WordPress 보안 - 전체 단계별 가이드(2020) - MalCare

게시 됨: 2023-04-21

웹 사이트의 보안에 대해 걱정할 충분한 이유가 있습니다. 보고에 따르면 하루 중 매분 WordPress 웹 사이트에서 90,000회 이상의 해킹 시도가 발생합니다.

많은 웹사이트 소유자는 자신의 웹사이트가 해커의 관심을 끌기에는 너무 작다고 생각할 수 있습니다. 사실 소규모 웹사이트는 보안에 관대하기 때문에 해커는 소규모 웹사이트를 해킹하는 것이 훨씬 더 쉽다는 것을 알게 됩니다.

크든 작든 모든 WordPress 웹사이트는 보안 조치를 취해야 합니다.

다행히 해커와 봇으로부터 웹사이트를 보호하기 위해 할 수 있는 일이 많이 있습니다. 이 기사에서는 웹 사이트가 안전한지 확인하기 위해 취해야 할 단계를 정확히 보여줍니다.

[lwptoc skipHeadingLevel=”h1,h4,h5,h6″ skipHeadingText=”마지막 생각”]

웹사이트 보안의 중요성

WordPress는 세계에서 가장 인기 있는 웹사이트 구축 플랫폼입니다. 현재 인터넷에는 7,500만 개의 WordPress 웹사이트가 있으며 매일 수백 개의 새로운 웹사이트가 만들어지고 있습니다. 이런 종류의 인기에는 대가가 따른다.

더 많은 사람들이 사용할수록 해커의 표적으로 더 매력적입니다. Windows는 Apple의 운영 체제보다 더 큰 목표입니다. Chrome은 Firefox보다 더 큰 악용 대상입니다. 인기는 좋든 나쁘든 더 많은 관심을 불러일으킨다.

앞서 우리는 소규모 웹사이트 소유자가 자신의 웹사이트가 면역이 있다고 생각하고 필요한 예방 조치를 취하지 않아 이상적인 대상이 되는 방법을 언급했습니다.

웹사이트가 해킹되면 해커는 웹사이트를 사용하여 악의적인 활동을 실행합니다. 그들은 다른 사이트에 더 큰 공격을 가하고, 스팸 이메일을 보내고, 해적판 소프트웨어를 저장하고, 스팸 링크를 주입하고, 불법 제품을 판매하고, 일본 SEO 스팸과 제휴 링크를 생성할 수 있습니다.

그리고 그것이 문제의 끝입니다. 모든 것이 빠르게 눈덩이처럼 불어날 수 있으며 검색 엔진은 사용자에게 사기성 사이트 경고를 제공하고 사이트를 블랙리스트에 올릴 수 있습니다. 보고서에 따르면 Google은 피싱 활동을 위해 50,000개의 웹사이트를 블랙리스트에 올리고 매주 맬웨어를 포함하는 웹사이트를 약 20,000개로 차단합니다!

그 외에도 호스팅 제공업체는 귀하의 계정을 정지할 수도 있습니다. 이것은 귀하의 웹사이트가 며칠 동안 다운되어 귀하의 수익 수집에 영향을 미칠 것임을 의미합니다. 사이트를 수정하는 데 너무 오래 기다리면 비즈니스에 돌이킬 수 없는 손상이 발생합니다.

보안 예방 조치를 취하는 것이 해킹된 WordPress 웹 사이트를 수정하는 것보다 훨씬 낫다는 데 모두 동의할 수 있습니다.

귀하의 사이트를 보호할 수 있는 방법을 보여드리겠지만 그 전에 많은 독자들이 생각하는 질문에 답하고 싶습니다.

[위로 ↑]

그러나 WordPress는 안전하지 않습니까?

워드프레스 코어는 안전합니다. WordPress에는 WordPress 코어를 안전하게 유지하기 위해 끊임없이 노력하는 최고의 개발자 군대가 있습니다. 그들은 지속적으로 기술을 개선하고 결함이나 오류를 수정하기 위해 패치 및 업데이트를 릴리스하고 있습니다.

오랫동안 WordPress 코어에는 주요 취약점이 없었습니다.

그럼에도 불구하고 하루 중 매분 WordPress 웹 사이트에서 90,000건 이상의 해킹 시도가 이루어집니다. 그리고 그 뒤에는 두 가지 주된 이유가 있습니다.

먼저 WordPress는 매우 인기있는 플랫폼입니다. 약 7,500만 개의 인터넷 웹사이트가 WordPress에 구축되어 전 세계 해킹 그룹의 관심을 끌고 있습니다.

또 다른 이유는 취약하고 오래된 테마와 플러그인이 존재하기 때문입니다. 실제로 보고서에 따르면 오래된 테마와 플러그인이 더 많은 WordPress 손상의 주요 원인이라고 합니다.

(Psst — WordPress 보안 업데이트 기사 에서 이에 대한 자세한 내용을 읽을 수 있습니다 .)

웹사이트가 해킹당하는 이유

따라서 WordPress는 안전한 플랫폼이지만 손상된 웹 사이트로 이어질 수 있는 다른 요인이 있습니다. 따라서 다음 보안 조치를 취하면 WordPress 웹 사이트를 저장하는 데 큰 도움이 될 수 있습니다.

[위로 ↑]

[ss_click_to_tweet 트윗=”???? 웹사이트에 대해 진지하게 생각하고 있다면 WordPress 보안 모범 사례에 주의를 기울이십시오. ????” 내용 =”” 스타일 =”기본값”]

WordPress 웹 사이트를 보호하는 방법?

WordPress 웹사이트를 보호하기 위해 취할 수 있는 15가지 보안 조치가 있습니다. 사람들은:

  1. WordPress 보안 플러그인 설치
  2. 정기적인 백업 수행
  3. 좋은 호스팅 회사를 이용하세요
  4. WordPress를 최신 상태로 유지
  5. SSL 인증서 사용
  6. WordPress 로그인 페이지 보호
  7. 방화벽 설정
  8. 웹사이트 강화
  9. 최소 권한 원칙 사용
  10. 의심스러운 IP 주소 차단
  11. 국가 차단 구현
  12. WordPress 버전 숨기기
  13. 활동 로그 확인
  14. 이메일 주소만 사용하여 로그인
  15. HTTP 인증 사용

이러한 조치에 대해 자세히 살펴보겠습니다.

1. WordPress 보안 플러그인 설치

보안 플러그인 또는 서비스의 주요 기능은 검사, 정리 및 보호입니다. 선택할 수 있는 많은 WordPress 보안 플러그인이 있지만 모든 플러그인이 효과적인 것은 아닙니다. 일부는 많은 기능을 제공할 수 있지만 많은 노이즈를 생성합니다. 노련한 해커는 이러한 보안 플러그인을 우회하여 웹사이트를 해킹할 수 있습니다.

MalCare는 최고의 WordPress 보안 스캔 플러그인 중 하나입니다. 그 이유는 –

나. MalCare의 맬웨어 스캐너

WordPress 맬웨어 스캐너는 스캔을 실행하기 위해 리소스가 필요합니다. 많은 스캐너가 웹 서버의 리소스에 의존하지만 이로 인해 웹 사이트 속도가 느려질 수 있습니다.

이 문제를 극복하기 위해 MalCare는 자체 서버 리소스를 사용하여 웹사이트 스캔을 실행합니다. 웹 사이트의 파일을 자체 서버로 전송한 다음 그곳에서 검사를 실행합니다. 이 방법을 사용하면 스캔 프로세스 중에 사이트가 영향을 받지 않고 유지됩니다.

많은 스캐너는 기존 맬웨어만 찾습니다. 즉, 새로운 유형의 맬웨어를 놓칩니다. MalCare는 새로운 것을 포함하여 모든 유형의 맬웨어를 식별하도록 설계되었습니다 .

ii. MalCare의 맬웨어 제거

MalCare는 가장 빠른 맬웨어 제거 서비스를 제공합니다. 대부분의 WordPress 보안 서비스는 티켓 기반 청소를 제공합니다. 여기에서 웹 사이트가 해킹된 경우 티켓을 제기하고 맬웨어 제거 비용을 지불한 다음 보안 담당자가 사이트를 정리하고 다시 돌아올 때까지 기다려야 합니다. 이 프로세스는 시간이 많이 걸리며 제3자에게 귀하의 사이트에 대한 액세스 권한을 부여해야 합니다.

MalCare의 클리너는 다르게 작동합니다. 해킹 후에는 시간이 관건입니다. 시간이 오래 걸릴수록 Google이 귀하의 웹사이트를 블랙리스트에 추가하거나 웹 호스트가 귀하의 사이트를 정지시킬 가능성이 높아집니다. 그렇기 때문에 MalCare는 해커 웹사이트를 정리하기 위해 즉각적인 WordPress 맬웨어 제거를 제공합니다. 버튼을 클릭하기만 하면 플러그인이 몇 분 안에 사이트를 정리할 수 있습니다.

악성 스캔

iii. MalCare의 WordPress 보호 조치

방화벽 사용에서 국가 차단, 웹 사이트 강화에 이르기 까지 지금까지 언급한 모든 조치는 버튼 클릭 한 번으로 MalCare를 통해 수행할 수 있는 보호 조치입니다.

MalCare를 사용하는 방법?

  • MalCare를 사용하려면 먼저 웹 사이트에서 플러그인을 다운로드하여 설치해야 합니다.
  • 그런 다음 사이트를 MalCare 대시보드에 추가합니다. 플러그인이 즉시 웹사이트 스캔을 시작합니다. 웹 사이트에서 악성 파일을 발견하면 알려줍니다.
  • MalCare의 Auto-Clean 버튼을 사용하여 사이트를 즉시 정리할 수 있습니다.

[위로 ↑]

2. 정기적으로 백업하기

백업은 안전망입니다. 웹사이트에 문제가 발생한 경우 웹사이트 사본이 있으면 정상 상태로 복원할 수 있습니다.

많은 백업 플러그인이 있습니다. 압도적인 수의 선택이 가능하기 때문에 만족스럽지 못한 서비스로 끝나기 쉽습니다. 올바른 백업 서비스를 선택하려면 백업 플러그인을 선택하는 방법을 알아야 합니다.

또한 백업 플러그인을 검토하는 것은 시간과 비용이 많이 드는 일입니다. 운 좋게도 시장의 주요 WordPress 백업 플러그인을 비교했습니다. 최고의 WordPress 백업 플러그인을 살펴보십시오.

[위로 ↑]

3. 좋은 호스팅 회사 사용

가장 인기 있는 두 호스팅 제공업체는 공유 호스팅과 관리 호스팅입니다.

공유 호스팅은 저렴하기 때문에 인기가 있습니다. 전 세계 수백만 명의 사람들이 큰 투자 없이 자신의 웹사이트를 시작할 수 있게 되었습니다. 그러나 공유 호스팅에서는 다른 알 수 없는 웹 사이트와 서버를 공유하고 있습니다. 그리고 종종 한 웹사이트가 손상되면 동일한 서버에 있는 다른 웹사이트도 영향을 받습니다. 따라서 인기가 있지만 공유 호스팅 제공업체는 위협적인 상황을 처리할 수 있는 장비가 부족합니다.

전용 서버를 구입할 여유가 있다면 항상 그것을 선택하십시오. WordPress 웹 사이트를 안전하게 유지하는 더 나은 작업을 수행합니다. 웹 호스팅이 웹 사이트 보안에 미치는 영향을 확인할 수 있습니다.

선택할 수 있는 호스팅 제공업체가 많기 때문에 최고의 WordPress 호스팅을 비교했습니다. 어떤 웹 호스트 공급자를 선택할지 결정하는 데 도움이 되기를 바랍니다.

[위로 ↑]

4. WordPress 웹사이트를 최신 상태로 유지

다른 소프트웨어와 마찬가지로 플러그인, 테마, 심지어 WordPress 코어도 시간이 지남에 따라 취약점을 개발합니다.

개발자가 취약점에 대해 알게 되면 업데이트 형식으로 패치를 릴리스합니다. 웹사이트 소유자가 사이트를 업데이트하지 않으면 취약점이 그대로 유지됩니다.

패치를 릴리스한 후 개발자는 취약점이 공개적으로 발표됨을 의미하는 업데이트 이유를 발표합니다. 해커는 이제 보안 결함과 존재하는 버전을 알고 있습니다. 그들은 모든 웹사이트 소유자가 사이트를 즉시 업데이트하지 않는다는 것을 알고 있으므로 취약한 버전에서 실행되는 웹사이트를 찾기 시작합니다. 이 시간 간격은 그들에게 많은 수의 사이트를 성공적으로 해킹할 수 있는 좋은 기회를 제공합니다.

예를 들어, 통계에 따르면 웹사이트의 80% 이상이 업데이트되지 않았기 때문에 해킹당했습니다!

WordPress 사이트를 정기적으로 업데이트해야 합니다. WordPress 웹사이트를 안전하게 업데이트하는 방법을 알아보세요.

워드프레스 업데이트

오랫동안 개발자가 업데이트하지 않는 플러그인과 테마가 있음을 알 수 있습니다. 대부분의 경우 개발자가 소프트웨어를 포기합니다. 웹사이트에서 플러그인이나 테마를 제거하고 대안을 설치하는 것이 가장 좋습니다.

[위로 ↑]

5. SSL 인증서 사용

이 웹 사이트의 URL을 빠르게 살펴보십시오.

자물쇠가 보이시나요? 이 잠금은 사이트가 SSL 인증서를 사용하고 있음을 의미합니다. SSL은 브라우저와 웹 사이트 간에 데이터가 전송되는 동안 데이터를 암호화하는 보안 소켓 계층입니다.

SSL 인증서

왜? 방문자의 브라우저에서 웹사이트로 전송되는 데이터(예: 신용 카드 세부 정보)를 가로채서 도난당할 수 있기 때문입니다. 따라서 데이터가 도난당하더라도 암호화되어 있으면 해커가 사용할 수 없습니다.

다음은 웹 사이트에 SSL 인증서를 설치하고 WordPress 사이트를 HTTP에서 HTTPS로 이동하는 데 도움이 되는 가이드입니다.

[위로 ↑]

6. WordPress 로그인 페이지 보호

로그인 페이지는 WordPress 사이트에서 가장 일반적으로 공격을 받는 부분 중 하나입니다. 해커는 로그인 자격 증명을 추측하고 웹 사이트를 완전히 제어할 수 있는 WordPress 관리 영역에 액세스하려고 합니다. 따라서 WordPress 로그인 페이지에서 올바른 보호를 구현하는 것이 중요합니다. 로그인 페이지를 보호하고 WordPress 로그인 보안을 강화할 수 있는 다양한 기술을 살펴보겠습니다.

나. 고유한 사용자 이름 사용

사용자 이름이 추측하기 쉬운 경우 해커는 암호만 알아내면 됩니다. 걱정할 것이 하나 줄어들면 해커의 작업이 훨씬 쉬워집니다.

가장 일반적인 WordPress 사용자 이름 중 하나는 'admin'입니다. 몇 년 전까지 WordPress는 사용자 이름으로 'admin'을 사용하도록 권장했습니다. WordPress는 더 이상 '관리자'를 자동 제안하지 않지만 여전히 널리 사용됩니다. 따라서 관리자가 일반적으로 사용되는 사용자 이름과 함께 "admin"을 사용자 이름으로 사용하지 않도록 조치를 취해야 합니다.

새 사용자 계정이 생성될 때마다 이 목록을 참조하면 WordPress를 안전하게 유지하는 데 큰 도움이 될 수 있습니다. 또한 기존 사용자가 공통 사용자 이름을 사용하는 경우 이를 변경하도록 지시하십시오. 다음은 WordPress 사용자 이름을 변경하는 방법에 대한 유용한 가이드입니다.

ii. 표시 이름 변경

귀하의 사이트에 침투하기 위해 해커는 귀하의 웹사이트를 훑어보고 표시 이름을 선택합니다. 그들은 이러한 이름의 다른 조합을 사용하여 로그인을 시도합니다. 해커는 동일한 사용자 이름과 표시 이름을 갖는 것이 드문 일이 아니라는 것을 알고 있습니다. 예를 들어 Sophia Lawrence가 표시 이름인 경우 sophialawrence 또는 sophia.lawrence 또는 sophia를 사용자 이름으로 사용하여 로그인을 시도할 수 있습니다.

따라서 이를 방지하기 위해 표시 이름을 변경할 수 있습니다.

'내 프로필 편집' 으로 이동합니다. 그런 다음 '닉네임'을 변경합니다. 업데이트를 저장합니다. 이제 '공개 이름 표시'를 선택합니다. 새 표시 이름이 표시되는 드롭다운 메뉴가 나타납니다. 그것을 선택하고 설정을 저장하십시오.

워드프레스 표시 이름

해커가 표시 이름을 사용하려고 하면 필연적으로 실패합니다.

[위로 ↑]

iii. 사용자 이름 발견 방지

표시 이름 외에도 웹 사이트에서 사용자 이름을 찾는 데 사용할 수 있는 또 다른 방법은 WordPress Rest API를 사용하는 것입니다. 이것은 심각한 WordPress 보안 문제입니다. 2016년에 도입된 이 핵심 WordPress 기능을 통해 누구나 사이트에서 사용자 정보를 검색할 수 있습니다. 간단한 URL을 실행하기만 하면 됩니다: example.com/wp-json/wp/v2/users

사용자 이름 찾기

이를 방지하려면 functions.php 파일에서 다음 코드 스니펫을 사용하십시오. URL을 다시 실행하려고 하면 사용자 목록이 숨겨지고 500 오류가 발생합니다.

[php]
add_filter( 'rest_endpoints', 함수( $endpoints ){

if ( isset( $endpoints['/wp/v2/users'] ) ) {

unset( $endpoints['/wp/v2/users'] );

}

if ( isset( $endpoints['/wp/v2/users/(?P&amp ;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;lt;id& ;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;gt;[\\\\\\\\d]+) '] ) ) {

unset( $endpoints['/wp/v2/users/(?P&amp ;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;lt;id& ;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;gt;[\\\\\\\\d]+)'] );

}

반환 $endpoints;

});
[/php]

사용자 이름은 로그인 자격 증명의 두 구성 요소 중 하나입니다. 두 번째 구성 요소인 암호를 살펴보고 해커로부터 암호를 보호하는 방법을 알아봅시다.

[위로 ↑]

iv. 강력한 암호 적용

어떤 비밀번호로도 내 웹사이트를 보호할 수 있습니다. 충분하지 않나요? 대답은 '아니오'입니다. 해커가 침입하기 위해 WordPress 사이트의 비밀번호를 추측하려고 끊임없이 시도하기 때문입니다.

그들은 몇 분 안에 귀하의 자격 증명을 추측하기 위해 수백만 번의 로그인 시도를 하도록 봇을 프로그래밍하는 무차별 대입 공격이라는 기술을 사용합니다.

Passw0rd123$ 와 같은 쉬운 암호를 사용하면 봇이 몇 번의 추측으로 암호를 해독합니다. 이것이 고유하고 복잡한 암호를 갖는 것이 중요한 이유입니다.

WordPress는 사용자가 강력한 암호를 자동 생성하도록 권장하지만 여전히 약한 암호를 사용하여 계정을 만들 수 있습니다. 따라서 강력한 암호를 사용해야 하는 책임은 사용자의 어깨에 있습니다.

새 사용자 추가

강력한 암호를 사용하도록 WordPress 관리자를 교육할 수 있습니다. 강력한 암호를 설정하기 위한 지침은 다음과 같습니다.

– 긴 암호 만들기

일반적으로 8-10자를 초과하는 암호는 강력한 것으로 간주되며 일반적으로 크랙하기 어렵습니다. 암호에 추가하는 모든 문자는 암호를 더 강력하게 만듭니다. 그러나 지난 몇 년 동안 암호 크래킹 기술이 크게 발전했습니다. 따라서 많은 WordPress 보안 담당자는 15자 길이의 암호를 사용할 것을 권장합니다.

  • 긴 비밀번호: pd&&)xG56ZhLNrjl4jjNJ4#h (기억하기 어려움)
  • 긴 암호 문구: 아무것도 모르기 때문에 늑대는 흰색이었습니다. John Snow(기억하기 쉬움)
– 대문자, 소문자 및 특수 문자 조합 사용

무차별 대입 공격에서 봇은 암호 크래킹 절차를 수행하도록 프로그래밍됩니다. 예를 들어, 그들은 다양한 소문자('a', 'b', 'c' 등)의 조합을 생각해 내어 올바른 암호를 추측하려고 시도하는 등 특정 지침을 따릅니다. 'testpass'와 같은 쉬운 암호를 사용하면 몇 번만 시도하면 암호를 해독할 수 있습니다.

따라서 소문자와 대문자를 모두 조합하여 사용하면 암호를 알아내는 데 시간이 오래 걸립니다. 그러나 정말 잘 프로그래밍된 봇은 매초 수백만 개의 암호를 시도할 수 있습니다. 따라서 특수 문자, 숫자, 소문자 및 대문자를 혼합하면 이상적으로는 암호를 예측할 수 없고 해독하기 어렵습니다.

  • 한도 추가 – TestPass
  • 숫자 및 기호 추가 – TestPass123$
– 일반적인 단어 및 공개적으로 알려진 세부 정보를 사용하지 마십시오.

'test', 'admin', 'login'과 같은 일반적인 단어는 WordPress 사용자가 사용하는 일반적인 단어입니다. 이들은 봇이 처음 시도하는 암호 중 일부이므로 사용하지 마십시오. Splashdata의 인포그래픽에 따르면 가장 일반적으로 사용되는 상위 25개의 비밀번호는 다음과 같습니다.

  • '야구', '축구', '스타워즈', '프린세스', '솔로' 등 흔한 스포츠 와 관심사
  • '87654321', '0123456' 등 의 순서로 된 숫자
  • 'abc123' 등과 같은 순서대로 문자

귀하의 웹사이트를 표적으로 삼는 해커는 귀하의 사이트에서 세부 정보를 가져와 시험해 볼 수 있습니다. 예를 들어, 좋아하는 TV 프로그램 Game of Thrones를 중심으로 구축된 웹사이트가 있는 경우 봇은 'GoThrones123' 또는 'gameofthrones123'과 같은 다양한 구문 조합을 시도하여 사이트에 침입합니다. 이런 일이 발생하지 않도록 하려면 웹 사이트와 관련된 언급이 없는 암호를 설계하십시오.

암호 보안은 보안 위반 가능성을 최소화합니다. 그러나 강력한 암호는 소매에 몇 가지 속임수가 없으면 기억하기 어렵습니다.

[위로 ↑]

v. CAPTCHA 기반 보호

고유한 사용자 이름과 강력한 암호를 사용하는 것 외에도 CAPTCHA를 사용하는 것은 WordPress 웹사이트에 대한 무차별 대입 공격을 방지하는 또 다른 완벽한 방법입니다.

로그인 시도가 일정 횟수 실패하면 CAPTCHA가 생성되어 사용자가 사람인지 봇인지 판단합니다. CAPTCHA는 봇이 읽을 수 없도록 설계되었습니다. 따라서 봇이 CAPTCHA를 풀 때까지 로그인 페이지에 액세스할 수 없기 때문에 무차별 대입 공격을 저지합니다.

MalCare와 같은 WordPress 보안 플러그인은 실제 인간 사용자만 해결할 수 있는 이미지 기반 CAPTCHA를 생성합니다.

보안 문자 보호

해커 봇이 자격 증명을 해독하지 못하도록 설계된 CAPTCHA는 훌륭합니다.

[위로 ↑]

vi. 2단계 인증 구현

Facebook 및 Gmail과 같은 인기 있는 서비스가 로그인을 시도할 때 사용자를 인증하는 방법을 알고 계셨습니까? 사용자를 확인하는 데 도움이 되는 코드가 계정과 연결된 스마트폰으로 전송됩니다. 이를 이중 인증이라고 합니다.

WordPress는 이중 인증을 제공하지 않습니다. 따라서 WordPress 사이트에서 이를 구현하려면 WordPress Two-Factor Authentication을 추가하는 방법에 대한 이 가이드를 따를 수 있습니다.

[위로 ↑]

[ss_click_to_tweet 트윗=”매일 수백 개의 웹사이트가 해킹당합니다. 오늘 예방 조치를 취하고 해커와 봇으로부터 웹 사이트를 보호하십시오. ” 내용 =”” 스타일 =”기본값”]

7. 방화벽 설정

귀하의 웹 사이트에서 받는 수백 건의 방문 중 일부는 악의적입니다. 이러한 방문자는 사이트를 제어하기 위해 악용할 수 있는 취약점을 찾을 의도로 사이트를 방문합니다.

WordPress 방화벽은 웹 사이트에 대한 모든 방문자 요청을 확인합니다. 방문자가 데스크탑, 스마트폰, 태블릿, 노트북 등 어떤 장치를 사용하든 모든 장치는 IP 주소와 연결됩니다. 요청이 의심스러운 IP에서 오는 경우 방문자가 차단되고 그렇지 않으면 사이트에 대한 액세스가 허용됩니다. 좋은 방화벽은 악성 트래픽에 대한 첫 번째 방어선입니다.

MalCare가 제공하는 것과 같은 WordPress 방화벽 플러그인은 더 나은 보안을 제공하는 고급 방화벽과 함께 제공됩니다. 사이트에서 발생한 트래픽 요청만 확인하는 것이 아니라 불량 트래픽도 기록합니다. 새로운 불량 IP를 발견하면 이를 기록합니다. 불량 IP가 귀하의 웹사이트에 다시 액세스를 시도하면 즉시 차단됩니다.

[위로 ↑]

8. 웹사이트 강화

우리는 해커가 이용하는 WordPress 웹사이트의 일부 공통 영역을 식별했습니다. 예를 들어 보안 키를 사용하여 웹사이트에 액세스하거나 웹사이트에 악성 플러그인 또는 테마를 설치할 수 있습니다. 해커로부터 웹사이트를 보호하려면 웹사이트를 강화하는 조치를 취해야 합니다.

WordPress 강화 조치를 취하는 데 도움이 되는 가이드가 있습니다.

[위로 ↑]

9. 최소 권한 원칙 사용

WordPress는 관리자, 편집자, 작성자, 기여자, 구독자 및 슈퍼 관리자의 6가지 기본 WordPress 사용자 역할을 제공합니다. 이러한 역할 할당은 신중하게 이루어져야 합니다. 각 역할에는 고유한 권한과 책임이 있습니다. 그것들을 살펴봅시다:

관리자는 계층 구조의 맨 위에 있습니다. 그는 웹 사이트에 대한 모든 권한을 가지며 다음 기능을 실행할 수 있습니다.

  • 콘텐츠 생성, 편집 및 삭제
  • 플러그인 및 테마 코드 편집
  • 모든 플러그인 및 테마 관리
  • 사용자 계정 생성, 수정 및 삭제

계층 구조 아래로 내려갈수록 권한이 줄어듭니다. 편집자는 주요 변경 사항을 만들 수 없지만 범주 및 링크를 관리하고, 댓글을 검토하고, 게시물 및 페이지를 생성, 편집 및 삭제할 수 있습니다. 작성자, 기여자 및 구독자는 권한이 더 적습니다.

가장 높은 책임은 관리자의 책임이며 권한을 남용하지 않을 것이라고 확신하는 사람에게 권한을 부여해야 합니다.

잘못된 부류의 사람들이 관리자 액세스 권한을 얻으면 그 역할을 이용할 수 있습니다. 악성 플러그인과 테마를 설치하고, 데이터를 훔쳐 값을 받고 판매하고, 무엇보다도 불법 파일과 폴더를 저장할 수 있습니다.

[위로 ↑]

10. 의심스러운 IP 주소 차단

웹 사이트에 MalCare와 같은 WordPress 보안 플러그인이 설치되어 있는 경우 로그인에 실패한 IP 주소의 로그를 살펴보십시오.

그들 중 일부는 "adm2016"과 같은 일반적인 사용자 이름('고유한 사용자 이름 사용' 섹션에서 언급함)을 사용하는 방법에 주목하십시오. 아래 사진은 당사 웹사이트 중 하나에서 이루어진 로그인 시도 실패 기록입니다.

Malcare 로그인 시도 차단 IP

이러한 악성 IP 주소를 차단하려면 .htaccess 파일에 코드를 넣으십시오.

[php]
주문 허용, 거부

61.134.52.164에서 거부

모두로부터 허용
[/php]

"61.134.52.164"를 금지하려는 IP 주소로 바꾸고 파일을 저장하십시오.

[위로 ↑]

11. 국가 차단 구현

월드 와이드 웹은 해커에게 전 세계 웹사이트에 대한 액세스를 제공합니다. 뉴욕의 웹사이트를 타겟팅하는 러시아에 위치할 수 있습니다.

통계에 따르면 해킹 시도가 시작된 상위 5개국은 중국, 미국, 터키, 브라질 및 러시아입니다.

MalCare가 설치되어 있으면 웹 사이트에 로그인하려는 사용자를 쉽게 확인할 수 있습니다. 그들의 출신 국가를 볼 수 있습니다.

Malcare 로그인 시도가 차단된 국가

사용자가 미국에만 있는 경우 다른 국가에서 시도한 로그인 시도는 악의적일 가능성이 높습니다.

위의 이미지에서 미국, 영국, 러시아 및 중국의 4개 국가에서 로그인 시도가 이루어진 것을 볼 수 있습니다.

이제 미국과 같은 특정 국가만 타겟팅하는 경우 다른 국가의 트래픽이 필요하지 않으므로 영국, 러시아 및 중국을 차단할 수 있습니다.

국가 차단을 구현하는 방법을 배우려면 WordPress에서 국가를 차단하는 방법에 대한 이 가이드의 도움을 받으십시오.

[위로 ↑]

12. WordPress 버전 숨기기

알려진 WordPress 취약점이 있는 파일이 있는지 해커가 알아낼 수 있는 또 다른 방법은 사용 중인 WordPress 버전을 조회하는 것입니다. 때때로 웹 사이트 소유자는 사이트를 취약하게 만드는 새로운 WordPress 업데이트를 놓칩니다.

해커는 핵심 WordPress 설치의 이전 버전에 존재했을 수 있는 모든 취약점을 악용할 수 있습니다. 따라서 사용 중인 WordPress 버전을 숨기는 것이 유용할 수 있습니다.

워드프레스 버전 보기 페이지 소스

이렇게 하려면 function.php 파일에 코드를 배치해야 합니다.

1단계: 호스트 계정에 로그인합니다. cPanel > 파일 관리자 > public_html에 액세스합니다.

2단계: public_html 폴더에서 wp-content에 액세스하고 활성 테마의 폴더를 선택합니다.

예를 들어 기본 WordPress 테마인 Twenty-Nineteen을 사용하는 경우 이름이 "twenty-nineteen"인 폴더를 선택합니다.

'personalblogily'는 현재 웹사이트에서 사용 중인 테마이며 다른 테마를 사용할 수도 있습니다.

functionphp 파일 관리자

3단계: function.php 파일을 마우스 오른쪽 버튼으로 클릭하고 편집을 선택합니다. 여기에 다음 코드를 입력합니다.

[php]
함수 wpbeginner_remove_version() {

반품 ";

}

add_filter('the_generator', 'wpbeginner_remove_version');
[/php]

파일을 저장하면 사이트에서 WordPress 버전 번호가 표시되지 않습니다.

[위로 ↑]

13. 활동 로그 확인

WordPress 웹사이트에서 일어나는 모든 일을 주의 깊게 관찰하면 초기 단계에서 의심스러운 행동을 식별할 수 있습니다. 이렇게 하면 악의적인 해킹 공격이 실제로 발생하여 WordPress 웹사이트가 손상되기 전에 가능한 모든 해킹 공격을 저지하는 데 도움이 됩니다.

워드프레스 웹사이트에서 일어나는 모든 일을 워드프레스 활동 로그에 기록하는 플러그인을 설치하면 됩니다. 선택할 수 있는 여러 플러그인이 있습니다. WP 보안 감사 로그는 그러한 플러그인 중 하나입니다.

wpwhite 보안

14. 이메일 주소만 사용하여 로그인

WordPress 로그인 페이지에서 사용자 이름이나 이메일 ID를 사용하여 로그인할 수 있습니다. 따라서 사용자 이름 사용을 비활성화하면 해커가 웹 사이트에서 무차별 대입 공격을 수행하는 것을 막을 수 있습니다.

No Login by Email Address와 같은 플러그인이 있어 사용자 이름을 사용하여 웹 사이트에 로그인하는 것을 방지할 수 있습니다.

[위로 ↑]

15. HTTP 인증 사용

HTTP 인증은 WordPress 로그인 페이지에 대한 보호 계층을 제공하며 WordPress 보안을 향한 중요한 단계입니다. 페이지에 액세스하려면 사용자가 HTTP 자격 증명을 입력해야 합니다. 이것이 없으면 사이트의 로그인 페이지에 액세스할 수 없습니다.

HTTP 인증

HTTP 인증과 같은 플러그인은 로그인 페이지에 이 보호 계층을 설정하는 데 도움이 됩니다. 사용자와 HTTP 인증 자격 증명을 공유해야 합니다. 그렇지 않으면 사용자가 잠겨 사이트에 로그인할 수 없게 됩니다.

이것으로 WordPress 웹 사이트에 대한 고급 보안 조치가 끝났습니다.

[위로 ↑]

일반적이지만 쓸모없는 WordPress 보안 조치

WordPress 보안의 세계에는 사이트 소유자가 받는 경향이 있는 많은 조언이 있습니다. 그러나 이 조언 중 일부는 그다지 효과적이지 않습니다. 우리는 주요 단점과 함께 제공되는 몇 가지 일반적인 보안 조언을 나열할 것입니다. 해커가 이러한 조치를 우회하는 방법을 찾았기 때문에 이러한 조치는 웹사이트를 실제로 보호하지 않습니다.

  1. WordPress 로그인 페이지 숨기기
  2. 암호가 만료되도록 설정
  3. 활동이 없을 때 자동 로그아웃

1. WordPress 로그인 페이지 숨기기

해커는 단일 웹사이트를 거의 대상으로 하지 않습니다. 그들은 WordPress 로그인 페이지에서 공격을 시작하도록 자동화된 봇을 프로그래밍합니다. WordPress를 오랫동안 사용해 본 사람이라면 누구나 WordPress 웹사이트에 ' example.com/wp-admin' 과 같은 기본 로그인 페이지 URL이 제공된다는 것을 알고 있습니다.

이렇게 하면 자동화된 봇의 작업이 훨씬 쉬워집니다. 따라서 웹사이트 로그인 페이지를 'example.com/wrongpage' 와 같은 것으로 변경하면 다가오는 공격을 피할 수 있습니다.

WordPress 로그인 페이지를 숨기는 데 도움이 되는 WPS Hide Login, Hide WP-Admin 등과 같은 여러 플러그인이 있습니다.

워드프레스 로그인 URL 변경

단점: 자동화된 해킹 시도를 쉽게 방지할 수 있지만 웹 사이트가 안전하다는 보장은 없습니다. 이것은 주로 WPS Hide Login과 같은 도구가 기본 로그인 URL을 제공하기 때문입니다. 따라서 이 도구를 사용하는 수십만 개의 웹사이트가 로그인 페이지에 동일한 URL을 사용하고 있습니다. 해커는 쉽게 URL 형식을 찾아 공격을 시작할 수 있습니다.

또한 모든 사용자에게 제대로 알리지 않고 로그인 페이지를 숨기는 것은 매우 불편할 수 있습니다. 하루의 작업 비용이 들 수도 있습니다.

[위로 ↑]

2. 비밀번호 만료 설정

전자금융 서비스에서 특정 기간이 지나면 비밀번호를 변경하라는 메시지를 받았을 것입니다. 이는 귀하의 계정이 해킹된 경우 해커가 귀하의 계정을 악용할 수 있는 제한된 창만 확보하도록 하는 안전 조치입니다. WordPress 웹 사이트에 동일한 조치를 적용하면 피해가 줄어듭니다.

Expire Passwords 플러그인을 사용하면 특정 일 수 후에 만료되도록 사용자 암호를 설정할 수 있습니다. 모든 사용자는 비밀번호를 업데이트해야 합니다.

워드프레스 비밀번호 찾기

단점: 이 조치는 일정 수준의 보안을 제공하지만 해커는 이를 능가하는 방법을 찾습니다. 예를 들어 사이트를 해킹하면 새 사용자 계정을 만들거나 숨겨진 백도어를 설치합니다. 따라서 정기적으로 비밀번호를 변경하더라도 이미 다른 액세스 지점을 만들었습니다.

[위로 ↑]

3. 활동이 없을 때 자동 로그아웃

사용자가 여러 명인 웹사이트의 경우 사용자 권한이 남용될 가능성이 높습니다. 원격으로 작업하는 사용자에게는 훨씬 더 높습니다. 사용자는 급한 업무를 처리하기 위해 자리를 비우고 로그아웃하는 것을 잊어버릴 수 있습니다.

이 시간 동안 누군가가 웹사이트를 남용하면 어떻게 됩니까? 이러한 남용의 위험을 줄이기 위해 사용자가 장기간 비활성 상태인 경우 사용자가 자동으로 로그아웃되도록 WordPress 웹사이트를 설정할 수 있습니다.

비활성 로그아웃 플러그인은 유휴 세션 로그아웃 기능을 제공합니다. 이렇게 하면 사용자가 자동으로 로그아웃된 후 10분 또는 20분과 같이 허용되는 비활성 기간을 설정할 수 있습니다.

단점: 그러나 누군가가 귀하의 사이트를 염탐하려는 경우 사용자가 떠난 직후에 수행할 가능성이 있습니다. 이와 같은 경우 유휴 사용자를 로그아웃해도 사용자 권한 남용을 방지할 수 없습니다.

[위로 ↑]

[ss_click_to_tweet 트윗 =”사이트 보안이 걱정되십니까? ???? 보안 취약성으로부터 웹 사이트를 보호하려면 다음과 같은 실행 가능한 조치를 취하십시오.” 내용 =”” 스타일 =”기본값”]

마지막 생각들

우리는 그것이 정말 오랫동안 읽었고 약간 압도적이라는 것을 알고 있습니다. 그러나 낮잠을 자기 전에 다음과 같이 제안합니다.

  • 이 기사를 북마크하십시오.
  • 친구 및 이웃과 공유하십시오. 우리 가이드를 따르면 도움이 될 것이라고 생각하는 사람이라면 누구나 가능합니다.
  • WordPress 블로그에서 wp-config.php로 WordPress 사이트 보호와 같은 더 많은 가이드를 확인하십시오.

이 기사가 도움이 되었기를 진심으로 바랍니다. 마지막으로 한 가지 생각을 남기고 싶습니다. 이러한 모든 보안 조치를 취하는 것은 매우 어려울 수 있으므로 정기적으로 WordPress 보안 감사를 실행하고 보안을 처리할 MalCare와 같은 프리미엄 WordPress 보안 플러그인을 선택하는 것이 좋습니다.

MalCare를 사용하면 방화벽, 일반 맬웨어 검사, WordPress 강화 등과 같은 멋진 보안 기능에 액세스할 수 있습니다. 사이트의 보안이 관리되고 있으므로 안심할 수 있습니다.

지금 바로 WordPress 보안 플러그인인 MalCare를 사용해 보세요!