최고의 WordPress 보안 실수 및 수정 방법 - MalCare

WordPress 보안 실수: WordPress 웹사이트에서 매분 90,978건의 해킹 시도가 발생한다는 사실을 알고 계셨습니까? 사이트가 해킹되면 해커는 이를 사용하여 스팸 이메일 보내기(읽기 – 피싱 해킹), 다른 웹사이트 공격, 스팸 링크 삽입, 방문자 리디렉션 등과 같은 모든 종류의 악의적인 활동을 실행합니다.

이것이 귀하와 같은 WordPress 사이트 소유자가 보안 문제를 심각하게 고려해야 하는 이유입니다. 모든 보안 요구 사항을 해결하는 데 사용할 수 있는 묘책은 없지만 많은 일을 올바르게 수행해야 합니다. 인터넷에는 사이트를 안전하게 유지하는 방법에 대한 수많은 조언이 있습니다. 그들 중 일부는 상충되는 조언이고 일부는 구식입니다. 사이트 소유자가 해야 할 일과 혼란을 초래하지 말아야 할 일에 대한 수많은 의견과 그 모든 혼란 속에서 실수는 불가피합니다.

사이트의 보안을 유지하는 것은 특히 일반적인 해킹 공격에 취약해질 수 있는 실수를 저지르는 경향이 있는 새로운 사이트 소유자에게 쉬운 일이 아닙니다. 웹 사이트 소유자가 저지르는 일반적인 보안 실수를 알면 이를 피하는 데 도움이 됩니다. 그래서 대부분의 WordPress 사이트 소유자가 저지르는 실수를 멈출 수 있도록 이 목록을 만들었습니다.

사이트 소유자가 저지른 최고의 WordPress 보안 실수:

아래 조치를 취하기 전에 WordPress 보안 감사를 실행하는 것이 좋습니다.

1. WordPress 코어, 플러그인 및 테마를 업데이트하지 않음

WordPress 코어 및 애드온(예: 테마 및 플러그인)을 최신 상태로 유지하는 것은 좋은 보안 조치입니다. 업데이트하면 사이트에 더 많은 기능이 추가될 뿐만 아니라 취약점을 패치하는 데도 도움이 됩니다. WordPress가 작동하는 생태계로 인해 취약점에 대한 뉴스가 매우 빠르게 퍼지고 해커가 상황을 이용하려고 합니다. 취약점을 패치하는 데 도움이 되는 사이트를 업데이트하지 않으면 사이트가 침입하기 쉬워집니다.

일부 사이트 소유자는 업데이트가 보안과 어떻게 연결되어 있는지 모르기 때문에 사이트를 업데이트하지 않는 반면 다른 소유자는 비호환성을 두려워합니다. WordPress 코어 및 추가 기능을 업데이트한 후 WordPress 웹 사이트가 중단될 수 있습니다.

WordPress 업그레이드는 모든 이전 버전과 호환되도록 설계되었습니다. 따라서 사이트에서 버전 4.1을 실행 중인 경우 최신 버전, 즉 4.9로 업데이트할 수 있습니다. 그러나 모든 예방 조치에도 불구하고 각 업데이트는 웹 사이트 충돌 소식을 전합니다. 다음은 최신 WordPress 버전 4.9.6의 예입니다 .

테마 및 플러그인과 같은 WordPress 추가 기능을 업데이트할 때 유사한 문제가 발생할 수 있습니다. 종종 개발자가 새 업데이트를 출시하거나 개발자가 무능했기 때문에 테마 및 플러그인에서 비호환성 문제가 발생합니다. 플러그인과 테마는 매우 경쟁적인 시장을 가지고 있으며 나머지와 차별화하기 위해 개발자는 최단 시간 내에 점점 더 많은 새로운 기능을 추가해야 합니다. 때때로 그들은 버전이 모든 이전 버전의 WordPress와 호환되는지 확인할 충분한 시간이 주어지지 않습니다. 그래서 누군가 아주 초기 WordPress 버전을 사용하고 있고 최신 WordPress 버전에서만 작동하는 플러그인을 업데이트하면 그의 사이트가 중단됩니다.

WordPress Core와 추가 기능 간의 호환성 문제를 둘러싼 우려로 인해 사이트 소유자가 보안 업데이트를 건너뛸 수 있습니다.

해결 방법: 스테이징 서비스로 이 문제를 해결할 수 있습니다. WordPress 코어 및 추가 기능의 설치를 테스트할 목적으로 복제 사이트를 생성하는 프로세스를 스테이징이라고 합니다. BlogVault 와 같은 백업 서비스 또는 Kinsta 와 같은 웹 호스트 제공업체도 스테이징 환경을 제공합니다. 웹 호스트 또는 백업 서비스(사용 중인 경우)에 사이트 준비 옵션이 있는지 확인하십시오. 그렇지 않은 경우 사이트를 준비할 수 있는 서비스에 가입하십시오.

플러그인, 테마 및 코어를 최신 상태로 유지하는 것 외에도 WordPress 솔트 및 보안 키를 최신 상태로 유지하는 것이 좋습니다.

2. 저품질 애드온 사용

모든 WordPress 플러그인과 테마가 잘 만들어진 것은 아닙니다. 일부는 품질 보증 검사를 무시하고 다른 일부는 아마추어 프로그래머가 개발합니다. 사용자가 사용하거나 구매하기로 선택한 항목에 주의를 기울이는 것이 중요합니다. 그러나 불행히도 많은 WordPress 사용자는 플러그인이나 테마가 얼마나 좋은지 알아낼 수 없도록 만드는 기술 지식이 없습니다.

해결 방법: 이러한 사용자를 돕기 위해 좋은 테마 또는 플러그인을 찾는 데 도움이 되는 몇 가지 특성을 나열했습니다.

나. WordPress 플러그인 리포지토리와 같은 평판이 좋은 출처 나 Elegant Themes, Themeforest 등과 같은 인기 있는 판매자로부터 애드온을 다운로드했는지 확인하세요.

ii. 추가 기능이 WordPress 저장소에서 좋은 평가를 받고 사이트에서 테마/플러그인을 사용한 사람들이 검토했는지 확인합니다. 빠른 Google 검색은 리뷰를 찾는 데 도움이 됩니다.

iii. 플러그인이 오랫동안 사용되어 왔으며 시간의 테스트를 견뎌냈는지 확인합니다. WordPress 리포지토리 또는 공식 웹 사이트에 나열된 보안 업데이트 및 버그 수정을 찾으십시오.

iv. 그리고 자주 업데이트되고 최근 업데이트가 2개월 미만인지 확인하십시오.

3. 불법 플러그인 및 테마 사용

많은 웹사이트에서 프리미엄 테마와 플러그인을 무료로 판매합니다. 이러한 무료 제품을 사용하면 많은 WordPress 애드온에 의도적으로 맬웨어가 삽입되어 있기 때문에 재앙을 초래할 수 있습니다. 이러한 불법 애드온을 사이트에 설치하는 것은 문을 열고 해커를 사이트에 초대하는 것과 같습니다. 공격자가 방금 설치한 테마/플러그인의 잘못된 코드를 사용하여 사이트에 침입하면 사이트를 사용하여 스팸 이메일을 보내거나 다른 사이트를 공격하는 것과 같은 여러 가지 악의적인 활동을 실행합니다. 또한 사이트에 맬웨어가 있는 경우 호스팅 제공업체가 Google과 같은 계정 검색 엔진을 정지시켜 사이트를 블랙리스트에 추가하고 애드워즈 계정을 정지시키는 해킹된 것으로 간주합니다.

해결 방법: ThemeForest , Elegant Themes 등과 같은 인기 있는 마켓플레이스에서 오리지널 테마와 플러그인을 구입하세요. 세일 기간 동안 테마와 플러그인을 훨씬 저렴한 가격에 구입할 수 있습니다. 우리가 선택한 테마나 플러그인의 공식 웹사이트를 찾을 수 있습니다.

4. 사용하지 않는 플러그인 및 테마를 사이트에 보관

사용하지 않는 테마와 플러그인을 웹사이트에 보관하면 해커가 사이트에 침투할 기회가 생깁니다. 많은 사이트 소유자는 보안 이점을 모르기 때문에 비활성 추가 기능을 업데이트하지 않습니다. 그들에게 업데이트는 새로운 기능을 가져오고 플러그인을 사용하지 않기 때문에 새로운 기능이 필요하지 않다고 생각합니다. 취약점을 패치하기 위해 업데이트가 릴리스된 경우 업데이트할 때까지 사이트가 위험에 노출됩니다.

해결 방법: 여기서 유일한 해결책은 비활성 WordPress 테마 및 플러그인을 제거하는 것입니다. 방법은 다음과 같습니다.

사이트의 WordPress 대시보드에서 '설치된 플러그인' 페이지를 방문하세요.

페이지에 '비활성화'라는 옵션이 있습니다. 그것을 선택하십시오.

비활성 플러그인을 삭제할 수 있는 다른 페이지로 이동합니다. 그러나 '비활성화' 버튼을 누르기 전에 가까운 장래에 해당 특정 플러그인이 필요하지 않은지 확인하는 것이 좋습니다.

5. 잘못된 웹사이트 로그인 방식 사용

일반적이지만 매우 위험한 두 가지 로그인 방법은 추측하기 쉬운 로그인 자격 증명을 사용하고 사이트를 사용하지 않을 때 로그아웃하지 않는 것입니다. 공격자는 사이트를 해킹하기 위해 기억하기 쉬운 사용자 이름(예: admin)과 암호(예: password123)의 조합을 사용하여 사이트에 로그인을 시도하는 봇을 프로그래밍합니다. 사이트를 해킹하는 이 독특한 방법을 무차별 대입 공격이라고 합니다.

해결 방법: 고유한 사용자 이름과 암호를 사용하는 것이 좋습니다(권장 읽기 – WordPress 로그인 페이지 보호 가이드). 여기서 한 가지 단점은 고유한 자격 증명을 기억하기 어렵다는 것입니다. 따라서 이러한 자격 증명이 포함된 문서를 유지 관리해야 합니다. 그리고 무단 액세스를 방지하기 위해 문서가 암호화되어 있는지 확인하십시오.

6. 모든 사용자에게 관리 액세스 권한 부여

모든 사용자를 관리자로 지정하는 것은 특히 사이트 소유자가 개인적으로 알지 못하는 많은 사용자가 있는 웹사이트의 경우 나쁜 생각입니다. WordPress를 사용하면 사이트 소유자는 관리자, 편집자, 작성자, 기여자, 구독자, SEO 관리자, SEO 편집자와 같은 역할을 사용자에게 할당할 수 있습니다. 사이트의 모든 영역에 대한 액세스 권한을 부여하므로 모든 사람을 관리자로 만드는 것은 위험합니다.

사용자에게 전체 사이트에 대한 무제한 액세스 권한을 부여 하면 OurMine(해커 그룹)에 의해 해킹된 TechCrunch (인기 기술 사이트) 의 사례에서 볼 수 있듯이 악용이 발생합니다 . 사용자 계정에 대한 액세스 권한을 얻은 후 OurMine은 사이트에 게시할 수 있었습니다. 다음은 TechCrunch가 해킹된 후 독자들이 깨어났을 때 홈페이지의 스크린샷입니다.

수정 방법: WordPress의 각 사용자 역할은 사이트의 특정 영역에 대한 액세스만 허용합니다. 사용자가 사이트에서 수행해야 하는 작업에 따라 이러한 역할을 할당할 수 있습니다. 이 원칙을 따르면 신뢰할 수 있는 사람만 전체 사이트에 액세스할 수 있습니다. 그리고 문제가 발생하면 누가 책임을 져야 하는지 알 수 있습니다.

7. 백업하지 않기

백업은 안전망입니다. 하나도 갖추지 않으면 재난이 닥쳤을 때 곤경에 처할 수 있습니다. 사이트가 해킹당하고 게시물이 삭제된 경우 백업을 사용하여 사이트를 정상으로 쉽게 복원할 수 있습니다. 그러나 많은 백업 서비스가 효율적이지 않기 때문에 아무 백업 서비스나 사용하는 것은 바람직하지 않습니다. 예를 들어 많은 백업 플러그인은 웹 서버에 백업을 저장합니다. 그들 중 일부는 한 곳에 백업을 저장합니다. 귀하의 웹 사이트 서버는 백업을 저장하기에 이상적인 장소가 아닙니다. 서버는 정기적인 프로세스를 수행하는 것 외에도 백업의 부담을 지기 때문입니다. 사이트 속도를 저하시킵니다. 하나의 백업만 저장한다는 것은 백업을 잃어버리면 대체할 다른 백업이 없다는 것을 의미합니다.

해결 방법: 백업 서비스를 선택하기 전에 기능을 확인하여 백업을 저장하는 위치를 확인하세요. 적절한 정보를 찾을 수 없는 경우 백업을 저장하는 위치와 여러 위치에 저장하는지에 대해 직접 질문하는 메일을 보내십시오. 신뢰할 수 있는 백업을 선택하는 방법에 대해 자세히 알아보려면 이 게시물 을 확인하십시오 .

8. 보안 서비스를 사용하지 않음

많은 웹사이트 소유자, 특히 트래픽이 적은 소규모 웹사이트를 소유한 소유자는 자신의 사이트가 중요하지 않아 해커의 관심을 끌지 않을 것이라고 생각합니다. 그러나 오늘날 해커들은 작은 웹사이트를 공격할 충분한 이유가 있습니다 . 파일을 저장하거나 스팸 메일을 보내는 데 사용할 수 있습니다. 실제로 많은 해킹 그룹은 작은 웹사이트가 보안에 취약하고 따라서 해킹하기 쉽기 때문에 작은 사이트 공격을 선호합니다. 그들은 봇이 사이트에 침입하기 위해 올바른 사용자 이름과 자격 증명을 추측하려고 시도하는 대규모 무차별 암호 대입 공격을 시작합니다. 가장 선호되는 해킹 기술 중 하나는 취약한 플러그인 및 테마를 이용하는 것입니다.

해결 방법: 표준 보안 서비스는 WordPress 방화벽과 같은 필수 보안 기능을 제공하여 해커가 사이트에 침입하는 것을 방지합니다.

사이트를 수정하기 위해 위의 조치를 취하는 것 외에도 몇 가지 보안 조치를 더 취할 수 있습니다. 이 가이드를 따르는 것이 좋습니다 – wp-config.php로 WordPress 사이트 보호.

플러그인이나 테마 또는 코어의 취약점이 발생할 때마다 개발자는 업데이트를 통해 패치를 릴리스합니다. 따라서 모든 테마, 플러그인 및 WordPress 코어를 최신 상태로 유지하는 것이 좋은 보안 관행입니다. MalCare – 최고의 WordPress 보안 플러그인 중 하나는 MalCare 대시보드에서 플러그인, 테마 및 WordPress 코어를 업데이트할 수 있는 사이트 관리 기능을 제공합니다. 유지 관리할 웹 사이트가 많은 사람들에게 특히 유용합니다. 각 웹사이트에 로그인하고 테마, 플러그인 및 코어를 업데이트하는 것은 시간이 많이 걸리는 작업입니다. MalCare와 같은 서비스를 통해 사이트 소유자는 우수한 보안 사례를 보다 쉽게 ​​따를 수 있습니다.

방화벽 및 사이트 관리 외에도 보안 플러그인은 일일 검색 서비스도 제공합니다. 웹사이트가 맬웨어에 감염된 경우 플러그인이 해킹된 웹사이트를 복구하는 데 도움이 됩니다. 웹 사이트 보안을 완전히 관리하기 위해 WordPress 웹 사이트 유지 관리 서비스를 직접 제공하는 팀이 더 편하다면 WP Buffs가 훌륭한 옵션이 될 것입니다. 그들은 당신이 1개의 웹사이트를 관리하든 1000개의 웹사이트를 관리하든 관계없이 업데이트, 보안, 웹사이트 속도 및 지속적인 편집을 돌봅니다!

다음은 무엇입니까?

좋은 WordPress 보안 플러그인을 사용하는 것은 안전한 웹사이트를 구축하거나 WordPress를 안전하게 유지하기 위한 첫 번째 단계입니다. 취할 수 있는 몇 가지 추가 보안 조치로는 IP 차단, 로그인 페이지 보호, WordPress 보안에 대한 전체 가이드를 따라 더 자세히 알아볼 수 있습니다. WordPress 사이트를 보호하는 방법.

과거에 이러한 실수를 저질렀다면 이 게시물을 통해 무엇을 잘못했는지, 어떻게 고칠 수 있는지 알 수 있었습니다. 이러한 WordPress 보안 실수 및 수정 사항에 대한 질문을 환영합니다. 문의하기 페이지를 통해 연락해 주시기 바랍니다 .