최고의 WordPress 보안 체크리스트 [궁극적인 가이드]

게시 됨: 2022-04-22

WordPress 사이트의 보안을 유지하려면 온라인에서 많은 조언을 찾을 수 있습니다. 그 중 일부는 좋은 것도 있고 의미는 있지만 완전히 해로운 것도 있습니다.

WordPress 보안과 관련하여 출처를 신뢰할 수 있을 뿐만 아니라 신뢰할 수 있을 뿐만 아니라 실행 가능하고 적용 가능한 정보를 찾을 수 있어야 합니다. 2020년 한 해에만 맬웨어 공격이 150% 이상 증가했으며 그 수는 단기간에 줄어들 기미가 보이지 않습니다. 따라서 WordPress 사이트를 보호하는 것이 최우선 순위가 되어야 합니다.

WordPress 사이트를 보호하는 가장 좋은 방법은 보안 플러그인을 설치하고 무거운 작업을 처리하도록 하는 것입니다. 그러나 이것이 없어도 아래에 설명된 WordPress 보안 체크리스트를 따르면 웹사이트를 상당 부분 보호할 수 있습니다.

요약 : MalCare로 WordPress 사이트를 보호하고 정기적인 보안 관련 유지 관리를 피하세요. WordPress 보안은 패치해야 하는 미로와 같은 격차입니다. 중요한 것을 놓치지 않도록 WordPress 보안 체크리스트를 참조하십시오.

내용 숨기기
1 WordPress 사이트를 보호하는 가장 쉬운 방법
2 궁극적인 WordPress 보안 체크리스트
2.1 일상적인 보안을 위해
2.2 월간 보안을 위해
2.3 장기 보안을 위해
2.4 완벽한 보안을 위한 일회성 조치
3 웹사이트 보안이 중요한 이유
4 최종 생각

WordPress 사이트를 보호하는 가장 쉬운 방법

앞서 말했듯이 WordPress 사이트를 보호하는 가장 좋은 방법은 보안 플러그인, 특히 MalCare를 사용하는 것입니다. MalCare는 WordPress 보안 체크리스트를 자동으로 처리할 뿐만 아니라 모든 세부 사항을 추적하는 것에 대해 걱정할 필요 없이 수행합니다.

MalCare에는 사이트를 안전하게 유지하기 위해 함께 작동하는 여러 기능이 있습니다. 그러나 상위 세 가지 기능은 사이트에 맬웨어가 없는 상태로 유지되도록 보장합니다(검색, 방화벽 및 정리). MalCare를 사용하면 WordPress 사이트에서 자동 검사를 예약하고 의심스러운 것이 감지되면 알림을 받을 수 있습니다. MalCare는 또한 대부분의 공격을 차단하는 지능형 방화벽으로 사이트를 보호합니다. 그리고 가장 중요한 것은 사이트가 해킹당할 경우 완벽할 수 있는 사이트가 없다는 점을 감안할 때 MalCare는 버튼을 한 번만 클릭하여 몇 분 안에 사이트를 정리합니다.

MalCare를 선택해야 하는 또 다른 이유는 수동 보안 조치를 사용하면 항상 인적 오류의 가능성이 있기 때문입니다. 그러나 보안 오류로 인해 몇 달러 이상이 발생할 수 있습니다. 해킹이 악화되면 데이터 도난, 웹사이트 손상, 고객 손실, 그리고 가장 중요한 것은 비즈니스에 대한 신뢰 상실로 이어질 수 있습니다.

궁극의 WordPress 보안 체크리스트

WordPress 사이트에는 너무 많은 요소가 있어서 모든 것을 추적하는 것이 압도적일 수 있습니다. 작업을 처리해야 하는 시간 빈도에 따라 WordPress 보안 체크리스트를 작성했습니다.

일상적인 보안을 위해

웹사이트 보안은 지속적인 프로세스이며 일회성 약속이 아닙니다. 그러나 일상적인 작업을 자동화할 수 있는 방법이 있습니다. 이러한 작업을 통해 사이트가 예측하지 못한 문제나 위협으로부터 보호됩니다.

사이트 스캔

매일 사이트에서 맬웨어를 검사하는 것이 중요합니다. 웹 사이트는 인터넷에서 38초마다 해킹되며 귀하의 웹사이트가 그 중 하나일 가능성이 높습니다. 사이트를 정기적으로 검사하면 사이트의 위협이나 맬웨어를 가장 먼저 알게 되고 공격자가 사이트에 피해를 주기 전에 조치를 취하는 데 도움이 됩니다.

해킹된 사이트 스캔

매일 수동으로 사이트를 스캔하는 것이 지루해 보인다면 MalCare와 같은 보안 솔루션을 선택할 수 있습니다. 이 솔루션을 사용하면 매일 자동 스캔을 예약할 수 있으므로 스캔을 놓치거나 개인적으로 실행해야 하는 것에 대해 걱정할 필요가 없습니다. .

웹사이트 백업

WordPress 웹 사이트를 백업해야 하는 몇 가지 이유가 있지만 가장 중요한 것은 보안입니다. 제 시간에 감지되지 않으면 맬웨어가 WordPress 사이트에 혼란을 야기하여 결과적으로 데이터 손실 또는 웹사이트 손상으로 이어질 수 있습니다. 종종 웹 호스트는 감염된 경우 서버에서 사이트를 삭제하며 사이트에 대한 독립적인 백업이 없으면 처음부터 시작해야 합니다.

중요한 웹 사이트를 매일 백업하여 중요한 것이 손실되지 않도록 하는 것이 중요합니다. 실시간 백업이 필요한 WooCommerce 사이트의 경우 특히 그렇습니다. BlogVault와 같은 편리한 솔루션을 사용하면 이 프로세스를 매우 쉽게 수행할 수 있습니다. BlogVault를 사용하면 요구 사항에 따라 매일 또는 실시간으로 백업을 예약할 수 있으며 이러한 백업을 외부 서버에 저장하여 웹사이트 서버가 해킹되더라도 백업은 여전히 ​​안전하게 유지됩니다.

월간 보안을 위해

활동 로그 확인

맬웨어, 애드웨어 또는 기타 악성 프로그램의 해킹 및 설치는 일반적으로 비밀리에 발생합니다. 종종 눈에 보이는 유일한 추적은 사이트의 활동 로그, 수행된 활동 및 변경 사항에 대한 시간순 기록에서 찾을 수 있습니다. 따라서 사이트의 활동 로그를 매월 확인하여 불일치나 의심스러운 활동을 찾는 것이 좋습니다. 어떤 IP 주소가 관련되었는지, 어떻게 발생했는지와 같이 사이트가 해킹된 경우 여러 가지 중요한 세부 정보를 추적하는 데 도움이 될 수 있습니다.

귀하의 사이트가 높은 프로덕션 사이트인 경우, 즉 매일 또는 매주 콘텐츠를 게시하는 경우 사이트에 많은 변경 사항이 있기 때문에 한 달에 한 번 활동 로그를 확인하는 것이 부담스러울 수 있습니다. 이 경우 일주일에 한 번 또는 2주에 한 번 활동 로그를 확인할 수 있습니다.

WordPress는 기본적으로 활동 로그를 제공하지 않으므로 플러그인에 의존해야 합니다. 또는 MalCare는 완전한 WordPress 보안과 함께 상세하고 이해하기 쉬운 활동 로그를 제공합니다.

웹사이트 업데이트

이상적으로는 새 업데이트가 릴리스되는 즉시 WordPress 사이트를 업데이트해야 하지만 월별 업데이트를 수행하는 것도 효과가 있습니다. 월별 업데이트 일정을 따르면 사이트가 잘 보호되고 새로운 취약점이 패치되는지 확인할 수 있습니다.

업데이트는 사이트를 손상시키는 것으로 알려져 있기 때문에 종종 무서운 것입니다. 그러나 BlogVault와 같은 플러그인을 사용하는 경우 스테이징 사이트에서 업데이트를 테스트하고 변경 사항을 라이브 사이트와 원활하게 병합할 수 있습니다.

검색 콘솔 확인

Google의 Search Console에 WordPress 사이트를 추가하면 SEO와 관련된 여러 이점이 있지만 사이트 보안에도 도움이 될 수 있습니다. Google의 Search Console에는 사이트에서 탐지한 모든 맬웨어에 플래그를 지정하는 보안 문제 탭이 있으므로 수시로 확인하면 맬웨어를 탐지하는 데 도움이 됩니다.

MalCare로 사이트를 정기적으로 검사하면 사이트에서 이미 맬웨어를 감지한 것입니다. 그러나 Google에서 귀하의 사이트에서 진행 중인 의심스러운 활동이 있다고 생각하는지 확인하는 것은 여전히 ​​좋은 방법입니다.

사용하지 않는 테마 및 플러그인 제거

오래되고 사용하지 않는 테마와 플러그인을 제거하는 것은 두 가지 용도로 사용됩니다. 첫 번째는 파일이 너무 많으면 팽창과 서버 속도 저하를 유발할 수 있으므로 사이트 속도를 높이는 것입니다. 두 번째는 사이트를 통해 공격을 받을 수 없도록 하는 것입니다. 사용하지 않는 테마와 플러그인은 종종 무시되고 업데이트되지 않아 쉽게 악용될 수 있는 취약점이 생성됩니다. 따라서 사용하는 모든 테마와 플러그인에 대해 월간 확인을 실행하고 목적에 부합하는 플러그인을 제거해야 합니다.

참고: 또한 사이트에 가짜 플러그인이 있는지 확인하십시오. 맬웨어는 종종 플러그인 폴더로 숨겨져 있지만 가짜 플러그인은 파일이 한두 개뿐이며 WordPress 저장소에서 찾을 수 없으며 'azzz' 또는 'tiff'와 같은 이상한 이름을 갖습니다.

자격 증명 업데이트

동일한 자격 증명을 너무 오랫동안 사용하거나 여러 계정에서 재사용하는 것은 큰 위험입니다. WordPress 사이트를 보호하려면 적어도 한 달에 한 번 비밀번호를 업데이트하십시오. 이렇게 하면 암호를 알아낸 해커가 암호를 사용할 수 없으며 모든 장치에서 계정에서 로그아웃됩니다. 약간 불편하긴 하지만 웹사이트에 대한 액세스를 제어할 수 있습니다.

사용자 역할 및 권한 확인

WordPress 사이트의 사용자 계정은 관리자 계정만큼 중요합니다. 해커가 계정에 액세스하면 사이트를 감염시키고 역할 권한을 업그레이드할 수 있으며 심지어 사이트에서 사용자를 잠글 수 있습니다.

사이트의 모든 사용자에게 필요한 권한만 있고 이전 사용자 계정이 삭제되었는지 확인하십시오. 또한 귀하의 승인 없이 사용자 권한이 에스컬레이션되었는지 확인하십시오. 이는 맬웨어의 징후일 수 있습니다.

악성 IP 차단

악성 IP를 차단하거나 제한하면 삶이 훨씬 더 쉬워질 수 있습니다. 해킹을 당했다면 해킹이 발생한 IP 주소를 추적하고 간단히 차단할 수 있습니다. 이렇게 하면 해당 IP 주소를 가진 모든 사람이 사이트에 액세스할 수 없습니다. 이 방법은 해커와 싸우고, 봇이나 트롤을 막고, 권한이 없는 사용자를 차단하는 데 사용됩니다. 방화벽을 사용하면 자동으로 악성 IP를 차단합니다.

또한 해당 지역에서 반복적인 공격이 발생하는 경우 전체 지리적 영역을 차단할 수 있습니다.

백업 테스트

최악의 상황이 발생하여 WordPress 사이트가 다운되는 경우 백업에 의존하여 다시 시작하고 실행할 수 있습니다. 그러나 백업도 안전한지 확인해야 합니다. 백업이 이미 해킹된 경우 복원하는 것은 의미가 없습니다. 마찬가지로, 작동하는지 테스트해야 합니다. 그렇지 않으면 손상된 사이트를 복원해야 합니다. BlogVault를 사용하면 백업을 쉽게 테스트하고 신뢰할 수 있는지 확인할 수 있습니다.

워드프레스 솔트 업데이트

WordPress는 암호화 프로세스의 일부로 소금을 사용합니다. 솔트는 암호화 전에 암호에 추가되는 임의의 문자열입니다. 결과 문자열은 해시이며 데이터베이스에 저장됩니다. 그렇게 하면 해커가 데이터베이스에서 해시된 암호를 가져와 해독할 수 있는 경우 암호의 어떤 부분이 실제로 암호이고 소금이 무엇인지 알지 못합니다. 그들이 이것을 알 수 있는 유일한 방법은 구성 파일의 솔트 및 보안 키에 대한 액세스 권한을 얻는 것입니다.

비밀번호가 브라우저 쿠키에 저장되는 방식과 유사합니다. 모든 사이트에 로그인 상태를 유지할 수 있는 이유는 세션 정보가 쿠키에 저장되기 때문입니다. 그러나 일반 텍스트 암호가 거기에 저장되어 있다면 위험할 것입니다. 따라서 WordPress는 소금에 절인 버전과 해시된 버전을 대신 저장합니다. 솔트에 대한 액세스 권한이 있다고 해서 해시를 해독할 수 있는 것은 아니지만 보안 수준이 낮아집니다. 따라서 WordPress 솔트를 주기적으로 업데이트하는 것이 중요합니다.

장기적인 보안을 위해

SSL 확인

SSL은 웹사이트 서버와의 모든 통신을 암호화하도록 설계된 보안 프로토콜입니다. 이렇게 하면 공격자가 전송 중인 모든 정보에 액세스하거나, 읽거나, 변경할 수 없습니다.

일반적으로 도메인 또는 호스팅 계획을 가져올 때 SSL을 사용하여 사이트를 보호합니다. 그러나 SSL 인증서는 약 2년마다 만료되므로 최대한 빨리 갱신해야 합니다. 보안 침해로 인해 신용 카드 세부 정보 또는 은행 계좌 세부 정보가 유출될 수 있으므로 사용자가 웹사이트에서 거래를 수행하는 경우 이는 두 배로 중요합니다.

호스팅 계획 확인

제 시간에 호스팅 계획을 갱신하는 것을 잊어버리면 WordPress 계정이 일시 중지됩니다. 이로 인해 여러 문제가 발생할 수 있습니다. 사이트 트래픽이 타격을 받고 고객을 잃게 되며 결국 데이터를 잃게 될 수도 있습니다. 호스팅 서비스를 정기적으로 확인하면 사이트 트래픽과 서버 사용량을 분석할 수도 있습니다. 지나치게 높은 서버 사용량은 무차별 대입 공격의 일반적인 증상이며 이러한 공격을 조기에 포착하면 차단할 가능성이 더 높아집니다. 무차별 대입 공격에 대해 조기에 경고를 받으면 해커가 사이트에 액세스하기 전에 조치를 취하고 사이트를 보호할 수 있습니다.

완벽한 보안을 위한 일회성 조치

워드프레스 보안은 지속적으로 검토해야 하지만 한 번만 취하면 지속적으로 업데이트할 필요가 없는 몇 가지 조치가 있습니다.

강력한 방화벽에 투자

방화벽은 악성 트래픽을 필터링하고 웹사이트를 감염시키기 전에 대부분의 공격을 차단하여 WordPress 사이트를 보호합니다. 웹 애플리케이션 방화벽, 네트워크 방화벽 또는 클라우드 기반 방화벽과 같은 여러 종류의 방화벽이 있습니다. MalCare와 같은 강력한 웹 응용 프로그램 방화벽을 사용하면 웹 사이트 트래픽을 필터링하고 로그인 시도 횟수 또는 지리적 위치를 기준으로 방문자를 차단할 수 있습니다.

HTTP 인증 구현

HTTP 인증은 웹 리소스에 액세스하려는 사람에게만 웹 리소스에 대한 액세스를 허용하는 프로토콜입니다. HTTP 인증은 특정 웹 페이지가 요청될 때 사용자 이름과 비밀번호를 요청하여 액세스를 제한합니다. 이제 분명히 전체 웹 사이트에 대해 이 작업을 수행할 수는 없지만 관리자 대시보드 또는 로그인 페이지에 이를 구현하면 봇 공격의 수를 크게 줄일 수 있습니다.

이중 인증 사용

이중 인증은 사용자가 계정에 액세스하기 위해 두 개의 개별 키를 제시해야 하는 방법입니다. 예를 들어 이메일에 액세스하려는 경우 일반적으로 사용자 이름과 비밀번호를 제공해야 하지만 2단계 인증을 구현하는 경우 1과 같이 실시간으로 생성되는 키도 제공해야 합니다. - 시간 암호 또는 PIN. 이것은 로그인 시도 횟수를 줄이고 로그인 요청으로 웹사이트 서버를 압도하지 않습니다. 또한 무차별 대입 공격으로부터 웹 사이트를 보호합니다. 2FA와 같은 플러그인을 사용하여 사이트에 2단계 인증을 활성화할 수 있습니다.

로그인 시도 제한

로그인 시도를 제한하는 방법에 대해서는 이미 이야기했습니다. WordPress는 기본적으로 무제한 로그인 시도를 허용하며 이는 해커가 무차별 대입 공격으로 WordPress 계정에 액세스를 시도할 수 있는 무성한 기회를 제공합니다. 로그인 시도를 제한하는 가장 쉬운 방법은 MalCare와 같은 보안 플러그인을 사용하거나 function.php 파일에 사용자 정의 코드를 추가하는 것입니다.

XML-RPC 비활성화

WP REST API와 유사하게 XML-RPC는 원격으로 콘텐츠를 게시할 수 있는 WordPress 기능입니다. WordPress 앱을 사용하거나 트랙백 및 핑백을 활성화해야 하는 경우 유용하지만 그렇지 않은 경우 해커가 악용하여 무차별 대입 공격을 통해 사이트에 액세스할 수 있습니다. 가장 쉬운 해결책은 플러그인을 사용하거나 수동으로 비활성화하는 것입니다.

디렉토리 브라우징 비활성화

서버가 웹사이트에 대한 색인 파일을 찾지 못하면 디렉토리 내용의 색인을 보여줍니다. 해커가 이 정보에 액세스할 수 있으면 웹 사이트에 취약한 파일이 있는지 확인할 수 있습니다. 이렇게 하면 웹사이트가 주요 보안 위험에 노출됩니다.

이를 방지하기 위해 .htaccess 파일에 한 줄의 코드를 추가하여 디렉토리 탐색을 비활성화할 수 있습니다. WordPress 사이트에서 디렉토리 탐색을 비활성화하려면 다음 단계를 따르십시오.

  • FTP 클라이언트를 통해 사이트에 .htaccess 파일을 다운로드합니다.
  • 파일을 열고 파일 맨 아래에 다음 코드를 추가합니다.

옵션 전체 - 인덱스

  • 이제 파일을 저장하고 다시 업로드하십시오. 먼저 사이트에서 원본 파일을 삭제해야 합니다.

파일 권한 제한

사이트에 대한 파일 권한은 누가 사이트의 어떤 부분에 액세스할 수 있고 누가 수정할 수 있는지를 결정합니다. 일반적으로 웹 호스트는 이 모든 정보를 자동으로 구성합니다. 그러나 파일 권한을 이해하고 최적으로 구성되어 있는지 확인하는 것은 여전히 ​​좋은 방법입니다.

파일 권한이 작동하는 방식과 사이트 보안을 위해 파일 권한을 최적화하는 방법을 이해하려면 초보자에게 친숙한 상세 가이드를 참조하십시오.

wp-config 파일 숨기기

웹사이트의 wp-config 파일은 비밀번호, 키, 솔트와 같은 민감한 정보로 가득 차 있습니다. 해커가 파일에 액세스할 수 있다면 웹사이트에 레드카펫을 깔아 놓는 것과 같습니다. wp-config 파일은 기본적으로 public_html 폴더에 있으므로 해커가 파일을 찾을 위치를 알 수 있습니다. 그러나 파일의 위치를 ​​변경할 수 있으며 민감한 정보를 효과적으로 숨기면서 여전히 잘 작동합니다.

특정 폴더에서 PHP 실행 비활성화

해커는 핵심 WordPress 파일로 위장한 PHP 파일을 사이트에 업로드하고 사이트에 액세스할 수 있습니다. wp-uploads와 같은 일부 폴더에는 PHP 파일이 전혀 없어야 합니다. 이 경우 어떻게 합니까?

이 폴더에서 PHP 실행을 비활성화하면 해커가 백도어를 통해 이 파일에 접근하더라도 사이트에 액세스할 수 없습니다.

워드프레스 보안 체크리스트

웹사이트 보안이 중요한 이유

WordPress는 안전한 플랫폼이지만 매우 인기 있고 모든 종류의 관심을 끌고 있습니다. 그 중 일부는 사악합니다. 해커가 사이트에 액세스할 수 없도록 하려면 웹 사이트 보안이 최신 상태인지 확인해야 합니다. 그렇지 않으면 다음과 같은 심각한 결과에 직면할 수 있습니다.

  • 고객 손실
  • 데이터 손실
  • 유출된 개인 자격 증명
  • 수익 손실
  • 법적인 문제
  • 브랜드 평판에 타격
  • 신뢰 상실

마지막 생각들

WordPress 보안은 미스터리가 아닙니다. 사이트를 보호하기 위해 몇 가지 조치를 취하면 공격 및 맬웨어를 방어하고 손상을 방지할 수 있습니다. 이 WordPress 보안 체크리스트가 보안 조치를 강화하는 데 도움이 되기를 바랍니다.

보안을 손상시키지 않는 번거로움 없는 솔루션을 원하신다면 MalCare가 유일한 선택입니다. 자동화된 스캔, 고급 방화벽 및 원클릭 정리를 통해 MalCare는 사이트를 보호하는 360도 솔루션입니다.

자주 묻는 질문

내 WordPress 사이트를 어떻게 보호합니까?

WordPress 사이트를 보호하는 가장 쉬운 방법은 MalCare와 같은 보안 플러그인을 설치하는 것입니다. MalCare는 웹사이트를 매일 검사하여 웹사이트가 안전한지 확인하고 고급 방화벽으로 웹사이트를 보호합니다. 또한 해킹이 있는 경우 원클릭 정리를 제공합니다.

WordPress에 보안 문제가 있습니까?

WordPress는 인터넷 웹사이트의 절반 이상이 사용하는 보안 플랫폼입니다. 하지만 이러한 인기 덕분에 해커들의 관심을 끌고 있다. 보안 플러그인으로 WordPress 사이트를 보호하여 이러한 요소로부터 사이트를 안전하게 보호할 수 있습니다.

플러그인 없이 WordPress 사이트를 어떻게 보호합니까?

플러그인을 사용하지 않고 사이트를 보호하려면 정기적으로 여러 보안 검사를 수행해야 합니다. 사이트 스캔을 수행하고, 백업을 수행하고, 사이트의 활동 로그에서 의심스러운 동작을 찾고, 감지할 수 있는 모든 맬웨어를 수동으로 정리해야 합니다. 해커가 사이트에 침입할 수 있는 방법의 목록은 끝이 없으며 항상 경계하지 않고도 사이트를 보호할 수 있는 유일한 방법은 보안 플러그인을 사용하는 것입니다.