2024년에 필요한 유일한 WordPress 보안 체크리스트

게시 됨: 2023-12-11

WordPress는 안전한 콘텐츠 관리 시스템(CMS)이지만 웹사이트를 설정하고 구성하는 방식에 따라 보안 수준이 영향을 받을 수 있습니다. 사이트를 보호하기 위한 조치를 취하지 않으면 데이터 유출이 발생하거나 콘텐츠가 손실될 수 있습니다.

귀하를 돕기 위해 최고의 WordPress 보안 체크리스트를 만들었습니다. 이는 봇과 공격자로부터 웹사이트를 보호하는 데 필요한 모든 단계를 안내합니다.

이번 포스팅에서는 WordPress에 내장된 보안 기능을 살펴보겠습니다. 그런 다음 사이트를 더욱 안전하게 보호하기 위해 할 수 있는 30가지 방법을 알려드리겠습니다.

WordPress에서는 내장된 보안 기능을 제공하나요?

예, WordPress에서는 몇 가지 보안 조치를 제공합니다. 귀하의 관리 대시보드는 사용자가 유효한 사용자 이름과 비밀번호를 입력해야 하는 로그인 페이지로 보호됩니다.

워드프레스 로그인 화면

CMS는 또한 보안 취약점을 제거하기 위해 정기적인 패치와 업데이트를 받습니다. 일반적으로 WordPress와 해당 구성 요소를 최신 상태로 유지하면 가장 일반적인 취약점에서 벗어날 수 있습니다.

그렇긴 하지만 고려해야 할 인간적 요소도 있습니다. 많은 경우 WordPress 사이트는 로그인 자격 증명 공유 또는 재사용과 같은 사람의 실수로 인해 해킹됩니다. 공격자가 높은 수준의 권한을 가진 계정에 액세스할 경우 웹 사이트에 큰 피해를 입힐 수 있습니다.

CMS는 매우 인기 있는 플랫폼이기 때문에 공격자는 알려진 취약점이 있는 WordPress 사이트를 찾기 위해 웹을 검색합니다. 사이트가 더 많이 성장할수록 더 큰 목표가 될 것입니다.

WordPress 사이트를 보호하는 가장 쉬운 방법은 무엇입니까?

WordPress 웹사이트를 보호하려면 사이트 구성을 변경하고 공격자가 침입하기 어렵게 만드는 여러 기능을 추가해야 합니다. WordPress 보안 체크리스트 전체를 따를 시간이 없다면 가장 좋은 방법은 보안을 설치하는 것입니다. 플러그인.

Jetpack Security는 자동 맬웨어 검사 및 제거, 스팸 방지, 실시간 백업과 같은 여러 보안 기능에 대한 액세스를 제공합니다.

제트팩 보안 홈페이지

단일 플러그인으로는 웹사이트가 직면할 수 있는 모든 잠재적 위협으로부터 웹사이트를 보호할 수 없다는 점을 기억하는 것이 중요합니다. 따라서 데이터 보호와 노력을 진지하게 생각한다면 사이트를 더욱 안전하게 보호하고 싶을 것입니다.

예를 들어, 강력한 비밀번호를 적용하고 2단계 인증(2FA)을 활성화할 수 있습니다. 체크리스트에서 이러한 보안 조치(및 기타 여러 조치)를 자세히 살펴보겠습니다.

30단계 WordPress 보안 체크리스트

이러한 모든 보안 조치를 한 번에 수행할 필요는 없다는 점을 기억하십시오. 체크리스트의 모든 항목을 지우는 데 시간이 걸릴 수 있지만 대부분은 한 번만 구현하면 되는 수정 사항입니다.

여기 사이트 보안을 강화할 수 있는 30가지 방법이 있습니다.

1. WordPress를 최신 상태로 유지하세요

오래된 WordPress 설치는 아마도 보안 위반의 가장 큰 원인일 것입니다. 많은 사용자가 사이트의 플러그인 및 테마와 함께 WordPress를 업데이트하는 것을 잊어버립니다. 오래된 소프트웨어가 공격자들의 주요 표적이 되는 경향이 있기 때문에 이는 심각한 문제입니다.

소프트웨어가 오래될수록 공격자가 코드를 분석하고 보안 허점을 찾는 데 더 많은 시간을 투자해야 합니다. 개발자는 이러한 위협을 모니터링하고 나타나는 대로 수정합니다. 따라서 업데이트가 출시되자마자 업데이트를 실행하는 것이 좋습니다.

다행히 WordPress를 사용하면 업데이트를 쉽게 확인할 수 있습니다. 대시보드에서 업데이트 로 이동하세요. 탭을 클릭하면 사용 가능한 모든 항목에 대한 개요가 표시됩니다.

WordPress 업데이트 화면

실행할 업데이트가 많은 경우 진행하기 전에 WordPress 웹사이트를 백업하는 것이 중요합니다. 이는 플러그인 및 테마와의 호환성 문제를 일으킬 수 있으므로 최신 WordPress 버전으로 업데이트할 때 특히 중요합니다.

매일 업데이트 페이지를 확인하고 싶을 것입니다. 또는 플러그인과 테마에 대한 자동 업데이트를 활성화할 수 있습니다.

WordPress에서 자동 업데이트 켜기

이렇게 하면 사이트에서 업데이트를 확인하는 것을 잊어버린 경우 자동으로 실행됩니다.

2. 강력한 사용자 이름과 비밀번호를 만드세요

귀하의 웹사이트는 귀하가 액세스하는 데 사용하는 자격 증명만큼만 안전합니다. 새 계정을 만들 때 취약한 비밀번호를 설정하면 WordPress 자체에서 이를 알려줍니다.

WordPress의 강력한 비밀번호 알림

"취약한" 비밀번호는 추측하기 쉬운 비밀번호입니다. 귀하의 자격 증명이 "관리자" 및 "1234"와 같은 것이라면 귀하의 사이트는 무차별 대입 공격의 희생양이 될 가능성이 높습니다.

이상적으로 비밀번호는 8자 이상이어야 하며 문자, 숫자, 특수 문자를 조합해야 합니다. WordPress 사이트에 여러 사용자가 있는 경우 강력한 자격 증명을 사용하고 몇 달에 한 번씩 비밀번호를 변경하도록 상기시켜 줄 수 있습니다.

3. 2FA로 추가 보호 계층 추가

이중 인증은 사이트에 로그인할 때 두 번째 인증 계층을 사용해야 하는 보안 조치입니다. 예를 들어, 일부 웹사이트에서는 이메일이나 SMS를 통해 전송된 일회성 코드 입력을 요구할 수 있습니다.

2FA의 목표는 공격자가 귀하의 자격 증명을 추측하는 것을 거의 불가능하게 만드는 것입니다. 다른 장치나 계정에 액세스하지 않으면 WordPress에 로그인할 수 없습니다.

기본적으로 WordPress에는 2FA 기능이 포함되어 있지 않으므로 사이트에 이 기능을 추가하려면 Jetpack과 같은 플러그인을 사용해야 합니다. Jetpack을 사용하면 WordPress.com 계정에 작동하는 2FA(보안 인증이라고 함)를 추가할 수 있습니다.

WordPress.com에서 2FA 켜기

4. 신뢰할 수 있는 보안 플러그인 설치

강력한 WordPress 보안 플러그인은 이 WordPress 보안 체크리스트의 여러 항목을 지우는 데 도움이 됩니다. 이상적으로는 다음 기능을 제공하는 단일 도구를 선택합니다.

악성 코드 검사

귀하의 웹사이트가 감염되면 가능한 한 빨리 알리고 싶을 것입니다. 정기적인 맬웨어 검사를 통해 웹사이트의 일부가 위험에 처해 있는지 알려줍니다.

악성 코드 제거 도구

보안 플러그인이 맬웨어를 식별하면 이를 제거하는 데 도움이 필요할 것입니다. 감염된 WordPress 사이트 부분에 따라 파일을 삭제하거나 교체하는 작업이 포함될 수 있습니다.

백업

WordPress용 독립 실행형 백업 솔루션과 플러그인이 많이 있습니다. 일부 올인원 보안 도구에는 자동 백업이 포함되어 있으므로 추가 플러그인을 설치할 필요가 없습니다.

보안 로그

이상적으로는 웹사이트에서 일어나는 모든 일을 알고 싶을 것입니다. 보안 로그는 WordPress의 이벤트를 기록하고 이를 검색하여 의심스러운 활동을 찾을 수 있도록 해줍니다.

2FA 구현

앞서 논의한 것처럼 2FA는 도난당한 자격 증명으로 인한 보안 침해 위험을 최소화하는 데 도움이 되는 중요한 도구입니다.

Jetpack Security에는 이러한 모든 기능이 포함되어 있으므로 하나의 도구로 이 보안 체크리스트의 여러 단계를 수행할 수 있습니다.

5. 웹 애플리케이션 방화벽(WAF)을 사용하세요

WAF는 트래픽을 필터링하고 모니터링하여 WordPress 사이트를 포함한 애플리케이션과 웹사이트를 공격으로부터 보호하는 데 도움이 되는 보안 솔루션입니다. 소프트웨어에 따라 미리 설정된 규칙이나 알려진 공격자의 데이터베이스를 사용하여 악성 트래픽을 식별할 수 있어야 합니다.

많은 웹 호스트가 고객을 위해 자동으로 방화벽을 설정합니다. Jetpack Security를 ​​사용하여 WordPress 웹사이트에 WAF를 추가할 수도 있습니다.

Jetpack의 WAF 설정 켜기

Jetpack Security를 ​​사용하면 미리 설정된 규칙을 사용하고 특정 IP 주소를 차단하도록 WAF를 구성할 수 있습니다. 또한 알려진 위협에 대한 데이터베이스를 확장하여 WAF를 더욱 효과적으로 만드는 데 도움이 되는 활동 데이터를 Jetpack과 공유할 수도 있습니다.

6. 정기적으로 WordPress에서 악성 코드 및 취약점을 검사하세요.

웹사이트에서 맬웨어 및 취약점을 검색하려면 모든 파일을 검토하여 무단 수정이나 악성 코드가 있는지 확인해야 합니다. 프로세스가 어려워 보일 수 있지만 이를 수행할 수 있는 도구가 있습니다.

Jetpack Security는 WPScan(알려진 WordPress 취약점에 대한 가장 큰 데이터베이스)을 사용하여 웹 사이트를 검사합니다.

WordPress의 악성 코드 검사 결과

WordPress 플러그인이 맬웨어나 취약점을 발견하면 즉시 사용자에게 알리고 영향을 받은 파일을 제거하거나 복구하는 데 도움을 줄 수도 있습니다. 이는 삭제할 파일을 결정하고 복구 방법을 알아내야 하는 수동 접근 방식보다 훨씬 간단합니다.

7. 정기적으로 또는 실시간으로 사이트를 백업하세요.

백업은 웹사이트 보안의 중요한 구성 요소입니다. 귀하의 사이트에 어떤 일이 발생하더라도 이를 통해 신속하게 다시 시작하고 실행할 수 있습니다.

백업을 위해 호스팅 제공업체에 의존하는 것은 안전한 옵션이 아닙니다. 서버가 손상되면 WordPress 사이트와 백업이 모두 쓸모없게 될 수 있기 때문입니다.

대신, 연중무휴 24시간 보호를 보장하고 사이트가 완전히 다운된 경우에도 즉시 복원할 수 있는 실시간 오프사이트 백업 솔루션이 필요합니다.

Jetpack VaultPress Backup은 이를 수행하여 변경할 때마다 사이트를 저장합니다.

Jetpack VaultPress Backup의 최신 백업 정보

플러그인은 서버 혼잡을 방지하기 위해 이러한 백업을 클라우드에 저장합니다. 증분 백업과 차등 백업의 조합을 사용하므로 변경 사항이 있을 때마다 전체 사이트와 데이터베이스를 복사할 필요가 없으므로 프로세스가 훨씬 더 효율적입니다.

웹사이트 변경 외에도 Jetpack VaultPress Backup은 새로운 의견, 주문 및 기타 사용자 작업을 저장합니다. WordPress 사이트를 이전 버전으로 되돌려야 하는 경우에도 주문을 저장하므로 WooCommerce 매장을 위한 최고의 백업 도구입니다.

8. 백업을 별도의 서버에 저장

위에서 언급했듯이 단순히 백업을 수행하는 것만으로는 충분하지 않습니다. 하나의 데이터 센터에서 디지털 보안 위반이나 물리적 재해가 발생하는 경우에도 사이트 파일에 계속 액세스하고 복원할 수 있도록 여러 안전한 오프사이트 위치에 파일을 저장해야 합니다. 이는 호스트의 백업에만 의존할 수 없는 것과 같은 이유입니다. 사이트와 백업이 동시에 손상될 수 있습니다.

Jetpack VaultPress Backup의 복원 옵션

VaultPress Backup을 사용하는 경우 이 모든 것이 자동으로 처리됩니다. 백업은 클라우드의 여러 위치에 저장되며 사이트가 다운된 경우에도 항상 액세스할 수 있습니다.

9. 사용자 활동을 추적하세요

사이트의 활동 로그에 액세스할 수 있으면 누군가 로그인을 여러 번 시도했지만 실패했는지, WordPress 파일이 수정되었는지, 누군가 새 플러그인을 설치했는지 등을 확인할 수 있습니다.

Jetpack의 활동 로그

로그를 보안 기록과 기술적으로 동일하다고 생각하세요. 이 기능을 사용할 필요가 없기를 바라지만 널리 사용되는 보안 기능인 데에는 이유가 있습니다. WordPress에서는 기본적으로 이 기능을 제공하지 않으므로 해당 기능을 제공하는 플러그인을 찾아야 합니다.

Jetpack Security를 ​​사용하면 웹사이트에서 일어나는 모든 일을 모니터링할 수 있습니다. 날짜와 시간을 포함하여 누가 무엇을 하는지 기록하는 활동 로그를 유지합니다. 보안 문제가 발생한 경우 이 로그를 확인하여 원인을 확인할 수 있습니다.

WordPress의 활동 로그

또한 VaultPress 백업 기능과 통합되어 활동 로그에서 찾은 내용을 기반으로 특정 순간으로 사이트를 복원할 수 있습니다.

10. 사용자 액세스 및 권한 제어

시스템을 안전하게 유지하는 가장 간단한 방법 중 하나는 시스템에 액세스할 수 있는 사람을 제한하는 것입니다. 귀하가 귀하의 사이트에서 작업하는 유일한 사람이라면 다른 누구도 귀하의 WordPress 로그인 정보를 알 수 없습니다.

팀과 함께 작업할 때 WordPress 사용자 역할 시스템을 최대한 활용하는 것이 중요합니다. CMS는 사용자에게 부여하려는 권한에 따라 사용자에게 할당할 수 있는 여러 역할을 제공합니다.

사용자 역할 드롭다운 목록

가장 높은 역할은 관리자이며 모든 WordPress 기능 및 설정에 대한 전체 액세스 권한을 가진 유일한 사용자입니다. 작성자와 같은 다른 WordPress 사용자는 자신의 콘텐츠만 게시할 수 있으며 사이트 구성을 변경하거나 설정에 액세스할 수도 없습니다.

각 사용자에게 할당할 역할을 고려할 때 작업을 수행하는 데 필요한 권한에 대해 생각해 보세요. 어떠한 경우에도 사용자가 필요한 것보다 더 많은 권한을 가져서는 안 됩니다. 이러한 제한은 귀하의 사이트를 더 안전하게 유지합니다.

11. 허용되는 로그인 시도 횟수를 제한하세요.

반복적인 로그인 시도는 누군가가 자신의 자격 증명을 잊어버렸다는 신호일 수 있습니다. 그러나 시도 횟수가 소수 이상이면 아마도 귀하의 웹 사이트에 침입하려는 누군가를 상대하고 있는 것일 수 있습니다.

자동화된 무차별 대입 공격을 중지하려면 특정 기간 내에 허용되는 로그인 시도를 제한해야 합니다. 다시 한 번 Jetpack을 사용하여 이 보안 조치를 구현할 수 있습니다.

사이트에서 차단된 공격 수

플러그인은 일반 자격 증명을 사용하여 웹 사이트에 침입하려는 공격자를 차단할 수 있습니다. 특정 IP 주소를 허용 목록에 추가하여 해당 사용자만 WordPress에 로그인할 수 있도록 구성할 수도 있습니다.

12. CDN을 사용하여 DDoS 공격으로부터 보호하세요.

CDN(콘텐츠 전송 네트워크)은 전 세계 여러 위치에 있는 서버에 웹 사이트 사본을 저장하는 데이터 시스템으로, 누군가가 멀리 떨어진 국가에서 호스팅되는 사이트를 방문하려고 할 때 발생할 수 있는 대기 시간을 줄여줍니다. 누군가 귀하의 WordPress 사이트를 방문하려고 시도하면 CDN은 근처 서버의 요청에 자동으로 응답합니다.

CDN은 서버의 로드를 줄이고, 더 많은 트래픽을 처리하고, 로딩 시간을 단축 하고 , DDoS(분산 서비스 거부) 공격으로부터 보호할 수 있습니다. 공격은 서버에 직접적으로 영향을 미치지 않으므로 봇 트래픽이 넘쳐도 서버에 큰 영향을 미치지 않습니다.

Jetpack 사이트 가속기 CDN을 켜는 옵션

Jetpack Security를 ​​사용하는 경우 더 빠른 로딩 시간을 위해 미디어 파일을 캐시하는 데 도움이 되는 이미지 CDN에 액세스할 수 있습니다. 또한 자동으로 이미지 크기를 조정하고 각 방문자의 개별 장치에 따라 최상의 옵션을 제공합니다. 또한 다른 CDN을 WordPress와 통합하여 로딩 시간을 더욱 줄이고 갑작스러운 트래픽 증가로부터 사이트를 보호할 수도 있습니다.

13. SSL 인증서 설치

SSL(Secure Sockets Layer) 인증서는 귀하의 웹사이트를 신뢰할 수 있다는 신호입니다. 또한 웹사이트로 들어오고 나가는 데이터를 암호화하는 HTTPS를 통해 사이트를 로드할 수도 있습니다.

대부분의 브라우저는 웹사이트에 SSL 인증서가 있음을 탐색 표시줄에 간단한 자물쇠 아이콘으로 표시합니다.

Jetpack 사이트의 SSL 인증서

요즘 대부분의 평판이 좋은 웹 호스트는 사용자를 위한 무료 SSL 인증서와 자동 설정을 제공합니다. 웹 호스트가 이를 수행하지 않는 경우 Let's Encrypt와 같은 소스에서 무료 인증서를 얻을 수 있습니다.

인증서가 준비되면 인증서를 설치한 다음 HTTPS를 활성화해야 합니다. WordPress를 HTTPS를 통해 강제로 로드하는 방법에는 여러 가지가 있습니다. 매우 간단함 SSL을 사용하면 간단한 클릭만으로 이 작업을 수행할 수 있습니다.

귀하의 사이트를 보호해 드립니다. 당신은 사업을 운영합니다.

Jetpack Security는 실시간 백업, 웹 애플리케이션 방화벽, 맬웨어 검사, 스팸 방지 등 사용하기 쉽고 포괄적인 WordPress 사이트 보안을 제공합니다.

사이트 보안

14. 파일을 전송할 때 FTP보다 SFTP를 선호하세요

FTP(파일 전송 프로토콜)를 사용하면 웹사이트에 연결하여 파일을 직접 업로드, 다운로드 및 수정할 수 있습니다. 프로토콜은 웹 호스트가 제공해야 하는 다른 자격 증명 세트를 사용합니다.

Pressable 호스팅 환경에서 SFTP 세부 정보 찾기

일부 호스트는 SFTP라는 프로토콜의 업데이트되고 안전한 버전을 사용합니다. 최신 FTP 클라이언트는 두 프로토콜을 모두 지원하며 동일하게 작동합니다. 주요 차이점은 SFTP가 서버에서 보내고 받는 데이터를 암호화한다는 것입니다(HTTPS와 유사).

웹 호스트에서 FTP와 SFTP를 모두 사용할 수 있는 경우 기본값은 SFTP입니다. 웹 호스트가 FTP만 지원하는 경우 더 나은 보안 기능을 제공하는 공급자로 전환하는 것이 좋습니다.

15. PHP 버전을 최신 상태로 유지하세요

WordPress는 PHP를 기반으로 구축되었으며 사용하는 버전은 사이트 속도에 중요한 역할을 합니다. 최신 버전의 PHP에는 웹 사이트를 더 빠르게 실행하고 악용을 방지할 수 있는 보안 수정 사항이 포함되어 있습니다.

사이트 상태 → 정보 로 이동하여 서버가 사용하는 PHP 버전을 확인할 수 있습니다. 그리고 서버를 열면 탭.

WordPress 대시보드에서 서버 정보 찾기

해당 정보를 최신 PHP 릴리스와 비교하고 웹 호스트가 최신 버전을 사용하고 있는지 확인하세요. 일부 웹 호스트에서는 PHP 버전 간에 전환할 수 있습니다. 그렇지 않은 경우 새로운 WordPress 호스트로 전환하는 것을 고려해야 할 때입니다.

16. 비활성 WordPress 테마 및 플러그인 삭제

더 이상 사용하지 않는 플러그인이나 WordPress 테마를 비활성화하고 삭제하는 것이 좋은 경험 법칙입니다. 이렇게 하면 호환성 문제나 취약점이 발생할 가능성이 줄어들 수 있습니다.

비활성 테마와 플러그인을 삭제하면 웹사이트가 더욱 안전하고 체계적으로 유지됩니다. 정기적으로 활성 플러그인을 검토하고 더 이상 사용하지 않는 플러그인을 기록해 두는 것이 좋습니다.

17. 새로운 플러그인과 테마를 신중하게 평가하세요

웹 사이트에 플러그인이나 테마를 설치하기 전에 평판이 좋은 개발자가 제공하고 좋은 실적을 가지고 있는지 확인하는 것이 중요합니다. 평점과 리뷰를 확인하여 이를 수행할 수 있습니다.

Twenty Twenty-Three 테마에 대한 리뷰가 있습니다.

WordPress 테마도 마찬가지입니다. 대부분의 플러그인 및 테마 저장소에는 업데이트 기록이 표시됩니다. 평판이 좋은 플러그인이나 테마에는 정기적인 업데이트가 있습니다. 이는 개발자가 적극적으로 작업하고 있음을 의미합니다.

더 이상 업데이트를 받지 않는 WordPress 플러그인과 테마를 피하고 싶습니다. 아무리 유용하더라도 코드가 오래되었기 때문에 웹사이트에 취약점이 발생할 수 있습니다.

18. 보안 호스팅 제공업체에 투자하세요

모든 호스팅 제공업체가 동일한 수준의 서비스, 성능 및 기능을 제공하는 것은 아닙니다. 일부는 다른 것보다 낫습니다. 그렇다고 해서 반드시 더 비싸다는 의미는 아닙니다.

강력하고 안전한 WordPress 호스팅 제공업체를 선택하는 것은 일반적으로 오랜 기간 동안 해당 제공업체에 묶여 있기 때문에 중요한 결정입니다. 서비스를 이용하기 전에 가능한 한 많은 리뷰를 읽고 조사를 수행하는 것이 중요합니다.

추천 WordPress 호스트 목록

도움이 필요하면 Jetpack 권장 호스트 목록을 확인하세요. 이 중 일부에는 관리형 WordPress 호스팅 서비스의 일부로 주요 Jetpack 기능이 포함되어 있습니다.

19. 기본 관리자 변경 사용자 이름

WordPress를 설정하면 기본적으로 관리자 사용자 이름이 생성됩니다. 이렇게 하면 자격 증명을 쉽게 기억할 수 있을 뿐만 아니라 공격자가 세부 정보를 추측하기도 쉽습니다.

WordPress 관리자 계정이 이미 설정된 경우 기본 관리자 사용자 이름을 변경하는 두 가지 옵션이 있습니다.

  1. 새 관리자 계정을 만듭니다. 원하는 사용자 이름으로 새 관리자 계정을 만든 다음 해당 계정으로 전환할 수 있습니다. 그런 다음 이전 계정을 삭제하고 새 계정을 계속 사용할 수 있습니다.
  2. phpMyAdmin을 사용하여 사용자 이름을 변경하십시오. 기존 계정을 유지하려면 데이터베이스를 통해 사용자 이름을 수정할 수 있습니다.

특히 관리자 계정의 경우 사용자 이름을 쉽게 추측할 수 없습니다. 누군가가 여기에 액세스하면 웹사이트를 원하는 대로 변경할 수 있습니다.

20. 기본 데이터베이스 접두사 변경

WordPress의 기본 데이터베이스 접두사는 wp_ 입니다. 즉, 공격자가 데이터베이스의 이름을 알고 있으면 접두사를 추측하고 해당 정보를 사용하여 쿼리를 시도할 수도 있습니다.

기본 데이터베이스 접두사를 wp_ 이외의 것으로 변경하면 이러한 위험을 최소화할 수 있습니다. 이는 2단계 프로세스입니다. 첫 번째 단계는 wp-config.php 파일에서 데이터베이스 접두사를 변경하는 것입니다. 이 파일에는 다음과 같은 줄이 있어야 합니다.

 $table_prefix = 'wp_';

wp-config.php를 변경한 후에는 데이터베이스의 테이블을 새 접두어로 업데이트해야 합니다. phpMyAdmin을 사용하고 다음과 유사한 여러 쿼리를 실행하여 이 작업을 수행할 수 있습니다.

 RENAME table `wp_options` TO `wp_a1b2c3d4_options`;

해당 쿼리 구조를 사용하고 "TO" 뒤에 오는 내용을 변경할 수 있습니다. 업데이트된 접두사와 테이블 이름을 일치시킵니다. 데이터베이스의 각 테이블에 대해 해당 쿼리를 실행해야 하며 실행하기 전까지는 사이트가 제대로 작동하지 않는다는 점을 명심하세요.

21. 기본 /wp-admin/wp-login.php URL 변경

/wp-admin/wp-login.php URL을 사용하면 WordPress의 대시보드 및 로그인 페이지에 액세스할 수 있습니다. 이러한 URL은 기억하기 쉽지만 사이트를 더욱 취약하게 만듭니다. 누군가 귀하의 웹사이트에 침입하려는 경우 기본 WordPress 로그인 URL로 시작하는 경우가 많습니다.

기본 URL을 변경하면 공격자의 삶이 더 어려워질 수 있습니다. WPS Hide Login과 같이 이를 수행할 수 있는 플러그인이 있습니다. 또는 수동 접근 방식을 선호하는 경우 .htaccess 파일을 통해 로그인 URL을 변경할 수 있습니다.

22. 승인된 IP 주소로만 wp-admin 액세스를 제한하세요.

/wp-admin URL은 WordPress에서 대시보드를 엽니다. 기술적으로 올바른 자격 증명 없이는 누구도 대시보드에 액세스할 수 없어야 합니다. 허용 목록에 있는 IP로만 액세스를 제한하여 보안을 한 단계 더 높일 수 있습니다.

이는 WordPress에서 제공하는 기능이 아닙니다. 이를 구현하려면 .htaccess 파일에 다음 코드를 추가해야 합니다.

 <Directory /root/wp-admin/> Order Deny,Allow Deny from all Allow from xxx.xxx.xxx.xxx </Directory>

xxx.xxx.xxx.xxx는 허용 목록에 추가하려는 IP 주소를 나타냅니다. 해당 줄을 복사하고 다른 주소를 입력하여 여러 IP를 추가할 수 있습니다.

또한 디렉터리 경로를 수정하여 서버의 루트 디렉터리 위치와 일치해야 합니다. 파일을 저장한 후 목록에 없는 IP 주소가 대시보드에 액세스하려고 하면 오류가 표시됩니다.

23. 승인된 IP 주소로만 FTP 액세스를 제한하세요.

해당 자격 증명에 액세스할 수 있는 사람을 제한하여 웹 사이트에 대한 FTP/SFTP 액세스를 제한할 수 있습니다. 일부 호스팅 제어판에서는 IP 주소로 FTP 액세스를 제한할 수도 있습니다.

이는 고정 IP 주소가 있는 경우에 이상적입니다. 올바른 자격 증명이 있어도 다른 사람이 FTP를 통해 웹 사이트에 연결하고 해당 파일에 액세스하는 것을 방지하기 때문입니다. 고정 IP가 없으면 이 설정으로 인해 사이트에 대한 액세스도 제한될 수 있습니다.

선택된 소수의 사람들만 FTP를 사용하여 웹사이트에 연결할 수 있어야 한다는 점을 명심하세요. 다른 사람과 함께 작업하고 핵심 파일에 직접 액세스하거나 편집할 이유가 없는 경우 FTP 자격 증명에 액세스할 수 없어야 합니다.

24. wp-config.php 파일을 보호하세요

wp-config.php 파일에는 데이터베이스에 대한 세부 정보를 포함하여 웹 사이트에 대한 중요한 정보가 포함되어 있습니다. 기본적으로 파일은 WordPress 루트 디렉터리에 있습니다.

파일을 보호하는 가장 쉬운 방법은 파일을 루트 디렉터리 외부로 직접 이동하는 것입니다. WordPress가 일반적으로 있는 위치에서 wp-config.php를 찾을 수 없으면 일반 위치 위의 한 디렉터리에서 해당 파일을 찾습니다.

또 다른 옵션은 관리자(즉, 귀하) 이외의 모든 사람의 액세스를 제한하도록 파일 권한을 구성하는 것입니다. 이렇게 하려면 UNIX 기반 시스템에서 파일 권한이 작동하는 방식을 이해하고 SFTP를 사용하여 파일 구성을 변경해야 합니다.

25. 악의적인 변경을 차단하기 위해 파일 편집을 비활성화합니다.

관리자만이 WordPress 핵심 파일에 액세스하고 수정할 수 있는 권한을 가지고 있어야 합니다. 일반적으로 대시보드에서 파일 편집 기능에 액세스할 수 있습니다. 즉, WordPress 관리자를 떠나지 않고도 코어, 플러그인 및 테마 파일을 직접 편집할 수 있습니다.

사용자가 보유한 권한 수준에 따라 파일 편집기에 액세스할 수 있습니다. 이를 방지하는 가장 좋은 방법은 파일 편집을 완전히 비활성화하는 것입니다.

이 안전 조치를 구현하려면 wp-config.php 파일을 열고 끝 앞에 다음 코드 줄을 추가하세요.

 define('DISALLOW_FILE_EDIT', true);

파일의 변경 사항을 저장하고 닫습니다. 파일을 편집할 수는 있지만 이를 위해서는 SFTP를 사용해야 합니다. 이는 WordPress 파일 편집기를 사용하는 것보다 더 좋고 안전한 옵션입니다.

26. PHP 파일 실행 비활성화

WordPress 웹사이트의 특정 디렉터리에서 PHP 파일 실행을 비활성화하는 것은 악성 스크립트가 실행되는 것을 방지하는 데 도움이 되는 보안 조치입니다. 공격자가 웹 사이트에 PHP 스크립트를 업로드하면 이를 실행하여 무단 액세스 권한을 얻거나 데이터를 조작하거나 맬웨어를 배포할 수 있습니다.

FTP를 통해 WordPress에 연결하고 루트 폴더로 이동하여 특정 디렉터리에서 PHP 파일 실행을 비활성화할 수 있습니다. 내부에서는 보호하려는 디렉토리를 선택하고 각 디렉토리 안에 새로운 .htaccess 파일을 생성할 수 있습니다.

해당 파일에 추가해야 하는 코드는 다음과 같습니다.

 <Files *.php> Order Allow,Deny Deny from all </Files>

루트 디렉터리 수준에서 PHP 실행을 비활성화하면 WordPress의 기능에 영향을 미칠 수 있습니다. 결국 전체 CMS는 PHP 위에 구축됩니다. 즉, 미디어 파일 디렉터리와 같은 개별 폴더에 대해서는 비활성화하는 것이 좋습니다.

27. PHP 오류 보고 끄기

오류를 공개적으로 표시하면 WordPress 웹 사이트의 잠재적인 취약점이 공격자에게 노출될 수 있습니다. PHP 오류 메시지에는 파일 경로, 데이터베이스 구조 세부 정보 또는 웹 사이트를 악용하는 데 사용할 수 있는 기타 데이터와 같은 민감한 정보가 포함될 수 있습니다.

WordPress에서는 wp-config.php 파일을 변경하여 PHP 오류 보고를 비활성화할 수 있습니다. 파일에 다음 코드를 추가하여 WordPress 디버그 모드를 비활성화하고 프런트 엔드에서 오류를 숨길 수 있습니다.

 // Turn off all error reporting error_reporting(0); // Disable display of errors and warnings define('WP_DEBUG', false); define('WP_DEBUG_DISPLAY', false); // Hide errors from being displayed in the browser @ini_set('display_errors', 0);

wp-config.php 파일이 끝나기 전에 해당 코드를 추가하고 저장하기 전에 WordPress 사이트의 최신 백업이 있는지 확인하세요. 오류 보고는 때때로 문제 해결에 유용할 수 있으므로 어느 시점에서 이 기능을 다시 활성화해야 할 수도 있습니다.

28. 웹사이트에서 디렉토리 검색을 비활성화하세요.

디렉토리 검색은 방문자가 yourwebsite.com/wp-content 와 같은 URL에 액세스하고 해당 디렉토리의 콘텐츠를 볼 수 있도록 하는 기능입니다. 디렉터리 검색이 활성화된 경우 사용자는 내부 폴더 및 파일 목록을 볼 수 있으며 권한에 따라 액세스할 수도 있습니다.

보안 관점에서 볼 때 디렉터리 검색을 비활성화하는 것이 합리적입니다. 많은 WordPress 웹 호스트가 기본적으로 이 작업을 수행합니다. 그렇지 않은 경우 .htaccess 파일에 다음 코드를 추가하여 디렉터리 검색을 비활성화할 수 있습니다.

 Options -Indexes

이는 간단한 변경이므로 구현하는 데 오랜 시간이 걸리지 않습니다. 나중에 사용자가 디렉터리를 방문하려고 하면 대신 간단한 오류 메시지가 표시됩니다.

29. WordPress 버전 숨기기

기본적으로 현재 사용 중인 WordPress 버전이 소스 코드에 나열되어 있습니다. 누군가가 귀하가 사용하고 있는 WordPress의 버전을 알고 있다면(그리고 오래된 버전인 경우) 해당 버전에 대한 특정 취약점을 조사하여 귀하의 웹 사이트를 더 쉽게 침해할 수 있습니다.

WordPress 버전을 숨기려면 다음 코드를 function.php 파일에 추가하세요.

 function remove_version_info() { return ''; } add_filter('the_generator', 'remove_version_info');

30. 스팸 방지를 위해 CAPTCHA를 사용하지 마세요.

CAPTCHA는 스팸으로부터 웹사이트와 양식을 보호하는 데 적합한 솔루션이지만 문제가 없는 것은 아닙니다.

웹사이트에서 CAPTCHA를 사용하면 합법적인 방문자를 짜증나게 하고 거부할 수 있으며 심지어 해결이 불가능할 수도 있는 복잡한 문제가 추가됩니다. 특히 장애가 있는 사용자의 경우 더욱 그렇습니다.

최근 공격 벡터의 발전으로 인해 CAPTCHA의 효율성도 떨어졌습니다. 스팸(보안 침해로 이어질 수 있음) 방지에 관심이 있지만 최적의 사용자 경험을 통해 전환율을 극대화하고 싶다면 이제 대안을 고려해야 할 때입니다.

아키스멧 홈페이지

Akismet은 백그라운드에서 완벽하게 작동하는 WordPress용 올인원 스팸 방지 솔루션입니다. WordPress 플러그인은 알려진 악의적 행위자의 데이터베이스를 사용하고 사이트 댓글에서 특정 단어와 URL을 식별하고 차단함으로써 스팸을 차단하는 데 도움이 됩니다. 방문자가 사람인지 확인하기 위해 CAPTCHA를 사용할 필요 없이 이 모든 작업이 자동으로 수행됩니다.

WordPress 보안에 대해 자주 묻는 질문

WordPress 웹사이트를 보호하는 방법에 대해 여전히 질문이 있는 경우 이 섹션에서 답변해 드립니다.

WordPress 보안 체크리스트를 사용하면 어떤 이점이 있나요?

WordPress 보안 체크리스트에 액세스하면 사이트를 보호하기 위해 어떤 조치를 취했고 앞으로 해야 할 일이 무엇인지 판단하는 데 도움이 됩니다. 체크리스트는 WordPress에서 구현할 수 있는 보안 조치를 확인하기 위해 언제든지 참조할 수 있는 간단한 리소스입니다.

WordPress 보안을 강화하는 가장 빠른 방법은 무엇입니까?

WordPress 웹사이트를 보호하는 가장 빠른 방법은 WordPress 보안 플러그인을 사용하는 것입니다. 사용하는 플러그인에 따라 2FA, 활동 로그, 백업 도구, 맬웨어 검사와 같은 기능에 액세스할 수 있습니다. Jetpack Security에는 이러한 모든 기능이 포함되어 있습니다.

내 WordPress 사이트에서 맬웨어 및 취약점을 어떻게 검사할 수 있나요?

Jetpack Security와 같은 플러그인을 사용하여 WordPress 사이트에서 악성 코드를 검사할 수 있습니다. 이 도구는 또한 웹사이트의 잠재적인 취약점을 강조 표시합니다. 그런 다음 이러한 문제를 제거하는 데 필요한 조치를 취할 수 있습니다.

포괄적인 WordPress 보안 플러그인이 필요하지 않은 경우 Jetpack Protect와 같은 독립형 WordPress 플러그인을 통해 맬웨어 검사를 받을 수도 있습니다.

WordPress 저장소의 Jetpack Protect 페이지

내 WordPress 사이트를 백업하고 복원하는 가장 안정적인 방법은 무엇입니까?

가장 좋은 옵션은 자동화된 솔루션을 사용하는 것이므로 수동으로 백업을 생성할 필요가 없습니다. 또한 플러그인은 서버가 손상된 경우 문제를 방지하기 위해 오프사이트 저장소 솔루션에 복사본을 저장해야 합니다.

Jetpack VaultPress Backup 플러그인은 실시간 백업을 제공합니다. 또한 클라우드에 WordPress 사이트의 안전한 복사본을 만듭니다. Jetpack Security의 일부로 다른 다양한 기능과 함께 VaultPress Backup에 액세스할 수도 있습니다.

Jetpack Security: 최고의 WordPress용 보안 플러그인

Jetpack Security는 WordPress 웹사이트를 보호하는 보안 기능 모음을 제공합니다. 이 플러그인을 사용하면 WordPress 보안 체크리스트에서 여러 항목을 지울 수 있습니다.

예를 들어, 백업 솔루션, 맬웨어 검사 및 원클릭 제거, 스팸 방지, 활동 로그, 2단계 인증 등에 액세스할 수 있습니다. 따라서 Jetpack은 WordPress에 사용할 수 있는 가장 포괄적인 보안 도구 중 하나입니다.

사이트 보안을 강화할 준비가 되셨나요? 지금 Jetpack 보안을 시작해 보세요!