30개 이상의 가장 일반적인 WordPress 보안 문제 및 취약점

게시 됨: 2023-08-18

WordPress는 웹 사이트를 운영하는 데 사용할 수 있는 가장 안전한 콘텐츠 관리 시스템(CMS) 중 하나입니다. 그러나 모든 소프트웨어에는 취약성과 보안 문제가 있으며, 대부분 사용자 행동에 따라 달라집니다. 이러한 문제가 무엇인지 또는 이를 방지하는 방법을 모른다면 가장 안전한 소프트웨어라도 웹 사이트를 공격으로부터 보호하지 못할 수 있습니다.

좋은 소식은 강력한 보안 플러그인에 액세스할 수 있기 때문에 WordPress 사이트를 보호하는 것이 다른 시스템보다 쉽다는 것입니다. 이를 안전한 자격 증명과 결합하면 가장 정교한 공격을 제외한 모든 공격이 사이트를 위반할 가능성이 없습니다.

이 기사에서는 WordPress를 안전하게 유지하는 것과 관련하여 예방의 중요성에 대해 이야기합니다. 그런 다음 WordPress 사이트 소유자가 직면할 수 있는 가장 일반적인 유형의 문제와 웹 사이트가 가장 자주 공격받는 유형에 대해 논의합니다.

첫 번째 초기 WordPress 설치부터 분주하고 성공적인 사이트 관리에 이르기까지 모든 것을 다룹니다.

데스크탑 컴퓨터에서 일하는 여성

모든 잠재적인 보안 취약점을 닫는 것의 중요성

웹사이트를 "안전"하게 유지한다는 개념은 다소 모호할 수 있습니다. 사람들이 사이트 보호에 대해 이야기할 때 일반적으로 승인되지 않은 WordPress 사용자가 사이트를 변경하지 못하도록 막거나 악성 파일이 업로드되는 것을 방지하거나 데이터 유출 가능성을 줄이는 것을 언급합니다.

잠재적인 보안 위반으로부터 웹 사이트를 보호하지 못하면 많은 양의 민감한 사용자 정보를 처리하지 않더라도 다양한 방식으로 영향을 미칠 수 있습니다. 예를 들어 규모는 작지만 확고한 온라인 비즈니스를 운영하는 경우 보안 문제는 고객이 귀하를 인식하는 방식에 부정적인 영향을 미칠 수 있습니다.

예방하는 것이 얼마나 중요한지 이해하려면 보안 문제, 이유를 자세히 설명하겠습니다. 그것들은 매우 해로울 수 있습니다:

  • 승인되지 않은 접근. 많은 WordPress 사이트 업데이트에는 이전 버전이 출시된 이후 발견된 보안 취약점에 대한 패치가 포함되어 있습니다. 웹 사이트를 업데이트하지 않으면 이러한 취약성을 알고 있는 해커가 액세스하여 악용할 위험이 있습니다.
  • 기밀 정보의 손실. 웹사이트가 손상되면 악의적인 행위자가 사이트와 사용자 정보 및 기타 기밀 자료를 포함한 민감한 데이터를 제어할 수 있습니다. 개인 사용자 데이터를 처리하는 온라인 상점 또는 기타 유형의 사이트를 운영하는 경우 이는 법적으로나 평판 측면에서 심각한 영향을 미칠 수 있습니다.
  • 웹 사이트 성능이 좋지 않습니다. 누군가 귀하의 웹사이트에 액세스할 수 있는 경우 웹사이트 작동 방식을 수정하고 성능에 부정적인 영향을 미칠 수 있습니다. 경우에 따라 공격자는 DDoS(직접 서비스 거부) 공격과 같이 웹 사이트를 "다운"하기 위해 진입할 필요조차 없을 수 있습니다.
  • 준수 위반. 특정 산업에서 사용자 데이터를 보호하지 못하면 규정 준수를 위반할 수 있습니다. 예를 들어, 의료 및 금융 부문에서 기업은 최고 수준의 데이터 보안을 보장하기 위해 최신 소프트웨어를 사용해야 합니다. 그리고 신용 카드 결제를 허용하는 사이트는 PCI DSS(Payment Card Industry Data Security Standard)를 준수해야 합니다.
컴퓨터에서 디자인 작업을 하는 남자

WordPress 웹 사이트를 운영하는 경우 보안이 가장 중요합니다. 처음부터 웹사이트를 강화하면 가장 일반적인 유형의 문제를 방지하고 사용자 데이터를 안전하게 유지하는 데 도움이 됩니다.

WordPress 사이트에서 보안 취약점을 발견하는 방법

안타깝게도 감염된 컴퓨터를 모르는 사이에 사용할 수 있습니다. 많은 경우에 장치가 맬웨어로 가득 차고 사용자는 더 현명하지 않습니다.

웹 사이트에서도 마찬가지입니다. WordPress 사이트가 공격에 취약하거나 이미 맬웨어에 감염되었을 수 있습니다. 공격자가 명백히 밝히지 않거나 올바른 도구에 액세스할 수 있는 경우가 아니면 이를 발견하기 어려울 수 있습니다.

컴퓨터용 바이러스 백신 소프트웨어가 있는 것처럼 WordPress용 보안 스캐너도 있습니다. Jetpack Security와 같은 도구는 웹사이트에서 WordPress 보안 취약성을 스캔하고 수정해야 할 문제나 불규칙성이 있는지 알려줍니다.

사이트에서 모든 것이 안전해 보인다는 Jetpack의 알림

Jetpack Security의 스캔 도구는 기업에서 사용하는 WPScan 취약성 데이터베이스에 의존합니다. 이는 데이터베이스가 매우 포괄적이며 사이트에서 직면할 수 있는 가장 일반적인 취약점을 식별할 수 있는 기능이 있음을 의미합니다.

또한 Jetpack Security는 WordPress.com의 배후 회사인 Automattic에서 개발한 사용하기 쉬운 보안 플러그인입니다. Jetpack Scan 외에도 VaultPress 백업 및 Akismet이 포함되어 있습니다. 따라서 이 도구를 선택하면 취약점과 스팸으로부터 사이트를 보호할 수 있으며 고급 백업 기능도 사용할 수 있습니다.

20가지 가장 일반적인 WordPress 보안 문제 및 취약점

이 섹션에서는 WordPress 사이트에서 볼 수 있는 가장 일반적인 보안 문제에 중점을 둘 것입니다. 이러한 모든 문제는 공격자가 악용할 수 있는 취약점으로 이어질 수 있습니다.

이것은 소화해야 할 정보가 많을 수 있으므로 압도되지 마십시오. 각 보안 문제에 대해 알아야 할 사항을 알려주고 해당 문제 및 문제 해결 방법에 대해 자세히 알아볼 수 있는 몇 가지 추가 리소스를 제공합니다.

1. WordPress 보안 플러그인 부족

보안 플러그인은 가장 인기 있는 WordPress 도구 중 하나입니다. 사용하는 플러그인에 따라 웹사이트에서 맬웨어를 검색하고, 방화벽을 설정하고, 백업 생성을 돕고, 스팸을 방지하는 등의 작업을 수행할 수 있습니다.

보안 플러그인이 수행하는 모든 작업을 수동으로 수행할 수 있습니다. 그러나 일반적으로 백엔드에서 사이트의 여러 측면을 사용자 정의하는 것이 포함됩니다. 예를 들어 의심스러운 IP를 차단하기 위해 코어 파일을 편집합니다. 상상할 수 있듯이 사이트를 수동으로 보호하는 데는 많은 시간이 소요될 수 있습니다.

보안 플러그인의 장점은 많은 시간과 번거로움을 줄일 수 있다는 것입니다. 또한 더 일반적인 WordPress 취약점에 대한 올인원 솔루션 역할을 할 수 있습니다.

WordPress 플러그인은 다양한 기능을 제공하므로 Jetpack Security와 같이 가능한 한 많은 취약점을 다루는 도구를 선택하는 것이 좋습니다.

Jetpack 보안 홈페이지

앞서 언급한 바와 같이 Jetpack Security는 백업 자동화, 사이트 보안 로그 유지, 방화벽 설정, 사이트에서 맬웨어 검사 등을 지원합니다. 또한 Akismet과 통합되어 사이트의 댓글 및 양식에서 스팸을 방지할 수 있습니다.

2. 정기적인 사이트 스캔 부족

정기 스캔은 웹사이트의 건강 검진과 같습니다. 맬웨어 감염, 보안 허점 및 비정상적인 활동과 같은 위협을 식별하는 데 도움이 됩니다.

웹 사이트 스캔에 대한 Jetpack 스캔 정보

간단히 말해서 WordPress 웹 사이트에서 정기적인 검사를 실행하지 않으면 보안 위협에 취약한 상태가 됩니다. 이로 인해 사이트 손상, 민감한 데이터 손실, 검색 엔진 순위 손상 및 방문자의 신뢰 상실로 이어질 수 있습니다.

사이트 스캔 도구는 일반적으로 기능에 영향을 주지 않고 백그라운드에서 실행됩니다. 따라서 보안 플러그인이나 검색 도구가 있는 경우 일반적으로 자동으로 자주 실행되며 웹사이트에서 문제가 발견되는 경우에만 경고합니다.

웹 사이트용 바이러스 백신 도구와 같은 사이트 스캐너에 대해 생각해 보십시오. 모든 최신 운영 체제(OS)에는 멀웨어 스캐너 및 제거 도구가 내장되어 있습니다. 사용자가 인식하지 못하는 경우에도 이러한 도구는 백그라운드에서 실행됩니다. 이러한 도구는 컴퓨터를 안전하게 유지하는 데 도움이 되며 도구가 없으면 경험이 훨씬 더 나빠질 것입니다.

3. 정기적인 사이트 백업 부족

백업은 안전망 역할을 하여 기술적 사고나 보안 침해가 발생할 경우 사이트의 데이터를 보존합니다. 정기적으로 백업하지 않으면 모든 웹 사이트 콘텐츠와 사용자 데이터를 잃을 수 있습니다.

아마도 정기적인 사이트 백업의 가장 큰 장점은 문제가 발생할 경우 복원 지점을 제공한다는 것입니다. 보안 위반 문제를 해결하는 데 몇 시간 또는 며칠을 소비하는 대신 중요한 데이터 손실 없이 사이트를 이전 상태로 간단히 되돌릴 수 있습니다.

VaultPress 백업으로 사용 가능한 최신 백업

이상적으로는 백업이 자동이어야 하며 백업 사이에 너무 많은 시간을 두어서는 안 됩니다. Jetpack Security와 같은 플러그인에는 웹사이트 정보를 클라우드에 저장할 수 있는 백업 도구가 포함되어 있습니다. VaultPress 백업(Jetpack Security의 일부)을 사용하면 웹사이트를 변경할 때마다 실시간 백업에 액세스할 수 있습니다.

4. 오래된 WordPress 버전 또는 플러그인

WordPress 코어 및 플러그인을 최신 상태로 유지하는 것은 사이트의 보안 및 기능에 매우 중요합니다. 오래된 소프트웨어 버전에는 해커가 악용할 수 있는 알려진 취약점이 있는 경향이 있기 때문입니다.

또한 웹 사이트 성능에 영향을 미치는 호환성 문제를 일으킬 수 있습니다. 이로 인해 데이터 손상, 사이트 기능 손실 및 사용자 경험 저하가 발생할 수 있습니다.

WordPress 웹사이트에 보류 중인 업데이트가 많이 있는 경우 모든 구성 요소를 업데이트해야 합니다. 대시보드 → 업데이트 에서 직접 WordPress 코어에 대한 자동 업데이트를 활성화할 수도 있습니다. 화면.

두 개의 컴퓨터 화면에서 작업하는 개발자

5. 오래된 PHP 버전

Hypertext Preprocessor 또는 PHP는 WordPress의 중추입니다. CMS의 기반이 되는 주요 프로그래밍 언어 중 하나입니다. 오래된 버전의 PHP를 사용하면 WordPress 보안 문제 및 호환성 문제가 발생할 수 있습니다.

최신 버전의 PHP도 성능을 크게 향상시킵니다. 일반적으로 웹 호스트는 최신 버전의 PHP가 나올 때 이를 사용하도록 서버를 업데이트합니다. 사용 중인 PHP 버전을 다시 확인하려면 WordPress에서 직접 확인할 수 있습니다.

6. 안전하지 않은 호스팅 환경

호스팅 제공업체의 임무는 가능한 최고의 리소스를 제공하여 웹사이트 구축을 돕는 것입니다. 이는 적절한 하드웨어, 사용하기 쉬운 호스팅 관리 대시보드 견고한 보안 조치를 갖춘 안정적인 서버를 의미합니다.

웹 호스트가 기본 보안 설정을 제공하지 않는 경우 웹사이트 운영 방식에 영향을 미칩니다. 기본적으로 사이트에서 작업하는 대신 기본 WordPress 보안 취약성을 다루는 작업에 더 많은 시간을 할애해야 합니다.

호스팅 대시보드에서 사용할 수 있는 기본 보안 도구

안전한 WordPress 호스팅 공급자는 자동 백업, 웹 애플리케이션 방화벽(WAF), 알려진 악성 IP에 대한 자동 차단, DDoS 완화 등과 같은 기능을 제공합니다. 적절한 WordPress 보안 조치를 제공하지 않는 웹 호스트를 사용하는 경우 고품질 WordPress 호스팅 공급자로 전환하는 것이 좋습니다.

7. 취약한 비밀번호 및 로그인 자격 증명

약한 암호와 로그인 자격 증명을 사용하는 것은 아마도 WordPress 웹사이트에서 가장 일반적인 보안 문제일 것입니다. 사실 이것은 로그인이 필요한 모든 사이트나 소프트웨어에서 큰 문제입니다.

여기에는 WordPress 관리자 로그인 페이지만 포함되지 않는다는 점에 유의해야 합니다. 취약한 웹 호스팅 및 FTP(파일 전송 프로토콜) 자격 증명도 취약점으로 이어질 수 있습니다.

WordPress 사이트 로그인 페이지

간단히 말해, 대부분의 사용자는 작업하는 모든 응용 프로그램에 대해 복잡하고 고유한 암호를 사용하는 번거로움을 좋아하지 않습니다.

약하고 재활용된 암호는 기억하기 쉬울 수 있지만 사이트를 위험에 빠뜨릴 수 있습니다. 이는 공격자가 웹 사이트에 침입하거나 유출된 자격 증명을 사용하여 다른 플랫폼의 계정에 액세스하는 것이 훨씬 더 쉬워지기 때문입니다.

사이트를 안전하게 유지하려면 중요한 도구에 액세스할 수 있는 사람은 누구나 안전한 자격 증명을 사용하는 방법을 배우고 강력한 암호와 사용자 이름만 만들어야 합니다. 또한 이중 인증(2FA)에 대한 지원을 추가하면 사이트 보안을 강화하는 데 도움이 될 수 있습니다.

8. 2FA 부족

Two-Factor Authentication 또는 2FA는 로그인 프로세스 중에 두 번째 확인 단계를 요구하여 추가 보안 계층을 추가합니다. 이렇게 하면 공격자가 또한 무단 로그인을 훨씬 더 어렵게 만듭니다. 사이트에 구성한 2FA 유형에 따라 이메일 계정 또는 전화에 대한 액세스 권한이 필요합니다.

귀하의 웹사이트에서 2FA를 옵션으로 제공 하지 않을 이유가 없습니다. 시스템 구현은 매우 쉽고 Jetpack을 포함하여 2FA를 설정할 수 있는 많은 WordPress 플러그인이 있습니다.

9. 안전하지 않은 로그인 데이터 저장

일반 텍스트(또는 Post-it 사용)와 같이 로그인 데이터를 안전하지 않게 저장하는 것은 은행 세부 정보를 공개하는 것과 유사합니다. 열악한 스토리지 관행으로 인해 공격자가 위치에 대한 액세스 권한을 얻은 경우 이러한 세부 정보를 쉽게 얻을 수 있습니다. 이로 인해 무단 액세스, 데이터 위반 및 잠재적인 웹 사이트 제어 손실이 발생할 수 있습니다.

일반적으로 물리적이든 디지털이든 다른 사람이 액세스할 수 있는 곳에 로그인 정보를 저장하지 마십시오. 로그인 자격 증명을 저장해야 하는 경우 해당 데이터를 암호화할 수 있는 1Password와 같은 암호 저장 도구를 사용하십시오.

큰 테이블 주위에서 작업하는 팀

10. 잘못 관리되고 정의되지 않은 사용자 역할

제대로 관리되지 않는 사용자 역할은 사용자가 필요한 것보다 더 많은 권한을 갖게 되어 보안 위험을 초래할 수 있습니다. 이로 인해 사이트에 대한 무단 또는 우발적 변경, 데이터 유출 또는 리소스 오용이 발생할 수 있습니다.

이상적으로 관리자는 WordPress 백엔드에 대한 전체 액세스 권한을 가진 유일한 사람이어야 합니다. 다른 모든 사용자 역할의 경우 계정에는 임무를 수행하는 데 필요한 최소한의 권한이 부여되어야 합니다.

WordPress의 사용자 역할 드롭다운에서 선택

좋은 소식은 WordPress가 관리자에게 사용자 역할 할당에 대한 모든 권한을 부여한다는 것입니다. 또한 각 역할에는 임무에 맞는 정의된 권한 세트가 제공됩니다. 또한 추가 역할을 생성하거나 해당 권한을 수정하려는 경우 WordPress 플러그인을 사용하여 수행할 수 있습니다.

11. 사용자 로그인 및 활동에 대한 모니터링 부족

적절한 모니터링이 없으면 사이트에서 의심스러운 행동이나 악의적인 활동을 놓칠 수 있습니다. 이러한 가시성 부족은 무단 변경, 데이터 위반 및 시스템 오용으로 이어질 수 있으며, 이 모든 것이 사이트의 기능을 손상시킬 수 있습니다.

기본적으로 WordPress 코어는 보안 로그 기능을 제공하지 않습니다. 그러나 활동 로그 기능이 있는 Jetpack과 같은 플러그인을 사용하여 웹사이트에서 일어나는 일(및 액세스하는 사람)을 추적할 수 있습니다.

일부 WordPress 웹 호스트는 서버 수준에서 활동 로그에 대한 액세스 권한도 제공하므로 누군가가 구성을 변경하는지 모니터링할 수 있습니다.

이러한 유형의 도구를 사용하는 경우 로그인 시도 실패와 같은 특정 유형의 활동에 대한 알림을 구성하는 것이 가장 좋습니다. 이렇게 하면 수십 페이지의 로그를 읽지 않고도 대략적인 일이 진행되고 있는 경우 경고를 받을 수 있습니다.

나무 책상 위의 여러 장치

12. 취약점이 포함된 테마 및 플러그인

보안 취약점이 있는 WordPress 테마 및 플러그인은 종종 해커의 표적이 됩니다. 이러한 취약점을 악용하는 경우 무단 액세스, 데이터 위반 등으로 이어질 수 있습니다.

좋은 소식은 일반적으로 오래된 플러그인과 테마를 사용하는 경우에만 발생한다는 것입니다. 마찬가지로 평판이 좋지 않은 웹사이트에서 프리미엄 플러그인 및 테마의 "무료" 버전을 다운로드할 때 발생할 가능성이 더 높을 수 있습니다.

이러한 무료 버전에는 공격자가 사이트에 액세스할 수 있도록 하는 코드가 포함될 수 있습니다. 따라서 정기적으로 취약점을 스캔하지 않는 한 이를 피하는 것이 가장 좋습니다.

여전히 무료인 양질의 플러그인과 테마가 많이 있습니다. 따라서 설치해야 하는 경우 다운로드하기 전에 WordPress.org와 같은 사이트에서 사용자 의견을 읽는 것이 가장 좋습니다. 많은 사용자가 문제 또는 WordPress 보안 문제에 대한 이야기를 공유하여 정보에 입각한 결정을 내리는 데 도움이 될 수 있습니다.

13. 잘못 구성된 WordPress 데이터베이스

데이터베이스가 잘못 구성되면 사이트의 데이터가 노출되어 SQL 삽입 공격 및/또는 데이터 침해에 취약해질 수 있습니다. 가장 일반적인 잘못된 구성 유형 중 하나는 WordPress( wp) 에서 데이터베이스의 기본 접두사를 사용하는 것입니다.

이렇게 하면 공격자가 쉽게 데이터베이스를 식별하고 액세스를 시도할 수 있습니다. 마찬가지로 데이터베이스 수준에서 취약한 자격 증명을 사용하면 취약해질 수 있습니다.

WordPress는 사이트의 모든 콘텐츠를 고유한 데이터베이스에 저장합니다. 즉, 누군가 데이터베이스에 대한 액세스 권한을 얻으면 웹 사이트의 모든 것을 볼 수 있고 중요한 설정을 수정할 수 있습니다.

14. 잘못 구성된 콘텐츠 전송 네트워크(CDN)

청중이 전 세계에 흩어져 있는 경우 콘텐츠 전송 네트워크(CDN)를 구현하는 것은 서버에서 멀리 떨어져 있는 방문자의 성능을 향상시키는 좋은 방법이 될 수 있습니다. 그러나 잘못 구성된 CDN은 보안 허점을 초래할 수 있습니다.

공격자는 이러한 취약성을 악용하여 DDoS 공격을 시작하거나 콘텐츠를 조작하거나 중요한 데이터에 대한 무단 액세스 권한을 얻을 수 있습니다. 잘못된 구성이란 CDN이 캐시하는 콘텐츠, SSL/TLS 구성 문제 또는 사이트의 원래 IP 주소 노출 측면에서 사람의 실수를 의미합니다.

일부 제공업체에서는 CDN 구성이 까다로울 수 있습니다. 간단한 옵션을 찾고 있다면 Jetpack의 CDN은 설정 및 사용이 매우 쉽습니다. 별도의 설정이 필요하지 않으니 사용자 오류 걱정은 하지 않으셔도 됩니다!

컴퓨터와 서버가 있는 방에 서 있는 남자

15. 안전하지 않은 파일 및 디렉터리 권한

파일 및 디렉토리 권한은 WordPress 웹 사이트에서 파일을 읽고 쓰고 실행할 수 있는 사람을 결정합니다. 이러한 권한은 사이트의 보안과 무결성을 유지하는 데 매우 중요합니다.

안전하지 않거나 잘못 구성된 경우 공격자가 맬웨어를 업로드하거나 파일에 무단 액세스하는 것과 같은 다양한 위협에 사이트를 취약하게 만들 수 있습니다.

안전하지 않은 파일은 또한 잠재적인 데이터 침해에 노출됩니다. 권한이 올바르게 설정되지 않은 경우 공격자는 파일 내용을 읽거나 수정할 수 있으므로 중요한 데이터를 훔치거나 지울 수 있습니다.

16. 무제한 공개 파일 업로드

많은 WordPress 웹사이트에서 사용자가 양식을 통해 파일을 업로드할 수 있습니다. 이 기능은 사람들이 검토할 파일을 제출하고 댓글에 이미지를 첨부하는 등의 작업을 수행할 수 있도록 하려는 경우에 유용할 수 있습니다.

컴퓨터 옆에 있는 메모장에 글을 쓰는 남자

사용자가 사이트에 파일을 업로드하고 제출할 수 있도록 하는 모든 양식은 철저하게 보호되어야 합니다. 즉, 사람들이 업로드할 수 있는 파일 유형을 완전히 제어할 수 있으므로 양식을 사용하여 서버에서 맬웨어를 얻을 수 없습니다.

실시간 맬웨어 검사를 제공하는 WordPress 보안 플러그인을 사용하는 경우 양식의 보안을 통과하는 모든 악성 파일을 감지해야 합니다. 보안 검색이 없으면 공격자가 사이트에 액세스할 수 있는 악성 파일을 호스팅하게 될 수 있습니다.

17. 안전하지 않은 타사 서비스 및 통합

이미 알고 계시겠지만 WordPress에서 타사 서비스 및 통합을 사용하는 것이 일반적입니다. 이것은 새로운 기능을 추가하는 데 도움이 될 수 있습니다. 그러나 웹사이트를 안전하지 않은 서비스와 연결하면 웹사이트에 추가적인 취약점이 생길 수 있습니다.

예를 들어 타사 서비스가 통합을 위해 안전하지 않은 API를 제공하는 경우 공격의 게이트웨이 역할을 할 수 있습니다. 해커는 취약한 API 보안을 악용하여 악성 코드 주입, 데이터 도용 또는 사이트 기능 중단과 같은 작업을 수행할 수 있습니다.

보안 수준이 낮은 타사 서비스도 자격 증명을 손상시킬 수 있으며, 이로 인해 2FA 또는 추가 보호를 사용하지 않는 경우 공격자가 웹 사이트에 액세스할 수 있습니다. 간단히 말해서 평판이 좋지 않은 경우가 아니면 웹 사이트를 타사 서비스와 연결해서는 안됩니다.

18. 인증되지 않은 AJAX 작업

AJAX(Asynchronous JavaScript and XML)는 서버에서 비동기적으로 데이터를 보내고 검색하여 동적 반응형 웹 애플리케이션을 만드는 데 사용되는 기술입니다. 즉, 전송 및 검색 프로세스가 페이지 로드를 방해하지 않습니다.

WordPress가 진행되는 한 AJAX를 사용하여 백그라운드에서 데이터 제출 및 검색을 처리하는 것이 일반적입니다. 예를 들어 많은 플러그인이 AJAX를 사용하여 콘텐츠를 "무한"으로 로드합니다. 또한 전자 상거래 사이트에서 즉시 검색 기능을 활성화하는 데 자주 사용됩니다.

모든 AJAX 작업은 사이트를 안전하게 유지하기 위해 보안 및 인증 지침을 따라야 합니다. 적절한 사용자 확인 없이 공격자는 웹 사이트를 "속여" 데이터베이스에서 중요한 정보를 검색하는 작업을 수행하도록 할 수 있습니다.

서버로 가득 찬 넓은 방

19. 잘못 구성된 웹 서버

적절하게 구성되지 않은 웹 서버는 보안 관점에서 취약할 수 있습니다. "서버 구성"이란 공격자로부터 서버를 보호하기 위한 기본 보안 및 액세스 규칙을 구현하는 것을 의미합니다.

예를 들어, 보안 서버는 방문자에게 올바른 권한이 없기 때문에 코드 실행을 허용하지 않습니다. 마찬가지로 좋은 보안 구성은 알려진 악성 IP가 WAF(웹 응용 프로그램 방화벽)와 같은 도구를 사용하여 서버와 상호 작용하는 것을 방지합니다.

서버에 직접 액세스할 수 없는 경우 이 보안은 웹 호스트에 따라 다릅니다. 일부 웹 호스트는 WordPress 보안 문제를 다른 호스트보다 더 심각하게 다루므로 웹사이트에 적합한 공급자를 선택하는 것이 중요합니다.

20. 제로데이 익스플로잇 및 알려지지 않은 취약점

공격자가 웹 사이트를 손상시키는 데 사용하려는 새로운 WordPress 익스플로잇 및 취약점은 항상 있습니다.

제로 데이 익스플로잇 및 알려지지 않은 취약점은 공격자가 악용하기 전까지 개발자에게 알려지지 않은 소프트웨어의 보안 허점을 말합니다. 좋은 소식은 공격자가 새로운 취약점을 표적으로 삼기 시작하면 개발자가 일반적으로 매우 빠르게 패치를 적용한다는 것입니다.

이론적으로 제로데이 익스플로잇이 무엇인지 모르기 때문에 방지하는 것은 불가능합니다. 그래도 Jetpack Security와 같은 강력한 WordPress 보안 플러그인을 사용하여 이러한 위험을 크게 완화할 수 있습니다. Jetpack Scan(WPScan 제공)은 정기적으로 업데이트되는 포괄적인 데이터베이스를 사용하므로 최신 WordPress 보안 문제가 발생하면 신속하게 포착할 수 있습니다.

WordPress 사이트가 직면하는 주요 보안 위협 유형

지금까지 WordPress의 특정 보안 취약점과 웹 사이트에 미치는 영향에 중점을 두었습니다. 그러나 웹 사이트에 대한 "공격" 또는 "위반"이 실생활에서 어떻게 보일 수 있는지 이해하는 것이 중요합니다.

영화에서와 달리 공격자는 일반적으로 웹 사이트를 해킹하기 위해 네온 문자로 화면에 입력하지 않습니다. 실제로 "해킹"은 훨씬 더 흥미롭고 공격은 다양한 형태로 나타날 수 있습니다. 따라서 가장 일반적인 WordPress 보안 문제를 살펴보겠습니다.

1. 맬웨어 및 바이러스 감염

맬웨어 및 바이러스라는 용어에 익숙할 것입니다. 웹 사이트의 맥락에서 맬웨어(악성 소프트웨어의 줄임말) 및 바이러스는 사이트 또는 방문자에게 피해를 줄 수 있는 악성 코드 유형입니다.

맬웨어는 일반적으로 웹 사이트에 삽입되며 광범위한 문제를 일으킬 수 있습니다. 예를 들어 사이트를 손상시키거나 데이터를 훔치거나 방문자에게 맬웨어를 퍼뜨리는 데 사용할 수 있습니다.

웹사이트 맬웨어 유형에는 백도어(무단 액세스 허용), 드라이브 바이 다운로드(유해한 소프트웨어를 사용자 장치에 자동으로 다운로드) 및 손상(웹사이트의 시각적 모양 변경)이 포함될 수 있습니다.

헤드폰을 끼고 코드 작업을 하는 남자

2. SQL 인젝션 공격

SQL 인젝션은 누군가가 응용 프로그램이 데이터베이스에 수행하는 쿼리를 방해할 수 있도록 하는 공격 유형입니다. 이 경우 WordPress가 데이터베이스에 제출하는 쿼리입니다. 이러한 유형의 공격의 목적은 정보 또는 사이트 자체에 대한 무단 액세스 권한을 얻는 것입니다.

작동 방식은 다음과 같습니다. WordPress가 사용자 입력을 받으면 SQL(Structured Query Language)로 구조화하여 데이터베이스에서 해당 정보를 가져옵니다. 쿼리가 먼저 "삭제"되지 않으면 공격자가 이를 수정할 수 있습니다. 이러한 문은 쿼리의 원래 의도를 조작하여 무단 데이터 노출, 데이터 수정 또는 데이터 삭제로 이어질 수 있습니다.

3. XSS(교차 사이트 스크립팅) 공격

교차 사이트 스크립팅(Cross-Site Scripting, XSS) 공격은 공격자가 다른 사용자가 보는 웹 페이지에 악성 스크립트를 삽입할 때 발생합니다. 이러한 스크립트는 일반적으로 JavaScript로 작성되며 사용자의 브라우저에서 실행됩니다.

XSS 공격이 성공하면 공격자는 민감한 데이터(예: 세션 쿠키)를 훔치고 사용자를 가장할 수 있습니다. 사용자가 사이트에 얼마나 많은 액세스 권한을 가지고 있는지에 따라 많은 피해를 줄 수 있습니다.

4. CSRF(Cross-Site Request Forgery) 공격

XSRF라고도 하는 CSRF(교차 사이트 요청 위조)는 피해자가 악의적인 요청을 제출하도록 속이는 공격 유형입니다. 사이트가 사용자의 브라우저에 가지고 있는 신뢰를 악용하여 기본적으로 피해자의 신원과 권한을 사용하여 사이트에 "침입"합니다.

사용자가 이메일 주소 변경과 같은 특정 작업을 수행할 수 있는 웹 애플리케이션에 로그인했다고 가정합니다. CSRF 공격은 공격자가 사용자에게 링크가 포함된 이메일을 보내거나 다른 웹 사이트에 링크를 삽입하는 것과 관련될 수 있습니다.

사용자가 링크를 클릭하면 작업을 수행하기 위해 사용자의 이미 인증된 세션을 활용하는 웹 응용 프로그램에 대한 요청이 트리거됩니다. 이 경우 공격자가 제어하는 ​​이메일 주소로 변경됩니다.

5. 무차별 대입 공격

무차별 대입 공격에는 올바른 자격 증명을 찾을 때까지 여러 자격 증명 조합을 시도하는 것이 포함됩니다. 공격자는 일반적으로 봇이나 소프트웨어를 사용하여 이를 수행합니다. 즉, 웹사이트가 로그인 화면에서 사용자를 잠그지 않으면 수천 가지 조합을 시도할 수 있습니다.

이러한 시도는 임의적일 수 있지만 더 자주 공격자는 일반적으로 사용되는 암호 사전을 사용하거나 다른 사이트에서 유출된 자격 증명 목록을 사용하는 것과 같은 고급 방법을 사용합니다.

6. 디도스 공격

DDoS(분산 서비스 거부) 공격은 여러 대의 컴퓨터가 웹 사이트에 동시에 연결하여 과부하를 시도하는 것을 포함합니다. 이것은 모든 서버가 요청을 삭제하기 시작하거나 일시적으로 다운되기 전에 너무 많은 트래픽만 처리할 수 있기 때문에 가능합니다.

일반적으로 공격자는 손상된 컴퓨터 네트워크를 사용하여 DDoS 공격을 수행합니다. 사이트가 얼마나 보호되어 있는지에 따라 이러한 유형의 공격으로 인해 가동 중지 시간이 길어질 수 있습니다.

7. 악성 리디렉션

"리디렉션"은 귀하가 URL을 방문하고 브라우저가 귀하를 다른 주소로 보내는 것입니다. 이는 액세스하려는 서버에 전체 또는 일부 트래픽을 해당 위치로 리디렉션하라는 지침이 있기 때문에 발생합니다.

리디렉션을 사용하는 데는 여러 가지 이유가 있습니다. 예를 들어 도메인 이름을 변경하거나 사용자가 더 이상 존재하지 않는 페이지를 방문하지 않도록 하려는 경우입니다. 그러나 공격자가 서버에 액세스할 수 있는 경우 대신 사용자를 위험한 웹 사이트로 보내는 악의적인 리디렉션을 설정할 수 있습니다.

8. 파일 포함 공격

파일 포함 공격은 공격자가 자신이 제어하는 ​​원격 서버의 파일을 포함하도록 웹 사이트를 속일 때 발생합니다. 이러한 유형의 공격은 일반적으로 제대로 검증되지 않았거나 삭제되지 않은 사용자 입력을 악용합니다.

입력을 적절하게 삭제하면 파일 포함 공격은 물론 SQL 주입 및 기타 유형의 취약성을 방지하는 데 도움이 될 수 있습니다. 이를 방지하는 또 다른 방법은 WAF를 사용하고 사이트를 최신 상태로 유지하여 보안 허점을 방지하는 것입니다.

어두운 방에서 컴퓨터 작업을 하는 남자

9. 디렉터리 통과 공격

디렉토리 또는 경로 순회 공격은 공격자가 서버가 파일 시스템 내에 있는 파일의 내용을 실행하거나 공개하는 방식으로 URL을 조작하는 것과 관련됩니다.

이러한 유형의 공격의 목표는 보거나 수정할 수 있는 권한이 없는 파일에 대한 액세스 권한을 얻는 것입니다. 이러한 유형의 공격을 방지하는 가장 좋은 방법은 보안 파일 및 디렉터리 권한을 구성하는 것입니다.

10. 원격 코드 실행 공격

원격 코드 실행 공격은 누군가 원격으로 유해한 코드를 실행할 수 있을 때 발생합니다. 웹 사이트의 경우 이는 공격자가 호스팅 서버에서 악성 스크립트를 실행할 수 있음을 의미합니다.

이러한 유형의 공격은 서버가 취약한 경우 발생할 수 있습니다. 공격자가 얻는 액세스 유형에 따라 잠재적으로 서버에서 원하는 모든 명령을 실행할 수 있습니다.

11. 세션 하이재킹 및 고정 공격

"세션 하이재킹"은 여러 방문에서 로그인 상태를 유지하기 위해 사이트에서 사용하는 메커니즘을 악용하는 공격 유형입니다. 일반적으로 웹사이트는 쿠키를 사용하여 각 세션에 대한 정보를 저장합니다. 공격자가 이러한 쿠키를 "도용"할 수 있는 경우 세션을 하이재킹할 수 있습니다.

실질적으로 이는 웹사이트에서 공격자가 로그인 프로세스를 거치지 않고도 계정을 사용할 수 있음을 의미합니다. 계정에 어떤 권한이 있는지에 따라 누군가 하이재킹된 세션으로 많은 피해를 입힐 수 있습니다.

12. SEO 스팸

검색 엔진 최적화(SEO) 측면에서 스팸은 키워드 재사용, 동일한 링크를 여러 번 공유, 결과 페이지에서 사이트 순위를 결정하는 알고리즘을 조작하는 것을 의미할 수 있습니다.

많은 경우 공격자는 웹 사이트에 대한 액세스 권한을 얻고 이를 사용하여 자신의 순위를 높이려고 합니다. 그들은 귀하의 사이트를 사용하여 자신의 사이트에 과도하게 연결함으로써 이를 수행할 수 있습니다.

스팸이 얼마나 공격적인가에 따라 자신의 검색 엔진 순위에 영향을 미치고 불이익을 받을 수 있습니다. 또한 귀하가 스팸을 보내는 사람이라고 생각할 수 있기 때문에 사용자의 신뢰를 약화시킬 수 있습니다.

13. 피싱 공격

피싱 공격에 익숙할 것입니다. 그들은 특정 사용자로부터 로그인 자격 증명이나 기타 중요한 정보를 얻기 위해 조직이나 웹 사이트의 누군가로 가장하는 것을 포함합니다.

WordPress 웹사이트의 경우 이는 사용자에게 자격 증명을 재설정하고 입력 내용을 저장하는 페이지로 안내하도록 요청하는 가짜 이메일처럼 보일 수 있습니다. 기술에 정통하지 않은 많은 사용자가 피싱 공격에 빠지기 때문에 사이트의 공식 커뮤니케이션에 대해 방문자를 교육하고 시도하는 것이 중요합니다.

자주 묻는 질문

WordPress 취약점이나 공격 유형에 대한 질문이 남아 있는 경우 이 섹션에서 답을 얻을 수 있기를 바랍니다.

사무실에서 만나는 세 여자

워드프레스는 안전한가요?

짧은 대답은 '예'입니다. 기본적으로 WordPress는 안전한 CMS입니다. 또한 핵심 소프트웨어는 유지 관리 및 보안 목적을 위해 정기적으로 업데이트됩니다.

그러나 다른 소프트웨어와 마찬가지로 보안은 사용 방법에 따라 달라집니다.

WordPress 및 해당 구성 요소를 정기적으로 업데이트하지 않고 취약한 로그인 자격 증명을 사용하면 사이트가 많은 위험에 노출됩니다.

WordPress 사이트가 해킹되었다는 징후는 무엇입니까?

경우에 따라 WordPress 웹사이트가 손상된 경우 발견하기 어려울 수 있습니다. 그럼에도 불구하고 당신을 속일 수 있는 숨길 수 없는 공격 징후가 많이 있습니다. 우선 주요 페이지의 변경 사항이나 링크의 차이점을 알 수 있습니다.

사이트가 해킹된 경우 일부 검색 엔진은 방문자가 액세스를 시도할 때 즉시 경고합니다. 이러한 보안 알림 중 하나가 실행되면 웹 사이트에서 맬웨어를 검색하고 이를 제거할 방법을 찾아야 한다는 확실한 지표입니다.

WordPress 사이트에서 맬웨어를 어떻게 제거할 수 있습니까?

WordPress에서 맬웨어를 제거하는 가장 쉬운 방법은 백업에 액세스하는 것입니다. Jetpack Scan과 같은 맬웨어 스캐너를 사용하는 경우 서버 파일의 변경 사항과 유해한 코드를 감지할 수 있습니다.

도구에 대한 정보가 포함된 Jetpack Scan 홈페이지

이 도구를 자체적으로 구매하거나 Jetpack Security 번들의 일부로 얻을 수 있습니다.

이 스캐너는 멀웨어를 제거하거나 서버가 감염되지 않았을 때의 백업을 복원하여 웹사이트를 치료할 수 있습니다.

WordPress에 대한 무차별 대입 공격을 어떻게 방지할 수 있습니까?

방화벽을 사용하여 알려진 악성 IP의 연결을 차단하여 웹 사이트에 대한 무차별 암호 대입 공격을 방지할 수 있습니다. Jetpack과 같은 플러그인을 사용하면 이를 수행할 수 있으며 반복적인 위반 시도로부터 로그인 페이지를 보호할 수 있습니다.

Jetpack 보안이란 무엇입니까?

Jetpack Security는 VaultPress Backup, Jetpack Scan 및 Akismet을 하나의 패키지에 포함하는 서비스입니다. 즉, 백업을 자동화하고, 정기적인 맬웨어 검사를 설정하고, 웹 사이트를 스팸으로부터 보호하는 데 도움이 되는 모든 것을 하나의 계획으로 지원합니다.

Jetpack 백업 화면이 겹쳐져 있는 컴퓨터에서 작업 중인 여성

WPScan 취약성 데이터베이스란 무엇입니까?

WPScan은 CMS 및 보안 전문가가 관리하는 WordPress 취약점 데이터베이스입니다. 데이터베이스는 지속적으로 업데이트되며 개발자인 경우 WP-CLI를 통해 액세스할 수 있습니다. Jetpack Protect는 WPScan 데이터베이스를 사용하여 웹 사이트에서 잠재적인 WordPress 보안 취약성 또는 맬웨어를 식별합니다.

Jetpack 보안: 취약성에 대한 WordPress 사이트의 방패

어떤 유형의 워드프레스 사이트를 운영하든 상관없이 보안 위협 및 취약성으로부터 사이트를 보호하는 데 사전 예방적인 조치를 취하는 것이 가장 좋습니다. 그렇지 않으면 웹 사이트의 성능이 저하되고 민감한 사용자 데이터가 악용될 수 있습니다. 결과적으로 귀하의 비즈니스 또는 평판이 손상될 수 있습니다.

이를 방지하는 가장 쉬운 방법은 Jetpack Security와 같은 WordPress 보안 플러그인으로 문제를 강화하는 것입니다. 이 강력한 도구를 사용하면 누구나 실시간 백업 생성, 자동 취약성 및 맬웨어 검사 실행, 스팸 필터링 등 보다 안전한 WordPress 사이트를 위한 가장 중요한 작업을 신속하게 처리할 수 있습니다.