WordPress 보안 감사: 사이트를 보호하는 7가지 간단한 단계

게시 됨: 2020-07-06

귀하의 웹사이트는 귀하가 생각하는 것보다 더 위험합니다. 걱정하지 마세요! 당신은 이 경주에서 혼자가 아닙니다. 대부분의 사람들은 자신의 웹사이트가 안전하다고 생각하지만 실제로는 그렇지 않습니다.

당신의 워드프레스 웹사이트가 당신의 일반적인 실수 중 일부로 해킹될 수 있다는 것은 놀라운 일이 아닙니다. 이것은 최신 WordPress 버전으로 업데이트하지 않고 중요한 보안 기능이 누락된 경우에도 발생할 수 있습니다.

WordPress 설치의 70% 이상이 해커 공격에 취약합니다.

– WP 화이트 시큐리티

그러나 웹 사이트에 항상 걸려 있는 임박한 보안 위험을 해결할 수 있는 효과적인 방법이 있습니다. 항상 존재하는 위협과 마찬가지로 정기적인 보안 감사를 수행하여 웹사이트를 모니터링해야 합니다. 데이터 침해에서 랜섬웨어에 이르기까지 다양한 잠재적 위협으로부터 사용자를 구할 수 있습니다.

이 기사에서는 해커나 원치 않는 인스턴스로부터 사이트를 안전하게 보호하는 몇 가지 쉬운 방법을 보여줍니다.

내용의 테이블

  • WordPress 보안 감사란 무엇입니까?
  • 정기적인 보안 감사가 웹사이트에 중요한 이유는 무엇입니까?
  • WordPress 보안 감사 수행
    • WordPress 보안 감사 수동 수행
      • 업데이트 확인
      • WordPress 백업 유지 및 확인
      • 관리자 계정 취약성 평가
      • 사용자 및 계정 확인
      • 불필요한 플러그인 제거
      • 사용하지 않는 테마 제거
      • 보안 검사 실행
    • 플러그인을 사용하여 WordPress 보안 감사 수행
      • WP 활동 로그
      • 워드펜스 보안

WordPress 보안 감사란 무엇입니까?

How to Perform WordPress Security Audit

귀하의 웹사이트는 여러 가지 이유로 위협을 받을 수 있습니다. 예를 들어, 오래된 플러그인이나 테마는 해커에 의해 악용될 수 있습니다. 또는 웹사이트 관리자 중 한 명이 외부인이 침해할 수 있는 취약한 비밀번호를 설정했을 수 있습니다. 그렇기 때문에 소중한 WordPress 웹 사이트에 있을 수 있는 모든 보안 취약성을 확인하기 위해 체크리스트를 준비해야 합니다.

간단히 말해서 WordPress 보안 감사는 모든 종류의 악의적인 활동이나 보안 위험에 대해 정기적으로 웹사이트를 검사하는 작업입니다.

정기적인 보안 감사가 웹사이트에 중요한 이유는 무엇입니까?

사람들은 종종 웹사이트 보안을 심각하게 생각하지 않습니다. 대부분의 웹 사이트 소유자는 WordPress가 플랫폼에 구축된 모든 웹 사이트의 보안을 충분히 관리할 수 있다고 생각합니다. 다른 사람들은 그들의 웹사이트에 해킹할 가치가 있는 특별한 것이 없다고 생각하는 것 같으므로 누가 그들의 웹사이트를 해킹할 것입니다.

Hackers Can use Your Site in Many Ways
해커는 다양한 방법으로 사이트를 사용할 수 있습니다.

그러나 해커가 데이터를 얻기 위해 항상 웹사이트를 해킹하는 것은 아닙니다. 웹 사이트가 해킹되면 해커가 다음과 같은 많은 악의적인 활동에 사용할 수 있습니다.

  • 채굴 암호화폐
  • 피싱 페이지 호스팅
  • 스팸 이메일 보내기
  • 웹사이트를 통해 자체 프로그램을 실행하려면
  • 랜섬웨어라고도 알려진 몸값 요구
  • 보안을 위험에 빠뜨릴 수 있는 웹사이트로 트래픽을 리디렉션합니다.

따라서 민감한 데이터가 없기 때문에 웹 사이트가 안전하다고 생각되면 다시 한 번 생각하십시오!

또한 WordPress 자체는 매우 안전한 플랫폼이지만 사용자가 협력하지 않으면 웹사이트를 보호할 수 없습니다. WordPress에 따르면 사용자의 41%만이 최신 버전의 플랫폼을 사용하고 있습니다. 최신 버전에는 다른 기능과 함께 보안 업데이트가 제공되므로 이전 버전은 보안 침해에 취약합니다.

WordPress Versions in Use Right Now
현재 사용 중인 WordPress 버전(제공: WordPress)

위의 모든 사실을 고려할 때 정기적으로 WordPress 사이트 감사를 수행하지 않는 한 웹 사이트 보안이 깨지지 않는 것이 분명합니다.

WordPress 보안 감사를 수행하는 방법(수동 감사를 위한 7가지 쉬운 단계)

귀하의 웹사이트는 여러 가지 이유로 침해될 수 있으므로 보안 감사를 수행하는 동안 돌이킬 수 없는 상태로 둘 수 없습니다. 보안 감사를 수행하는 동안 항상 일상적인 체크리스트를 유지하여 모든 잠재적인 허점이 커버되는지 확인하십시오. 편의를 위해 보안 감사를 수행할 때 확인해야 할 사항을 나열했습니다.

수동으로 또는 WordPress 감사 플러그인을 사용하여 작업을 수행할 수 있습니다. 먼저 수동 방식을 보여주고 나중에 보안 감사를 자동으로 수행하기 위해 대안으로 사용할 수 있는 몇 가지 플러그인에 대해 이야기하겠습니다.

플러그인을 사용하고 싶지 않다면, 많은 플러그인이 페이지 속도를 저하시키는 것 같으므로 WordPress 웹사이트에서 수동 보안 감사를 수행할 수 있습니다. 아래 단계에 따라 웹사이트가 올바른 방향으로 가고 있는지 확인하십시오.

1. 최신 업데이트 확인

사이트를 최신 상태로 유지하는 것은 사이트를 보호하는 가장 좋은 방법 중 하나입니다. WordPress 업데이트는 모두 새로운 기능에 관한 것이라고 생각할 수 있으며 일부는 마음에 들지 않을 수도 있습니다. 그러나 이에 관계없이 사이트에 대한 보안 감사를 수행하는 동안 업데이트를 확인하고 설치해야 합니다.

WordPress 버전을 최신 상태로 유지하는 이유는 최신 버전에는 항상 새로운 보안 패치가 함께 제공되기 때문입니다. WordPress 보안 팀은 플랫폼을 안전하고 건전하게 유지하기 위해 전 세계 최고의 보안 전문가와 협력합니다.

WP 관리자 대시보드 > 대시보드 > 업데이트에서 WordPress 업데이트를 확인할 수 있습니다.

WordPress Updates


WordPress 업데이트와 함께 플러그인 및 테마에 대한 업데이트가 있는지도 확인해야 합니다. 해커는 플러그인이나 테마의 허점을 악용하여 사이트에 들어갈 수도 있음을 기억하십시오. 따라서 정기적으로 모든 플러그인과 테마를 확인하고 업데이트하는 것이 좋습니다. WordPress 업데이트와 동일한 페이지에서 플러그인 및 테마 업데이트 옵션을 찾을 수 있습니다.

2. WordPress 백업 유지 및 확인

웹 사이트를 정기적으로 백업하면 웹 사이트가 해킹되거나 맬웨어로 인해 데이터가 손실되는 경우에 유용할 수 있습니다.

품질 호스팅 제공업체는 종종 자동 백업 서비스를 제공합니다. 그러나 호스팅 제공업체가 자동 백업 서비스를 제공하더라도 웹사이트와 모든 데이터를 정기적으로 백업하려면 WordPress용 고품질 백업 플러그인을 설치해야 합니다.

백업 플러그인을 설치한 후 보안 감사 시마다 백업이 정기적으로 실행되고 있는지 확인하십시오.

3. 관리자 계정 취약성 평가

12345, 123456, 123456789, 이 3가지가 2019년 가장 인기 있는 비밀번호였습니다. NordPass가 온라인으로 유출된 5억 개의 비밀번호 중에서 집계한 목록은 모든 인기 있는 비밀번호의 순위를 매겼으며 그 중 상위 10개는 아래 이미지와 같습니다.

Most Popular Password in 2019
2019년 가장 인기 있는 비밀번호(Credit: NordPass)

관리자 중 한 명이 비밀번호를 그렇게 설정하면 웹 사이트에서 곧 위반 사항이 발견될 가능성이 있습니다. WordPress에서 제안하는 강력한 암호를 선택하십시오. 잊어버리는 경향이 있는 사람이라면 비밀번호를 저장할 수 있는 비밀번호 관리 앱이 많이 있습니다.

보안 감사 중에 확인해야 할 또 다른 중요한 사항은 관리자가 사용자 이름 admin 을 설정하지 않았다는 것입니다. WordPress에서 가장 일반적인 사용자 이름이며 확실히 사용해서는 안 됩니다.

4. 사용자 및 계정 확인

사용자가 가입해야 하는 포럼이나 전자상거래 사이트가 있는 경우 보안 감사 시 의심스러운 사용자가 있는지 확인해야 합니다. WP 관리자 대시보드 > 사용자 > 모든 사용자 에서 모든 사용자 목록을 찾을 수 있습니다.

그러나 다른 유형의 웹사이트가 있고 방문자가 가입할 필요가 없는 경우 WP 관리 대시보드 > 일반 > 누구나 등록 가능에서 누구나 등록 가능 옵션을 끄는 것이 좋습니다.

Turning Off Anyone Can Register Option


5. 불필요한 플러그인 제거

웹 사이트에 많은 플러그인을 설치하면 공간을 차지할 뿐만 아니라 보안 위협도 발생합니다. 플러그인이 더 이상 필요하지 않을 때는 제거하는 것이 좋습니다.

Removing Unnecessary Plugins


오래된 플러그인은 종종 웹사이트의 보안 취약점을 엽니다. 그냥 비활성화하는 것보다 아예 삭제하는 것이 좋습니다.

6. 사용하지 않는 테마 제거

WordPress를 설치하는 동안 사이트를 시작하기 위해 기본 테마를 포장합니다. 그러나 그 후에는 우리 모두가 원하는 대로 주제를 변경합니다. 때때로 우리는 사용하지 않는 여러 WordPress 테마를 설치한 상태로 유지합니다. 오래된 플러그인과 마찬가지로 이러한 오래된 테마는 나중에 문제를 일으킬 수 있습니다. 백업용으로 평소에 사용하는 테마 외에 하나의 테마만 보관합니다.

7. 보안 스캔 실행

거의 다 끝났습니다. 보안 플러그인으로 최종 악성코드 검사를 할 때입니다. 이와 관련하여 도움이 되는 WordPress용 보안 플러그인이 많이 있습니다.

웹사이트에 보안 플러그인을 설치한 후. 전체 검사를 실행하고 웹사이트에 맬웨어가 있는지 확인합니다. 웹사이트에 대한 실시간 공격을 방지하기 위해 무차별 대입 로그인 시도도 처리할 수 있는 플러그인을 선택하십시오.

플러그인을 사용하여 WordPress 보안 감사를 수행하는 방법

모든 작업을 수동으로 수행하고 싶지 않다면 필수 WordPress 보안 감사를 수행하는 다른 방법이 있습니다. 위에서 언급한 모든 작업을 자동으로 수행할 수 있는 WordPress 웹 사이트에 사용할 수 있는 몇 가지 매우 우수한 보안 플러그인이 있습니다.

WP 활동 로그

wordpress security audit plugin

WP 활동 로그는 웹 사이트에서 보안 감사를 수행하는 가장 인기 있는 플러그인 중 하나입니다. 웹 사이트의 모든 변경 사항을 모니터링하고 의심스러운 활동에 대해 경고합니다.

로그인한 사용자 수, 활동 및 IP 주소를 확인할 수 있습니다. 로그인 시도 횟수를 제한하고 웹사이트의 문제를 해결할 수도 있습니다. 전반적으로 이것은 책임을 이양하는 안정적인 플러그인입니다.

워드펜스 보안

wordpress security audit plugin

Wordfence Security는 WordPress용으로 역대 가장 많이 다운로드된 보안 플러그인입니다. 웹 사이트를 확실히 보호할 수 있는 다양한 보안 기능이 있습니다.

Wordfence Security에는 실시간 맬웨어 스캐너가 있습니다. 악성코드, 악성 URL, 백도어, SEO 스팸, 악성 리디렉션 및 코드 삽입에 대한 핵심 파일, 테마 및 플러그인을 확인할 수 있습니다.

다른 유용한 기능과 함께 이 플러그인을 사용하여 실시간 트래픽을 모니터링할 수도 있습니다.

마무리

WordPress는 웹 사이트를 구축하는 데 가장 안전한 플랫폼 중 하나입니다. 일반적인 보안 허점을 예리하게 주시하면 사이트를 해킹하는 것은 불가능합니다. 정기적인 보안 감사를 수행하면 웹사이트에 있을 수 있는 모든 보안 취약성을 쉽게 추적할 수 있습니다.

웹 사이트 보안에 대해 결정하고 더 자세히 알고 싶다면 WordPress 보안을 위해 작동하는 사항을 알 수 있는 또 다른 블로그가 있습니다.

이 블로그에 대해 질문이 있으면 아래에 의견을 보내주십시오. 어떤 질문에도 기꺼이 답변해 드리겠습니다.