 활성화하기만 하면 됩니다.

add_filter('xmlrpc_enabled', '__return_false');

주의

• WordPress 를 사용하려면 이 코드 및 기타 유사한 코드 조각에 플러그인을 사용해야 합니다 .

WordPress REST API 제한

XML-RPC와 같은 맥락에서 WordPress API는 타사 애플리케이션이 WordPress와 통신하는 현대적인 방법입니다. 사용하는 것이 안전하지만 사용자 열거 및 기타 잠재적인 취약성을 방지하기 위해 일부 기능을 제한하는 것이 좋습니다. XML ^- RPC와 달리 WordPress는 REST API를 완전히 비활성화하는 간단하고 기본적인 방법을 제공하지 않습니다. , 그러나 이것은 더 이상 사용되지 않으므로 더 이상 사용하지 않는 것이 좋습니다. 그러나 제한할 수 있습니다.

WordPress에서 일반적으로 플러그인을 사용하여 이를 달성하거나 플러그인 파일에 다음 필터를 추가하고 사이트에서 활성화할 수 있습니다. 다음 코드는 rest_authentication_errors WordPress 후크를 사용하여 승인되지 않은 HTTP 상태 코드(상태 코드 401)를 반환하여 로그인하지 않은 모든 사람에 대해 WordPress REST API를 비활성화합니다.

add_filter( 'rest_authentication_errors', function( $result ) {
if ( ! empty( $result ) ) {
return $result;
}
if ( ! is_user_logged_in() ) {
return new WP_Error( 'rest_not_logged_in', 'You are not currently logged in.', array( 'status' => 401 ) );
}
return $result;
});

또한 WordPress REST API는 기본적으로 JSONP를 활성화합니다. JSONP는 최신 브라우저가 CORS(교차 출처 리소스 공유)를 지원하기 전에 브라우저의 동일한 출처 정책을 우회하는 오래된 기술입니다. 이것은 잠재적 으로 공격자에 의한 공격의 한 단계로 사용될 수 있기 때문에 활성화할 실제 이유가 없습니다. 다음 PHP 스니펫을 사용하여 rest_jsonp_enabled WordPress 필터를 사용하여 비활성화하는 것이 좋습니다.

add_filter('rest_enabled', '__return_false');

자세한 내용은 필터 설명서를 참조하십시오.

WordPress 버전 공개 방지

다른 많은 웹 응용 프로그램과 마찬가지로 기본적으로 WordPress는 여러 위치에서 버전을 공개합니다. 버전 공개는 정확히 보안 취약점은 아니지만 이 정보는 공격을 계획할 때 공격자에게 매우 유용합니다. 결과적으로 WordPress의 버전 공개 기능을 비활성화하면 공격이 조금 더 어려워질 수 있습니다.

WordPress는 많은 버전 정보를 유출합니다. 운 좋게도 이 GitHub 요점은 WordPress 플러그인 형태로 비활성화할 수 있는 포괄적인 WordPress 필터 목록을 제공합니다. 물론 이 코드를 기존의 사이트별 또는 이미 가지고 있는 필수 플러그인에 통합할 수 있습니다.

WordPress 사용자 열거 방지

WordPress는 여러 사용자 열거 공격에 취약합니다. 이러한 공격을 통해 공격자는 사용자가 있는지 여부에 관계없이 어떤 사용자가 있는지 알아낼 수 있습니다. 이것이 무해한 것처럼 보일 수 있지만 공격자는 이 정보를 더 큰 공격의 일부로 사용할 수 있음을 명심하십시오. 이 주제에 대한 자세한 내용은 WPScan을 사용하여 WordPress 사용자를 열거하는 방법을 참조하세요.

WordPress 사용자 열거를 방지하려면 다음 WordPress 기능을 비활성화하거나 제한해야 합니다.

• 인증되지 않은 사용자로 WordPress REST API 제한
• WordPress XML-RPC 비활성화
• /wp-admin 및 /wp-login.php를 공용 인터넷에 직접 노출하지 마십시오.

또한 /?author=<number>에 대한 액세스를 방지하도록 웹 서버를 구성해야 합니다. Nginx를 사용하는 경우 다음 구성을 사용하여 WordPress 사용자 열거를 방지할 수 있습니다.

RewriteCond %{REQUEST_URI} ^/$
RewriteCond %{QUERY_STRING} ^/?author=([0-9]*)
RewriteRule .* - [R=403,L]

또는 Apache HTTP Server를 사용하는 경우 다음 구성을 사용하여 WordPress 사용자 열거를 방지할 수 있습니다.

if ( $query_string ~ "author=([0-9]*)" ) {
return 403;
}

WordPress 파일 편집기 비활성화

WordPress의 가장 위험한 기능 중 하나는 WordPress 대시보드 자체 내에서 파일을 편집하는 기능입니다. 모든 사용자가 이 작업을 수행해야 하는 정당한 이유가 없어야 하며 WordPress 코어는 당연히 하지 않아야 합니다. 어떤 경우라도 고품질 FIM(파일 무결성 모니터링) 보안 플러그인을 사용하여 어떤 파일이 변경되었는지 정확히 알고 싶습니다.

파일 변경 사항에 대한 알림을 받으려면 당사가 개발한 웹사이트 파일 변경 사항 모니터 플러그인을 사용하십시오.

웹사이트에 대한 모든 파일 변경은 보안 연결(예: SFTP)을 통해 발생하거나 가급적이면 버전 제어 저장소에서 추적하고 CI/CD를 사용하여 배포해야 합니다.

WordPress 대시보드에서 플러그인 및 테마 파일 편집기를 비활성화하려면 wp-config.php 파일에 다음을 추가하기만 하면 됩니다.

define('DISALLOW_FILE_EDIT', true );

테마 및 플러그인 관리 비활성화

WordPress 보안 모범 사례는 WordPress 대시보드에서 플러그인 및 테마 관리를 비활성화하는 것입니다. 대신 wp-cli와 같은 명령줄 도구를 사용하여 이러한 변경 작업을 수행합니다.

테마 및 플러그인 변경을 비활성화하면 WordPress 웹사이트의 공격 표면을 크게 줄일 수 있습니다. 이 경우 공격자가 관리자 계정을 성공적으로 침해하더라도 WordPress 대시보드에 대한 액세스 이상으로 공격을 확대하기 위해 악성 플러그인을 업로드할 수 없습니다.

wp-config.php에 정의된 DISALLOW_FILE_MODS 상수는 대시보드를 통한 플러그인 및 테마 업데이트 및 설치를 비활성화합니다. 또한 대시보드 내의 모든 파일 수정을 비활성화하여 테마 편집기 및 플러그인 편집기를 제거합니다.

WordPress 대시보드에서 테마 및 플러그인 수정을 비활성화하려면 wp-config.php 파일에 다음을 추가합니다.

define('DISALLOW_FILE_MODS', true );

워드프레스 HTTPS(SSL/TLS)

TLS(전송 계층 보안)는 WordPress 보안에 절대적으로 필요하며 무료이며 쉽게 설정할 수 있습니다. 참고: TLS는 SSL(Secure Socket Layer)을 대체한 프로토콜입니다. 그러나 SSL이라는 용어는 매우 대중적이기 때문에 많은 사람들이 여전히 TLS를 SSL이라고 부릅니다.

HTTPS(HTTP over TLS)를 통해 웹 사이트를 방문할 때 HTTP 요청 및 응답을 가로채거나 스누핑할 수 없거나 공격자가 더 심하게 수정할 수 없습니다.

TLS는 WordPress 설치보다 웹 서버 또는 CDN(콘텐츠 전송 네트워크)과 더 관련이 있지만 TLS(WordPress HTTPS)의 가장 중요한 측면 중 하나는 이를 시행하는 것입니다. WordPress HTTPS(SSL 및 TLS)를 설정하는 방법에 대한 풍부한 정보가 온라인에 있습니다.

구성 파일을 편집하는 데 익숙하지 않고 플러그인을 사용하여 WordPress HTTPS로 전환하는 것을 선호하는 경우 진짜 단순 SSL 또는 WP 강제 SSL을 사용할 수 있습니다. 둘 다 매우 훌륭하고 사용하기 쉬운 플러그인입니다.

더욱 안전한 WordPress를 위한 다음 단계

여기까지 했다면 훌륭하지만 아직 더 강화해야 할 작업이 없다는 의미는 아닙니다. 다음은 WordPress 웹 사이트를 더욱 강화하기 위해 조사할 수 있는 여러 항목입니다.

1. PHP를 강화하십시오. PHP가 모든 WordPress 웹 사이트의 핵심 구성 요소인 경우 PHP를 강화하는 것은 논리적인 다음 단계 중 하나입니다. WordPress 웹 사이트에 대한 최고의 PHP 보안 설정에서 이에 대해 광범위하게 작성했습니다.
2. 평판이 좋은 보안 플러그인을 사용하세요. 품질 보안 플러그인은 기본적으로 WordPress에 포함되지 않은 고급 보안 기능을 제공합니다. 엄청난 양의 WordPress 보안 플러그인이 있습니다. 그러나 평판이 좋은 플러그인을 선택하고 WordPress용 고품질 보안 플러그인과 같이 프리미엄 또는 상업적 지원이 가능한 플러그인을 선택하는 것이 좋습니다.
3. 파일 권한 감사를 수행합니다. Linux에서 실행되는 WordPress 웹 사이트의 경우 잘못된 파일 권한으로 인해 권한이 없는 사용자가 잠재적으로 민감한 파일에 액세스할 수 있습니다. 이 주제에 대한 자세한 내용은 보안 WordPress 웹 사이트 및 웹 서버 권한 구성에 대한 가이드를 참조하십시오.
4. 백업 파일 감사를 수행합니다. 실수로 액세스할 수 있는 백업 파일은 민감한 정보를 유출할 수 있습니다. 여기에는 공격자가 전체 WordPress 설치를 제어할 수 있는 비밀이 포함된 구성이 포함됩니다.
5. 웹 서버 강화
6. MySQL 강화
7. 필요한 HTTP 보안 헤더 추가
8. 작동하는 WordPress 백업 시스템이 있는지 확인하십시오.
9. DDoS 방어 서비스 이용
10. 콘텐츠 보안 정책 구현
11. 노출된 백업 및 참조되지 않은 파일을 관리합니다.

결론 – 이것은 WordPress 보안 여정의 첫 번째 단계일 뿐입니다.

축하합니다! 위의 모든 조언을 따르고 권장되는 모든 보안 모범 사례를 구현했다면 WordPress 웹 사이트는 안전합니다. 그러나 WordPress 보안은 일회성 수정이 아니라 계속 발전하는 과정입니다. WordPress 웹 사이트(일회성 상태)를 강화하는 것과 수년간 안전하게 유지하는 것 사이에는 큰 차이가 있습니다.

강화는 WordPress 보안 프로세스(WordPress 보안 휠)의 4단계 중 하나일 뿐입니다. 일년 내내 안전한 WordPress 웹 사이트를 위해서는 테스트 > 강화 > 모니터링 > 개선의 반복적인 WordPress 보안 프로세스를 따라야 합니다. 워드프레스 웹사이트의 보안 상태를 지속적으로 테스트 및 확인하고, 소프트웨어를 강화하고, 시스템을 모니터링하고, 보고 배운 내용을 기반으로 설정을 개선해야 합니다. 예를 들어:

• WPScan과 같은 도구를 사용하면 WordPress 웹사이트의 보안 상태를 테스트할 수 있습니다.
• WordPress 방화벽은 알려진 악의적인 해킹 공격으로부터 WordPress 웹사이트를 보호할 수 있습니다.
• WordPress 활동 로그는 먼 길을 가는 데 도움이 됩니다. 웹사이트에서 발생하는 모든 변경 사항을 기록하여 사용자 책임을 개선하고, 각 사용자가 무엇을 하는지 알며, 모든 내부 활동을 주시할 수 있습니다.
• WordPress 보안 및 관리 플러그인과 같은 도구를 사용하면 비밀번호 보안을 보장하고 WordPress 보안 프로세스를 강화하며 파일 변경 사항에 대한 알림을 받는 등의 작업을 수행할 수 있습니다.

사이트를 안전하게 유지하는 데 필요한 모든 도구가 있습니다. 소규모 워드프레스 웹사이트를 운영하더라도 시간을 내어 이 가이드를 차근차근 진행해 보세요. 훌륭한 웹사이트를 구축하기 위해 작업을 끝내지 말고 WordPress를 대상으로 하는 공격에 의해 샅샅이 뒤져야 합니다.

100% 효과적인 보안은 없습니다. 그러나 이 가이드에서 다루는 다양한 강화 기술을 적용하여 공격자가 발판을 확보하고 WordPress 웹 사이트를 성공적으로 공격하는 것을 상당히 어렵게 만들고 있습니다. 공격자가 다음 희생자를 목표로 삼고 있을 때 공격자를 능가할 필요가 없음을 기억하십시오. 다음 취약한 웹사이트보다 더 안전하기만 하면 됩니다!