WordPress 보안 프로세스; 테스트, 강화, 모니터링, 개선
게시 됨: 2020-06-11WordPress 보안은 IT 보안의 다른 많은 영역과 다르지 않습니다. 한 번으로 해결되는 것이 아닙니다. 그것은 실제로 결코 끝나지 않는 일입니다. WordPress 보안을 개선하기 위해 취할 수 있는 몇 가지 단계가 있지만 사이트 및 비즈니스 요구 사항이 변경됩니다. 따라서 특정 시점 보안 평가를 채택하면 잘못된 보안 감각만 갖게 됩니다. 대신, 승리 전략은 지속적인 프로세스를 따르는 것입니다. 방어를 지속적으로 테스트하고 이를 반복하여 웹사이트의 보안 태세를 개선하는 프로세스입니다.
이 기사는 WordPress 보안 노력이 지속적이고 귀하와 귀하의 비즈니스가 운영되는 위협 환경과 계속 관련성이 있도록 구현할 수 있는 간단하고 반복적인 프로세스를 제공하는 것을 목표로 합니다.
1. WordPress 보안 테스트
대부분의 WordPress 보안 여정은 여기에서 시작됩니다. WordPress 설치에 대해 잘못 구성된 것을 발견했거나 WPScan 또는 nmap과 같은 도구를 사용하여 WordPress 웹 사이트의 보안을 평가하는 방법에 대해 읽었습니다. 아마도 당신은 보안 사고의 희생자였으며 WordPress 보안을 테스트하는 방법에 대해 읽고 싶을 것입니다.
보안 테스트는 지속적인 WordPress 보안 전략의 중요한 단계입니다. 공격자와 같은 관점에서 웹사이트를 보면 웹사이트의 보안 상태를 더 잘 이해할 수 있습니다. 이것은 당신이 식별한 약점에 대한 방어를 강화 하기 위해 무엇을 할 수 있는지 알게 됨을 의미합니다. 이에 대한 자세한 내용은 2단계를 참조하십시오.
WordPress 보안 테스트를 어디서부터 시작해야 할지 잘 모르겠다면 타사 전문가를 고용하세요. 물론 WordPress 웹 사이트를 직접 침투하기 위해 점차적으로 지식을 쌓는 것을 막을 수는 없습니다.
2. 워드프레스 강화
보안 테스트에서 무엇을 발견했는지 이해했다면 이제 WordPress 설치를 강화할 때입니다. 기본적으로 WordPress는 상당히 안전합니다. 그러나 공격자의 삶을 더 어렵게 만들기 위해 WordPress 설정 및 서버 인프라에 대해 수행할 수 있는 선택, 최적화 및 변경이 많이 있습니다. 이러한 최적화 중 많은 부분이 사용 사례에 따라 달라질 수 있습니다. 이 프로세스를 일반적으로 "보안 강화" 또는 간단히 "강화"라고 합니다.
WordPress 설치를 강화하는 것은 확실히 일회성이 아닙니다. 변화하는 비즈니스 요구 사항을 수용하려면 새 플러그인을 설치하고 WordPress 사이트의 기능을 확장해야 합니다. 확실히 WordPress 보안 강화를 시작하는 데 리소스가 부족하지 않습니다. 다음은 WordPress 설정을 강화할 때 고수해야 하는 두 가지 핵심 원칙입니다.
더 적은 소프트웨어 실행
처음에는 "적은 소프트웨어 실행"이 별로 도움이 되지 않습니다. 그러나 대부분은 필요한 것보다 더 많은 소프트웨어를 실행하고 있을 것입니다. 이것은 또한 공격자가 추가 소프트웨어 내에서 잠재적인 약점을 악용할 수 있는 더 많은 공간을 의미합니다.
어디서부터 시작해야 할지 모르겠다면 먼저 WordPress 플러그인을 살펴보세요. 없이 무엇을 할 수 있는지 스스로에게 물어보고 제거하십시오. PHP 확장, 웹 서버 구성, 운영 체제 도구 및 네트워크 서비스에 동일한 원칙을 적용합니다.
소프트웨어를 제거하는 것은 일반적으로 시작하기 쉬운 프로세스가 아닙니다. 그러나 이 연습을 할 때마다 점점 더 어려워질 것입니다. 린 시스템을 실행한 결과는 그만한 가치가 있습니다.
테스트 또는 스테이징 환경에서 변경 사항을 항상 테스트하는 것 외에도 WordPress 방화벽, WordPress 활동 로그 또는 WordPress 파일 무결성 모니터 플러그인과 같은 소프트웨어를 제거 하지 않도록 해야 합니다. WordPress 보안을 개선하십시오.
비활성화된 플러그인 및 테마에도 적용됩니다. 비활성화된 플러그인은 즉시 삭제해야 합니다. 어떤 경우에는 취약한 경우 해당 코드가 여전히 악용될 수 있기 때문입니다. 테마와 관련하여 귀하의 웹 사이트는 하나의 테마만 사용합니다. 자식 테마 설정이 있는 경우 두 개일 수 있습니다. WordPress와 함께 제공되는 기본 테마를 포함하여 웹사이트의 모든 추가 테마를 삭제합니다.
최소 권한 원칙
WordPress를 실행하는 데 루트 MySQL 사용자가 필요하지 않습니다. 마찬가지로 Linux 서버에서 대부분의 소프트웨어를 루트로 실행하는 것은 좋지 않습니다(Microsoft Windows의 관리자와 동일). 정당한 이유가 있는 경우에만 admin/root 계정을 사용하십시오.
그러한 범위에서 일반적으로 항상 응용 프로그램이나 사용자에게 작업을 완료할 수 있는 최소한 의 권한을 부여하기 위해 최선을 다합니다. 물론 모든 것을 루트 또는 관리자로 실행한다는 것은 권한에 대해 신경 쓰지 않고 모든 것이 작동한다는 것을 의미합니다. 그러나 잠재적으로 매우 위험합니다. 관리자 권한으로 애플리케이션(크론 작업과 같은 작업 포함)을 실행하면 보안 침해가 발생한 경우 공격자 또는 악성 플러그인이 더 많은 피해를 입힐 수 있습니다.
어디서부터 시작해야 할지 잘 모르겠다면 먼저 WordPress 내에서 관리자 가 누구인지 살펴보고 이를 어떤 식으로든 제한해야 하는지 결정하세요. HTTPS(SSL)를 통해 WordPress 관리자에 액세스하고 이중 인증(2FA)을 구현했는지(또는 최소한 WordPress 관리자에 대해 HTTP 인증을 구현했는지).
물론 WordPress 웹 사이트의 보안 상태를 개선하기 위해 배치할 수 있는 몇 가지 다른 WordPress 보안 강화 팁이 있습니다. 자세한 내용은 WordPress 보안 자습서 및 팁을 참조하십시오.
3. 워드프레스 모니터링
로그는 모든 시스템을 안전하게 유지하는 데 절대적으로 중요합니다. 그것들은 우리가 타임머신에 가장 가까운 것입니다. 언제 무슨 일이 일어났는지 답할 수 있는 것은 보안 사고를 조사할 때 없어서는 안될 도구입니다. 올바른 로그에 액세스할 수 있다는 것은 공격자가 웹사이트에 발판을 마련했다는 사실을 알아차리는 것과 너무 늦을 때까지 습격을 눈치채지 못하게 놔두는 것의 차이를 의미할 수 있습니다.
로깅을 보완하는 것은 모니터링입니다. 가장 기본적인 형태의 모니터링은 어떤 이벤트가 발생할 때까지 기다렸다가(일반적으로 일부 로그를 주기적으로 확인하여) 이를 기록하고 일반적으로 시스템 관리자에게 어떤 일이 발생했음을 알리는 일종의 경고 시스템으로 구성됩니다(예: WordPress 침입 감지 시스템 ). 많은 시스템 관리자는 일반적으로 CPU 및 메모리 사용량을 모니터링하지만 WordPress에 대한 모니터링 액세스 권한이 없을 수 있습니다.
워드프레스 활동 로그
사용자가 특정 기간 내에 무엇을 했는지 정확히 파악하기 위해 WordPress 활동 로그를 다시 볼 수 있다는 것은 조사에서 중요한 분석 도구입니다. 또한 이 정보를 웹 서버, PHP 오류 및 데이터베이스 로그와 연관시킬 수 있기를 원할 것입니다. 다음은 최소한 기본적인 로그 처리를 올바르게 다루고 있는지 확인하기 위한 몇 가지 팁입니다.
- 디스크 공간이 부족하지 않도록 로그를 적절하게 회전하고 있는지 확인하십시오.
- 로그를 주기적으로 오프사이트 백업(예: Amazon S3 또는 Digital Ocean Spaces)에 백업
- 로그를 보존할 기간을 파악하고 활동 로그 보존 정책을 구성합니다. 최소 1년 보존 권장
- 사고 발생 시 로그의 중요한 정보에 빠르게 액세스할 수 있는지 확인하십시오.
기타 로그
WordPress 활동 로그 외에도 사이트 관리자는 웹 서버 로그, PHP 로그 및 기타 여러 로그와 같은 다른 많은 로그에 액세스할 수 있습니다. 액세스 권한이 있는 다양한 로그 파일에 대해 자세히 알아보려면 WordPress 관리자용 로그 파일 목록을 참조하세요. 게시물은 또한 모든 로그의 정보를 사용하여 사건이나 공격을 추적하는 방법을 강조합니다.
4. WordPress 보안 향상
위에서 설명한 주기를 완료했으면 다음 단계에서는 다음에 더 잘할 수 있는 작업을 시도하고 분석합니다. 이 기사의 시작 부분에서 논의한 것처럼 보안은 지속적인 프로세스라는 점을 명심하십시오. WordPress 보안 뉴스를 최신 상태로 유지하려고 노력하고 중요하게는 항상 WordPress 보안 업데이트를 최신 상태로 유지해야 합니다.
이 프로세스를 몇 번 거친 후 자신의 프로세스에 대한 세부 정보를 문서화하십시오. 당신이 아주 자주 따르는 것을 습관화하십시오. 또한 WordPress 웹 사이트에 변경 사항을 도입할 때마다 보안을 염두에 두십시오. 웹사이트를 변경할 때마다 웹사이트 보안을 테스트 , 강화 , 모니터링 및 개선 하는 반복적인 WordPress 보안 프로세스를 따르십시오.