최고의 28가지 WordPress 보안 모범 사례 및 팁

게시 됨: 2024-01-05

워드프레스는 강력한 콘텐츠 관리 시스템(CMS)이지만 그 인기는 해커들 사이에서도 똑같이 주목을 받는다는 것을 의미한다. 필요한 보안 조치가 없으면 사이트가 공격에 취약해질 수 있습니다.

다행히도 사이트를 안전하게 유지하기 위해 할 수 있는 일이 몇 가지 있습니다. 이는 플러그인 업데이트 및 백업 수행과 같은 간단한 작업부터 더 강력한 보안 조치를 갖춘 호스팅 제공업체로 마이그레이션하는 것과 같은 보다 복잡한 전략에 이르기까지 다양합니다.

이 글에서는 사이트를 보호하는 데 도움이 되는 28가지 WordPress 보안 모범 사례를 안내합니다.

1. WordPress, 플러그인, 테마를 최신 상태로 유지하세요.

오래된 소프트웨어는 웹사이트에 큰 위협이 됩니다. 플러그인이나 테마가 몇 달 또는 몇 년 동안 업데이트되지 않으면 해커는 소프트웨어의 취약점을 찾고 이를 사용하는 사이트에 침입하는 방법을 찾는 데 더 많은 시간을 갖게 됩니다.

간단히 말해서, 이전 버전의 WordPress를 사용하는 경우 사이트가 공격에 취약합니다. 이는 귀하의 웹사이트에 있는 모든 플러그인이나 테마에도 적용됩니다.

WordPress가 엄청나게 인기가 있다는 점을 명심하는 것이 중요합니다. 이는 알려진 모든 웹사이트의 약 43%를 지원합니다. 즉, 보안 문제가 있는 단일 플러그인으로 인해 사이버 범죄자가 침입할 수 있는 수백 또는 수천 개의 사이트가 생길 수 있습니다.

이러한 취약점으로부터 자신을 보호하는 가장 쉬운 방법은 WordPress와 모든 구성 요소를 최신 상태로 유지하는 것입니다. 매일 대시보드를 확인하여 사용 가능한 업데이트를 확인하고 실행하면 됩니다.

WordPress 대시보드에서 사용 가능한 업데이트

플러그인의 경우 하나씩 자동으로 업데이트되도록 구성할 수 있습니다. 이렇게 하려면 플러그인 → 설치된 플러그인 으로 이동하여 자동으로 업데이트하려는 플러그인에 대해 자동 업데이트 활성화를 클릭하세요.

WordPress에서 자동 업데이트 켜기

2. 기본 "admin" 사용자 이름 변경

WordPress 사용자가 저지를 수 있는 가장 큰 보안 실수 중 하나는 "admin" 또는 "administrator"와 같은 사용자 이름을 선택하는 것입니다. 이는 WordPress에서 자동으로 설정하는 기본 사용자 이름이며, 이를 그대로 유지하면 공격자가 강제로 침입하기가 더 쉬워집니다.

많은 해커는 가능한 한 많은 사용자 이름과 비밀번호 조합을 시도하여 웹사이트에 침입하려고 합니다. 이를 무차별 대입 공격이라고 합니다. 누군가가 이미 귀하의 사용자 이름을 알고 있다면 로그인 요소 하나만 추측하면 된다는 의미입니다.

WordPress에서는 관리자 계정의 사용자 이름을 설정한 후에는 이를 변경할 수 없습니다. 변경하려면 새 계정을 생성하고 관리자 사용자 역할을 부여한 후 이전 계정을 삭제해야 합니다.

사용자 → 새로 추가 로 이동하여 이 작업을 수행할 수 있습니다. 그런 다음 추측하기 어려운 사용자 이름을 포함하여 계정 세부 정보를 입력하고 역할 메뉴에서 관리자를 선택합니다.

WordPress에서 비밀번호 재설정

다음에 WordPress 웹사이트를 만들 때는 관리자 사용자 이름을 다른 이름으로 설정해야 합니다. 이 간단한 변경으로 인해 공격자가 계정에 액세스하는 것이 훨씬 더 어려워집니다.

3. 강력한 비밀번호를 사용하고 정기적으로 변경하세요.

“1234”와 같은 쉬운 비밀번호를 사용하거나 모든 계정에 동일한 비밀번호를 사용하는 경우 누군가가 귀하의 사이트에 액세스하는 것은 시간문제일 뿐입니다.

도난당한 계정에 다시 액세스할 수 있는 방법이 있지만 그 과정은 어려울 수 있습니다. 또한 해커는 귀하의 콘텐츠와 평판에 회복할 수 없는 피해를 입힐 수도 있습니다.

WordPress에서 새 계정을 생성하면 CMS가 강력한 비밀번호를 생성합니다. 일반적으로 문자, 숫자, 특수 문자의 조합입니다.

이 비밀번호를 사용하거나 더 기억하기 쉬운 비밀번호로 변경할 수 있습니다(문자와 숫자를 혼합하여 유지).

WordPress에서 강력한 비밀번호 만들기

기억하기 어려운 경우 자격 증명 관리자를 사용할 수도 있습니다. 비밀번호 관리자는 모든 계정에 대한 안전한 비밀번호를 생성하고 안전하게 유지하는 데 도움을 줄 수 있습니다.

보안을 강화하려면 비밀번호를 주기적으로 변경하는 것이 좋습니다. 이렇게 하면 자격 증명이 유출되더라도 계정이 안전해집니다.

4. 2단계 인증(2FA) 구현

다른 많은 웹사이트와 마찬가지로 WordPress에는 로그인하려면 사용자 이름과 비밀번호가 필요합니다. 즉, 로그인 보안은 자격 증명의 강도에 따라 크게 좌우됩니다.

워드프레스 로그인 화면

가장 강력한 비밀번호를 사용하더라도 누군가가 귀하의 계정이나 사이트의 다른 사용자에 액세스할 가능성이 있습니다. 이러한 위반을 방지하는 효과적인 방법은 2단계 인증(2FA)을 사용하는 것입니다.

2FA를 활성화하면 사이트에 사용자가 로그인하기 위한 추가 확인 방법이 필요합니다. 일반적으로 이는 SMS, 이메일 또는 인증 앱을 통해 전송되는 일회성 코드입니다.

해커는 귀하의 모바일 장치나 이메일에 접근할 수 없으므로 귀하의 계정에 로그인할 수 없습니다. 일부 웹사이트에서는 2FA 사용 옵션을 제공하는 반면 다른 웹사이트에서는 이를 시행합니다.

Jetpack을 사용하는 경우 사용자가 WordPress.com 계정으로 로그인할 수 있도록 설정할 수 있습니다. WordPress.com의 2FA 기능을 사용하는 옵션도 있습니다.

WordPress.com에서 이중 인증 켜기

Jetpack → 설정 으로 이동하여 WordPress.com 로그인 섹션을 찾아 이러한 설정을 찾을 수 있습니다. 그런 다음 해당 스위치를 전환하면 됩니다.

5. SSL 인증서를 통해 HTTPS 암호화 사용

SSL(Secure Sockets Layer) 인증서를 사용하면 웹사이트가 HTTP의 보안 버전인 HTTPS를 통해 로드될 수 있습니다. 인증서는 귀하의 웹사이트가 진짜인지, 브라우저와 서버 간의 통신이 암호화되었는지 확인합니다.

Let's Encrypt와 같은 여러 기관에서 무료로 SSL 인증서를 얻을 수 있습니다. 많은 WordPress 웹 호스트는 웹사이트에 대한 SSL 인증서를 자동으로 설정합니다. 다른 웹 호스트에서는 cPanel을 통해 수동으로 인증서를 설정할 수 있습니다.

6. 평판이 좋은 보안 플러그인을 설치하세요

WordPress 보안 플러그인에는 웹사이트를 보호하는 데 도움이 되는 기능 및 도구 모음이 함께 제공되는 경우가 많습니다. 여기에는 일반적으로 다음이 포함됩니다.

  • 스팸 방지
  • 서비스 거부(DDoS) 공격 방지
  • 웹 애플리케이션 방화벽(WAF)
  • 악성코드 검사 및 정리
  • 자동 백업

각 작업을 개별적으로 수행하는 개별 WordPress 플러그인을 찾을 수 있습니다. 하지만 포괄적인 보안 도구를 선택하면 같은 장소에서 여러 기능을 관리할 수 있어 작업이 더 쉬워집니다.

실제로 올바른 플러그인을 사용하면 WordPress 최고의 보안 사례 목록에 있는 여러 항목을 확인하는 데 도움이 될 수 있습니다. Jetpack Security에는 방금 언급한 모든 기능과 기타 여러 기능이 포함되어 있습니다.

7. 웹사이트를 정기적으로 백업하세요

데이터를 정기적으로 백업하는 것은 데이터를 안전하게 유지하기 위해 할 수 있는 가장 중요한 일입니다. 웹사이트의 경우 보안 위반이나 오작동이 발생할 경우 전체 백업이 생명의 은인이 될 수 있습니다.

사이트가 해킹당하거나 제대로 작동하지 않는 경우 문제를 해결하는 가장 쉬운 방법은 최근 백업을 복원하는 것입니다. 백업이 최신일수록 중요한 정보가 손실될 가능성이 줄어듭니다.

사이트가 다시 제대로 작동하면 추가 공격으로부터 사이트를 보호하기 위해 필요한 조치를 취할 수 있습니다.

WordPress에는 다양한 백업 옵션이 있습니다. 일부 웹 호스트는 호스팅 계획의 일부로 자동 백업을 제공합니다(일반적으로 관리형 서비스인 경우). 그러나 이러한 백업에만 의존하지 않는 것이 가장 좋습니다. 코딩 실수, 호스트 오류 또는 해킹으로 인해 서버가 손상된 경우 백업도 손상될 수 있습니다.

더 나은 옵션은 오프사이트에 백업을 저장하는 플러그인을 사용하는 것입니다. Jetpack VaultPress Backup은 그러한 옵션 중 하나입니다. 이 도구는 개별 플러그인으로 사용 가능하며 앞서 언급한 Jetpack Security 번들의 일부로 사용 가능합니다. 변경할 때마다 사이트를 자동으로 백업합니다.

Jetpack VaultPress 백업 홈페이지

이러한 실시간 백업은 웹사이트에 지속적으로 새로운 콘텐츠를 추가하는 경우에 이상적입니다. 이는 항상 최신 버전의 복사본을 갖게 된다는 의미입니다. 또한 백업은 오프사이트에 저장되므로 사이트가 완전히 다운된 경우에도 항상 액세스할 수 있습니다.

8. 웹 애플리케이션 방화벽(WAF)을 사용하세요

WAF는 웹 사이트에서 들어오고 나가는 트래픽을 필터링하도록 설계된 방화벽 유형입니다. 규칙을 사용하여 특정 유형의 트래픽을 필터링하고 알려진 악성 IP를 차단 목록에 추가할 수 있습니다.

WAF는 SQL 주입, XSS(교차 사이트 스크립팅), CSRF(교차 사이트 요청 위조)를 비롯한 일반적인 유형의 사이버 공격을 차단하는 데 도움이 되도록 설계되었습니다. 그들은 복잡한 규칙 시스템 덕분에 이것을 할 수 있습니다.

방화벽 규칙이 포괄적일수록 더 효과적입니다. Jetpack Security를 ​​포함한 많은 보안 플러그인은 수년간 WordPress 공격을 처리한 경험을 바탕으로 설계된 규칙 세트를 갖춘 정교한 WAF를 자랑합니다.

WAF를 수동으로 설정하고 구성할 수 있지만 가장 좋은 방법은 웹 호스트나 이를 설정해 주는 보안 플러그인을 사용하는 것입니다. 이렇게 하면 기존 위협 데이터베이스를 활용하고 방화벽을 켜기만 하면 됩니다.

9. 정기적으로 악성 코드 검사

웹사이트에서 맬웨어를 검사하려면 타사 도구나 보안 플러그인을 사용해야 합니다. 이 소프트웨어는 사이트의 파일, 플러그인 및 테마를 검사하여 맬웨어 감염을 찾습니다. 잘못된 것이 발견되면 문제가 있는 위치를 알려줍니다.

제트팩 스캔 hmoepage

컴퓨터에서 바이러스 백신 검사를 실행했는데 시간이 오래 걸렸던 것을 기억하십니까? 이제 대부분의 바이러스 백신 소프트웨어는 백그라운드에서 실행되며 문제가 있는 경우에만 사용자를 방해합니다. Jetpack Security를 ​​사용한 맬웨어 검사도 원활하게 작동합니다.

그리고 문제가 있음을 알려주는 다른 도구와 달리 Jetpack은 무언가를 발견하면 일반적으로 한 번의 클릭으로 문제를 해결할 수 있는 솔루션을 제공합니다.

사이트를 보호하기 위한 조치를 취하면 맬웨어 감염이 거의 발생하지 않습니다. 그럼에도 불구하고 제로데이 익스플로잇이나 기타 막기 어려운 공격을 당할 경우를 대비해 자동 맬웨어 검사를 설정해 두는 것은 결코 나쁠 것이 없습니다.

10. 양식 차단 및 스팸 댓글 차단

열려 있는 댓글 섹션이나 양식이 있는 WordPress 사이트에서는 스팸이 발생할 수 있습니다. 이는 경쟁업체가 자신의 사이트에 대한 링크를 게시하는 것부터 악의적인 URL을 공유하는 공격자 또는 스크립트를 사용하여 무단 액세스를 시도하는 것까지 다양합니다.

이 문제에 대한 간단한 해결책은 사이트의 댓글을 조정하는 것입니다. 그러나 사이트가 성장함에 따라 스팸 댓글 필터링이 정규직이 될 수 있습니다. 수천 개의 메시지가 조정을 기다리는 것은 드문 일이 아닙니다.

CAPTCHA를 사용하여 로봇 스팸 제출을 막을 수 있지만 필연적으로 일부 사용자를 짜증나게 하고 사이트가 번창하는 데 필요한 합법적인 참여와 전환을 감소시킬 수 있습니다.

가장 좋은 방법은 Akismet을 사용하는 것입니다. 이 도구는 댓글과 양식에 대한 스팸 제출을 차단하기 위해 백그라운드에서 완벽하게 작동하므로 스팸이 발생하고 있다는 사실조차 인식하지 못합니다. 합법적인 사용자는 퍼즐을 풀거나 수수께끼에 답하거나 상자를 클릭할 필요 없이 계속할 수 있습니다.

이 모든 작업은 98%의 정확도로 이루어집니다.

Akismet은 또한 사용자 정의가 가능하여 특정 댓글을 즉시 삭제하고 다른 댓글은 유지하여 수동으로 검토하고 승인하거나 거부할 수 있습니다.

Akismet을 자체 플러그인으로 얻을 수 있지만, 최소한의 노력(및 비용)으로 전반적인 보안과 사용자 경험을 향상시키려는 경우 Jetpack Security 계획의 일부로 Akismet을 얻을 수도 있습니다.

11. FTP를 사용하여 보안 파일 권한 구현

UNIX 기반 시스템의 모든 파일과 폴더에는 일련의 권한이 있습니다. 이러한 권한은 세 개의 숫자 집합으로 표시됩니다. 예를 들어 "777"은 모든 사용자가 파일이나 디렉터리에 대한 전체 쓰기, 읽기 및 실행 권한을 가지고 있음을 의미합니다.

세 숫자 중 첫 번째 숫자는 파일이나 디렉터리의 소유자를 나타냅니다. 두 번째 숫자는 소유자 그룹의 계정을 나타내고, 세 번째 숫자는 다른 모든 사용자를 나타냅니다.

위의 예에서 각각 7은 해당 유형의 사용자 각각이 읽기(4), 쓰기(2) 및 실행(1) 권한을 가지고 있음을 의미합니다. 해당 값을 더하면 7이 됩니다.

WordPress 파일 및 디렉터리에 할당한 파일 권한에 따라 해당 파일 및 디렉터리에 액세스하고, 읽고, 편집할 수 있는 사람이 결정됩니다. WordPress에 권장되는 파일 권한은 디렉터리의 경우 755, 파일의 경우 644입니다.

이러한 권한을 설정하려면 FileZilla와 같은 FTP(파일 전송 프로토콜) 도구를 통해 웹사이트에 연결해야 합니다. 호스팅 계정에서 FTP 자격 증명을 얻을 수 있습니다.

사이트에 연결한 후 루트 디렉터리(일반적으로 public_html 로 표시됨)로 이동합니다. 이 폴더 내에서 원하는 하위 디렉터리나 파일을 선택하고 마우스 오른쪽 버튼을 클릭한 다음 파일 권한 옵션을 선택할 수 있습니다.

FileZillal에서 파일 권한 편집

숫자 값 필드를 통해 선택한 파일이나 디렉터리에 대한 권한을 설정할 수 있는 새 창이 나타납니다.

wp-include에 대한 파일 권한 편집

디렉터리에 대한 권한을 변경하면 Recurse into subdirectories 라는 옵션도 표시됩니다. 이렇게 하면 모든 하위 디렉터리나 파일에 대해 동일한 권한을 설정할 수 있습니다.

WordPress 파일에 대한 최적의 권한과 관련하여 규칙에 몇 가지 예외가 있습니다. 그 중 하나가 wp-config.php 파일인데, 이에 대해서는 다음 섹션에서 논의하겠습니다.

12. wp-config.php 파일을 보호하세요

wp-config.php 파일에는 웹사이트와 해당 데이터베이스에 대한 중요한 정보가 포함되어 있습니다. 가장 중요한 WordPress 핵심 파일 중 하나이므로 보안을 위해 추가 조치를 취해야 합니다.

권한 측면에서 wp-config.php를 400 또는 440으로 설정하는 것이 가장 좋습니다. 이전 섹션의 분석을 기억한다면 해당 권한 값이 다음과 같이 변환된다는 것을 알 수 있습니다.

  • 400: 소유자만 파일을 읽을 수 있습니다.
  • 440: 소유자와 소유자 그룹의 사용자만 파일을 읽을 수 있습니다.

이렇게 하면 wp-config.php 에서 쓰기 권한이 완전히 제거됩니다. 이는 누구도 파일 설정을 수정할 수 없도록 하기 때문에 일반적으로 안전한 선택입니다.

wp-config.php를 보호할 수 있는 또 다른 방법은 루트 디렉터리보다 한 수준 위로 이동하는 것입니다. WordPress는 기본 위치에서 파일을 찾을 수 없는 경우 한 디렉터리 위의 파일을 찾습니다.

즉, WordPress는 여전히 정상적으로 작동하지만 공격자는 파일을 찾을 수 없다는 사실에 속을 수 있습니다.

13. wp-config.php 파일에서 파일 편집을 비활성화합니다.

WordPress에서는 파일 편집을 위한 여러 가지 옵션을 제공합니다. 그 중 하나는 대시보드에서 사용할 수 있는 플러그인과 테마 파일 편집기를 사용하는 것입니다.

이러한 파일 편집기를 사용하면 FTP를 통해 사이트에 연결하지 않고도 사이트 코드를 변경할 수 있습니다. 이 접근 방식의 단점은 해커가 이러한 편집기를 사용할 수 있는 권한이 있는 계정에 액세스할 경우 귀하의 웹 사이트에 큰 피해를 입힐 수 있다는 것입니다.

따라서 WordPress에서 파일 편집을 비활성화하는 것이 좋습니다. wp-config.php 파일을 열고 다음 코드 줄을 추가하면 됩니다.

 define('DISALLOW_FILE_EDIT', true);

일부 테마와 플러그인은 파일 편집을 자동으로 비활성화합니다. 대시보드에 파일 또는 테마 편집기가 표시되지 않으면 다음 도구 중 하나를 사용하고 있을 가능성이 높습니다.

14. .htaccess 파일에서 디렉토리 검색을 제한하세요.

디렉토리 검색이 활성화된 경우 yourwebsite.com/content/를 방문할 수 있습니다. 403 금지 오류가 발생하는 대신 해당 폴더 내의 하위 디렉터리 및 파일 목록이 표시됩니다.

사이트를 보호하려면 디렉토리 검색을 비활성화하는 것이 필수입니다. 누구든지 사이트 폴더의 내용을 볼 수 있다면 어떤 테마와 플러그인을 사용하는지 등 많은 정보를 얻을 수 있습니다. 또한 미디어 파일을 제한 없이 탐색할 수 있는데 이는 개인 정보 보호 측면에서 끔찍한 일입니다.

대부분의 WordPress 웹 호스트는 기본적으로 디렉터리 검색을 비활성화합니다. 귀하의 제품이 이 기능을 제공하지 않는 경우 루트 디렉토리에 있는 .htaccess 파일을 편집하여 직접 활성화할 수 있습니다.

이렇게 하려면 파일을 열고 다음 코드 줄을 추가하세요.

 Options -Indexes

변경 사항을 저장하고 파일을 닫습니다. 이제 브라우저를 통해 디렉토리로 이동하려고 하면 해당 디렉토리에 액세스할 수 없다는 오류 메시지가 표시됩니다.

15. wp-admin 디렉토리에 대한 액세스 제한

wp-admin은 WordPress 디렉토리의 기본 위치입니다. 웹사이트 홈페이지를 방문하여 URL 끝에 /wp-admin을 추가하면 (로그인 페이지를 거친 후) 워드프레스 대시보드로 이동하게 됩니다.

이 구조는 WordPress 웹사이트의 표준입니다. 이를 통해 귀하와 공격자 모두 대시보드를 쉽게 찾고 액세스할 수 있습니다.

WordPress 관리자를 보호하는 한 가지 방법은 비밀번호로 보안을 설정하는 것입니다. 이렇게 하면 사용자는 로그인 페이지를 통해 비밀번호를 만든 후 다른 비밀번호를 입력해야 합니다.

웹 호스트가 cPanel을 사용하는 경우 디렉토리 개인정보 보호 정책을 사용하여 wp-admin 디렉토리에 비밀번호를 추가할 수 있습니다. 도구.

cpanel에서 "디렉토리 개인정보 보호" 찾기

이 도구에 들어가면 wp-admin 디렉터리를 찾을 때까지 폴더를 탐색하세요. 편집을 클릭하세요 옆에 있는 버튼을 누르고 다음 페이지에서 이 디렉터리를 비밀번호로 보호라는 옵션을 선택합니다.

디렉토리를 비밀번호로 보호하는 옵션

이제 디렉토리 개인정보 보호 도구는 wp-admin 에 대한 비밀번호 설정을 요청합니다. 비밀번호를 저장한 후 WordPress 대시보드에 액세스해 보세요. 비밀번호 팝업이 브라우저 내에 직접 나타나야 합니다.

16. wp-admin 로그인 URL 숨기기

WordPress 관리자를 보호하는 또 다른 방법은 로그인 페이지로 연결되는 URL을 변경하는 것입니다. 이 전략을 위 섹션에서 다룬 추가 비밀번호 보호와 결합하면 공격자가 사이트 대시보드에 접근할 수 없습니다.

wp-login URL을 수동으로 변경할 수 있지만 플러그인을 사용하면 프로세스가 단순화될 수 있습니다. WPS Hide Login은 사이트 코드를 편집할 필요 없이 새 로그인 URL을 설정할 수 있는 간단한 도구입니다.

WPS 로그인 숨기기 플러그인

플러그인을 설치한 후 설정 → WPS 로그인 숨기기 로 이동하여 로그인 URL이라는 섹션을 찾으세요. 해당 옵션 옆에 있는 필드를 사용하여 기본 로그인 URL을 사용자 정의 URL로 바꾸십시오.

문자와 숫자를 임의로 혼합하여 사용할 수도 있습니다. 이렇게 하면 공격자가 추측하기가 더 어려워집니다. 새 로그인 페이지를 북마크에 추가하거나 기억할 수 있는 URL을 설정하세요.

17. 로그인 시도 제한

앞서 언급했듯이 공격자는 사용자 이름과 비밀번호를 여러 조합하여 시도하여 사이트에 액세스할 수 있습니다. 강력한 비밀번호를 설정하면 공격 시도를 효과적으로 차단할 수 있지만 무차별 대입 공격을 막기 위해 할 수 있는 또 다른 방법이 있습니다.

여기에는 사용자가 특정 기간 동안 로그인을 시도할 수 있는 횟수를 제한하는 것이 포함됩니다. 이 제한은 일반 사용자에게는 영향을 미치지 않지만 봇을 사용하는 무차별 대입 공격을 저지하기에 충분합니다. 새로운 자격 증명을 시도할 수 있는 비율을 제한하면 성공 가능성을 최소화할 수 있습니다.

WordPress에는 로그인 시도를 제한하는 데 사용할 수 있는 도구가 많이 있습니다. Jetpack을 사용하면 무차별 대입 보호 기능에 액세스할 수 있습니다. 이는 Jetpack이 악성으로 식별한 로그인 시도를 자동으로 제한합니다.

Jetpack을 사용하여 무차별 대입 공격 보호를 켜는 옵션

Jetpack은 또한 IP 주소를 허용 목록에 추가하여 무차별 대입 보호 도구에 의해 차단되지 않도록 도와줍니다. 허위 플래그를 방지하기 위해 귀하와 동료의 IP 주소에 대해 이를 사용할 수 있습니다.

Jetpack의 이점 살펴보기

Jetpack이 WordPress 사이트를 보호하고, 속도를 높이고, 성장시키는 데 어떻게 도움이 되는지 알아보세요. 첫해에는 최대 50% 할인을 받으세요.

계획 살펴보기

18. 유휴 사용자를 자동으로 로그아웃

많은 웹사이트에서는 일정 시간이 지나면 계정에서 로그아웃됩니다. 이는 다른 사람이 귀하의 컴퓨터에 접근할 경우 귀하의 세션을 가로채는 것을 방지하기 위해 고안된 보안 조치입니다.

이는 로그인 위치에 따라 문제가 되지 않을 수도 있지만 여전히 구현할 가치가 있는 보안 조치입니다. 이는 특히 사이트 대시보드에 액세스할 수 있는 다른 사람이 있는 경우에 적용됩니다.

WordPress에서는 사용자가 자동으로 로그아웃되지 않습니다. 이 기능을 추가하려면 비활성 로그아웃과 같은 플러그인을 사용해야 합니다.

비활성 로그아웃 플러그인

플러그인을 설치한 후 설정 → 비활성 로그아웃 → 일반 설정 으로 이동하세요. 유휴 시간 초과 옵션을 찾아 원하는 타이머 값을 분 단위로 설정하세요.

유휴 시간 제한을 분 단위로 설정

이제 사용자가 해당 시간 동안 유휴 상태이면 자동으로 로그아웃됩니다. 또한 플러그인을 사용하면 세션이 닫힌 이유를 알려주는 메시지를 구성할 수 있으므로 세션이 돌아올 때 혼동되지 않습니다.

19. 기본 WordPress 데이터베이스 접두사 변경

모든 WordPress 데이터베이스에는 이름이 있습니다. 기본적으로 해당 이름은 wp_something이며 "something"은 데이터베이스의 실제 이름을 나타냅니다.

여기서 정말 중요한 것은 접두어입니다. 기본적으로 WordPress는 wp_ 접두사를 사용합니다. 이는 공격자가 데이터베이스의 전체 이름을 쉽게 추측할 수 있음을 의미합니다.

단순히 접두사를 변경하면 공격자가 해당 작업을 훨씬 더 어렵게 만들 수 있습니다. 안타깝게도 WordPress 데이터베이스 접두사를 변경하는 것은 그리 간단하지 않습니다.

이 프로세스를 수행하려면 두 핵심 파일을 모두 편집하고 데이터베이스 자체를 변경해야 합니다. 따라서 다른 작업을 수행하기 전에 모든 파일과 데이터베이스를 포함하는 전체 웹사이트 백업을 수행해야 합니다. 이렇게 하면 문제가 발생하더라도 백업을 복원할 수 있습니다.

시작하려면 FTP를 통해 웹사이트에 접속하고 wp-config.php 파일로 이동하세요. 파일을 열고 내부에서 다음 줄을 찾으세요.

 $table_prefix = 'wp_';

계속해서 "wp_" 접두사를 "newprefix_"와 같은 다른 것으로 바꿀 수 있습니다. 하지만 그것은 단지 예일 뿐입니다. 추측하기 어려운 것을 선택하고 싶을 것입니다.

이제 파일을 저장하고 phpMyAdmin을 사용하여 데이터베이스에 액세스하십시오. 왼쪽 목록에서 WordPress 데이터베이스를 선택하고 테이블 목록 위 화면 상단 메뉴에서 SQL을 클릭합니다.

그러면 데이터베이스에 영향을 미치는 SQL 명령을 실행할 수 있는 페이지가 열립니다. 지금 해야 할 일은 데이터베이스의 모든 테이블에 대한 기존 테이블 접두사를 바꾸는 것입니다. 기본적으로 이는 다음 테이블을 의미합니다.

  • wp_옵션
  • wp_postmeta
  • wp_posts
  • wp_term_relationships
  • wp_term_분류
  • wp_terms
  • wp_comment메타
  • wp_comments
  • wp_links

일부 플러그인은 데이터베이스에 새 테이블을 추가할 수도 있다는 점을 명심하세요. 이러한 테이블의 접두사도 업데이트해야 합니다.

각 테이블에 대해 다음 SQL 명령을 실행해야 합니다.

 RENAME table wp_xxxx TO newname_xxxx;

"xxxx" 자리 표시자는 밑줄 뒤의 각 테이블 이름을 나타냅니다. 마찬가지로, wp-config.php 를 수정할 때 newname_ 접두사를 이전에 설정한 접두사로 변경해야 합니다.

데이터베이스의 각 테이블에 대해 필요에 따라 이 프로세스를 반복합니다. 준비가 되면 대시보드로 돌아갈 수 있습니다.

데이터베이스 접두사를 변경하면 사이트의 활성 플러그인과 테마가 손상될 수 있습니다. 이러한 도구는 비활성화하고 다시 활성화할 때까지 업데이트된 데이터베이스를 인식하지 못합니다.

따라서 사이트의 각 플러그인과 테마를 살펴보고 해당 프로세스를 따라야 합니다. 완료되면 사이트를 확인하여 모든 것이 제대로 작동하는지 확인하세요.

20. WordPress 버전 숨기기

과거에는 WordPress에서 사이트가 사용 중인 소프트웨어 버전을 바닥글에 표시했습니다. 이 정보는 문제 해결 목적으로 유용할 수 있으며 프런트 엔드 방문자가 쉽게 사용할 수 있다면 찾기가 훨씬 쉬울 것이라는 생각이었습니다.

이 접근 방식의 문제점은 버전 번호를 표시하면 공격자가 해당 릴리스와 관련된 취약점을 조회할 수 있다는 것입니다. 이는 악의적인 공격자가 귀하의 웹사이트를 공격하는 데 사용할 수 있는 많은 정보를 제공합니다.

게다가 이 기능은 실질적인 이점이 없습니다. 결국 대시보드에서 언제든지 사이트의 WordPress 버전을 확인할 수 있습니다.

최신 버전의 WordPress에서는 더 이상 프런트 엔드에 해당 정보가 표시되지 않습니다. 바닥글에 버전 번호가 표시되면 웹 사이트의 WordPress 업데이트 기한이 지났다는 의미입니다.

21. PHP 버전을 최신 상태로 유지하세요

아시다시피 WordPress는 주로 PHP를 기반으로 구축되었습니다. 대부분의 관리 작업을 수행하기 위해 이 프로그래밍 언어를 사용합니다.

PHP도 소프트웨어입니다. 이는 새로운 특징과 기능, 향상된 성능으로 정기적인 업데이트를 받는다는 것을 의미합니다.

WordPress에서는 서버가 PHP 버전 7.4 이상을 실행해야 합니다. 최신 버전의 PHP가 있으며 각 버전은 소프트웨어에 성능 및 보안 업그레이드를 제공합니다. 이러한 업그레이드는 WordPress 자체에도 적용됩니다.

대부분의 평판이 좋은 웹 호스트는 새 버전이 나오면 서버에서 PHP를 업데이트합니다. 일부 제공업체에서는 버전 간을 수동으로 전환할 수도 있습니다(WordPress 사이트의 오류 문제를 해결하는 데 필요할 수 있음).

WordPress 대시보드의 설정 → 사이트 상태 → 정보 → 서버 로 이동하여 사이트에서 실행 중인 PHP 버전을 확인할 수 있습니다. 여기서는 사용하는 PHP 버전을 포함하여 서버 구성에 대한 개요를 볼 수 있습니다.

WordPress의 서버 정보

해당 버전이 오래된 경우 웹 호스트에 문의할 수 있습니다. 그들이 당신을 위해 PHP를 업데이트해 줄 수도 있습니다. 그래도 이건 해서는 안되는 일이야 평판이 좋은 호스팅 제공업체를 사용하는 경우 해당 업체에서 알아서 처리해 주기 때문에 이를 수행해야 합니다.

22. PHP 오류 보고 끄기

WordPress에는 CMS가 PHP 오류를 기록할 수 있는 디버깅 도구가 함께 제공됩니다. 이러한 오류 보고서를 사용하여 웹사이트의 기술 문제를 해결할 수 있습니다.

불행하게도 이러한 보고는 보안 문제로 이어질 수도 있습니다. 공격자가 PHP 오류 로그에 액세스하면 사이트 작동 방식에 대한 많은 정보를 얻을 수 있습니다. 귀하의 사이트에서 어떤 플러그인이 활성화되어 있는지(오류가 표시되는 경우)뿐만 아니라 PHP 문제가 있는 사이트의 중요한 파일도 확인할 수 있습니다.

WordPress의 오류를 적극적으로 해결하지 않는 한 PHP 오류 보고를 활성화할 필요가 없습니다. 문제를 진단하는 데 이를 사용하는 경우 필요한 정보를 얻는 즉시 WordPress 디버그 모드를 비활성화하는 것이 좋습니다.

PHP 오류 보고를 비활성화하려면 WordPress 루트에 있는 wp-config.php 파일을 수정해야 합니다. 예배 규칙서. 앞에서 설명한 것처럼 FTP를 통해 디렉터리에 액세스할 수 있습니다.

그런 다음 wp-config.php 파일을 열고 다음 코드 줄을 추가합니다.

 define ( 'WP_DEBUG', true );

진실 을 바꾸다 값을 false 그리고 파일을 저장하세요. 그러면 WordPress에서 오류 로그가 비활성화됩니다.

필요에 따라 언제든지 다시 켤 수 있습니다. 값을 다시 true 로 변경하면 됩니다.

23. 불필요한 플러그인 및 테마 제거

플러그인과 테마는 WordPress를 다재다능한 플랫폼으로 만드는 요소입니다. 사이트에 새로운 기능을 추가하고 디자인을 사용자 정의할 수 있습니다.

문제는 어떤 사람들은 수십 개의 플러그인과 테마를 설치하지만 그 중 일부만 사용한다는 것입니다. 예를 들어, 마음에 드는 테마를 결정하기 전에 다양한 테마를 시도해 볼 수 있지만 나머지 테마는 절대 제거하지 마세요.

웹사이트의 모든 활성 플러그인에는 보안 위험이 있습니다. 일반적으로 정기적인 업데이트를 받고 평판이 좋은 개발 팀이 지원하는 플러그인의 경우 이러한 위험이 최소화됩니다. 오래된 플러그인이나 더 이상 업데이트를 받지 않는 플러그인의 경우 위험이 급격히 증가합니다.

테마에도 동일하게 적용됩니다. 사이트에서 사용하지 않는 테마가 있으면 취약점이 발생할 수 있습니다.

특정 테마나 플러그인을 적극적으로 사용하지 않는 경우 가장 안전한 방법은 해당 테마나 플러그인을 제거하는 것입니다(단순히 비활성화하는 것이 아님). 이 작업은 몇 분밖에 걸리지 않지만 사이트 보안에 큰 변화를 가져올 수 있습니다. 또한 마음이 바뀌면 언제든지 삭제된 플러그인이나 테마를 다시 설치할 수 있습니다.

그러나 여기에는 예외가 있습니다. 문제 해결을 위해 Twenty Twenty-Three 와 같은 기본 테마를 설치했지만 비활성화 상태로 유지할 수 있습니다.

24. 불필요한 사용자 계정 제거

경험상 꼭 필요한 경우를 제외하고는 누구도 귀하의 웹사이트에 접근할 수 없어야 합니다. 누군가에게 액세스 권한(콘텐츠 게시, 유지 관리 수행 또는 사이트 업데이트)을 부여해야 하는 경우 필요한 것보다 더 많은 권한을 가진 사용자 역할을 할당하지 않도록 해야 합니다.

어떤 사람이 더 이상 웹사이트에 액세스할 필요가 없으면 해당 계정을 삭제할 수 있습니다. 이렇게 하면 귀하의 승인 없이 웹사이트를 변경하는 것을 방지할 수 있습니다.

이러한 사용자 계정은 또 다른 위험을 초래합니다. 어떤 사람들은 개인 계정의 자격 증명을 재사용하여 웹사이트에 로그인할 수도 있습니다. 보안 위반으로 인해 이러한 자격 증명이 유출되면 공격자는 이를 사용하여 웹 사이트에 액세스할 수 있습니다.

WordPress에서 사용자 계정을 삭제하는 것은 간단합니다. 이렇게 하려면 사용자 → 모든 사용자 로 이동하여 계정을 선택하세요. 제거하려는 계정을 식별한 후 해당 계정 위에 마우스를 놓고 삭제를 클릭합니다.

이 옵션은 관리자인 경우에만 표시됩니다. 다른 사람이 관리자 계정에 액세스할 수 없는 한 사용자 계정을 삭제할 수 있는 권한을 가진 사람은 본인뿐이어야 합니다.

25. 사용자 활동 모니터링

다른 사람들이 대시보드에 액세스하여 콘텐츠를 게시하고 사이트를 변경하고 업데이트하는 WordPress 웹 사이트를 운영하는 경우 조만간 보안 문제가 발생할 수 있습니다. 예를 들어 누군가 자격 증명을 도난당하거나 사이트에 보안 위험을 초래하는 플러그인을 설치할 수 있습니다.

이러한 이유로 관리자는 다른 사람들이 사이트를 사용할 때 무엇을 하는지 감시하는 것이 좋습니다.

활동 로그는 특정 이벤트를 모니터링하고 해당 이벤트가 발생할 때 기록하는 도구입니다. 해당 로그에 액세스하여 누가 언제 무엇을 했는지 확인할 수 있습니다. 이를 통해 사이트 보안에 부정적인 영향을 미칠 수 있는 이벤트와 작업을 찾아낼 수 있습니다.

이 기능은 기본적으로 WordPress에서 사용할 수 없지만 플러그인을 사용하여 추가할 수 있습니다. Jetpack Security에는 지난 30일 동안의 데이터를 저장하는 활동 로그가 포함되어 있습니다.

로그는 오프사이트에서 호스팅됩니다. 따라서 사이트에 접속할 수 없는 경우 최근 백업을 복원하기 전에 로그를 확인하여 무슨 일이 일어났는지 확인할 수 있습니다.

26. CDN을 사용하여 DDoS 공격 위험을 줄이세요

CDN(콘텐츠 전송 네트워크)을 사용하면 로드 시간을 대폭 줄일 수 있습니다. 이는 전 세계에 분산된 데이터 센터 네트워크를 사용하여 웹사이트를 캐싱함으로써 이를 수행합니다. 누군가 사이트를 방문하면 CDN은 요청을 가로채서 가장 가까운 서버에서 복사본을 로드합니다.

CDN을 사용하면 로드 시간을 줄이는 것 이상의 이점을 얻을 수 있습니다. 예를 들어, 서버에 부담이 덜 가므로 웹 사이트는 트래픽 급증을 처리하기에 더 나은 위치에 있게 됩니다. 또한 CDN은 공격 발생 시 장벽 역할을 할 수도 있습니다.

귀하의 웹 사이트가 DDoS 공격의 대상인 경우 CDN은 해당 웹 사이트를 신속하게 종료할 수 있습니다. 많은 CDN은 네트워크가 연결에서 이상한 점을 감지한 경우 방문자에게 사람인지 확인하도록 요청할 수 있습니다. DDoS 공격은 봇에 의존하기 때문에 이러한 유형의 보안 검사를 우회할 수 없는 경우가 많습니다.

DDoS 공격이 CDN에 도달하더라도 막대한 트래픽 유입을 관리하기 위해 데이터 센터가 구축됩니다. 그동안 귀하의 웹사이트 자체는 CDN에 의해 ​​보호됩니다.

원하는 CDN을 WordPress와 통합할 수 있습니다. Jetpack CDN은 설정이 매우 쉽습니다. Jetpack 플러그인에서 무료로 활성화할 수 있으며 CDN은 웹 사이트에서 미디어 파일 캐싱을 시작합니다.

27. 보안 중심 호스팅 제공업체로 마이그레이션

모든 웹 호스트에는 고유한 판매 포인트가 있습니다. 예를 들어 일부 호스팅 제공업체는 보안과 성능에 더 중점을 두는 반면, 다른 호스팅 제공업체는 저렴한 가격을 우선시합니다.

이상적으로는 최고의 성능과 보안을 약속하고 이에 대해 불공정한 요금을 청구하지 않는 웹 호스트를 선택하게 됩니다. 이러한 기준에 부합하고 필수 보안 작업을 처리하는 웹 호스트가 많이 있습니다. 이러한 작업에는 다음이 포함될 수 있습니다.

  • 백업
  • WAF 설정
  • DDoS 공격으로부터 사용자를 보호합니다
  • 악성코드 검사 및 정리

웹사이트를 운영하는 데 더 많은 시간과 에너지를 소비하고 공격으로부터 웹사이트를 보호하는 데는 덜 투자하고 싶다면 보안을 중요시하는 호스트를 선택하는 것이 좋습니다. 시작하려면 권장 WordPress 호스트 목록을 가져오는 것이 좋습니다.

관리되는 호스팅 계획을 제공하는 웹 호스트는 보안 측면에서 더 많은 것을 제공하는 경향이 있습니다. 물론, 이러한 서비스는 관리되지 않은 계획보다 약간 더 비싸지 만 마음을 편안하게하는 데 도움이 될 수 있습니다.

28. 엔터프라이즈 보안 솔루션을 고려하십시오

엔터프라이즈 레벨 웹 사이트를 실행하는 경우 보안 조치는 플러그인 업데이트 및 백업을 넘어서야합니다. 웹 사이트에 대한 엔드 투 엔드 보호를 제공하는 보안 솔루션이 필요합니다.

WPSCAN은 시장에서 가장 큰 WordPress 보안 취약점 데이터베이스를 보유하고 있습니다.

WPSCAN은 엔터프라이즈 중심 보안 솔루션을 제공합니다. 이것은 회사의 요구와 귀하가 가진 웹 사이트의 종류에 맞게 조정될 수 있습니다. WPSCAN에 직접 연락하여 사이트의 보안을 평가하고 견적을 요청할 수 있습니다.

자주 묻는 질문

이 WordPress 보안 팁 목록은 사이트 보호를위한 가장 중요한 조치를 다루었습니다. 여전히 웹 사이트의 보안을 향상시키는 방법에 대해 여전히 궁금한 점이 있다면이 섹션에서는 답변을 목표로합니다.

이러한 WordPress 보안 모범 사례에 의해 어떤 일반적인 위협을 완화 할 수 있습니까?

이 안내서는 기본 보호 조치에서보다 고급 보안 관행에 이르기까지 모든 것을 다룹니다. 이 기사에 요약 된 모든 조치를 구현하는 데 시간이 걸리면 웹 사이트는 가장 일반적인 위협으로부터 보호되어야합니다. 여기에는 Brute Force 공격, 데이터 도난 및 맬웨어가 포함됩니다.

이러한 조치의 궁극적 인 목표는 악의적 인 행위자가 귀하의 사이트에 접근하여 손상을 일으킬 수 없도록하는 것입니다. 또한 잘못된 플러그인 설치와 같이 경험이없는 사용자의 실수를 방지 할 수 있습니다.

WordPress 보안을 향상시키는 가장 쉬운 방법은 무엇입니까?

이 안내서에서 모든 측정 값을 구현할 시간이 없다면 가장 좋은 방법은 WordPress 보안 플러그인을 설정하는 것입니다. 이 도구는 웹 사이트를 보호하는 데 도움이되는 무수한 기능을 자동으로 활성화합니다.

JetPack Security는 많은 필수 작업을 자동화하는 올인원 솔루션입니다. 실시간 백업을 수행하고 방화벽을 설정하고 스캔하며 맬웨어에 대한 빠른 수정을 제공하며 사이트를 스팸으로부터 보호합니다. 또한 활동 로그에 액세스 할 수 있으므로 사이트에서 보안 문제를 일으킬 수있는 조치 (및이를 수행 한 사람)를 식별 할 수 있습니다.

WordPress를위한 최고의 보안 플러그인은 무엇입니까?

선택할 수있는 WordPress 보안 플러그인이 많이 있지만 JetPack Security는 시장에서 가장 포괄적 인 솔루션 중 하나입니다. 백업, 맬웨어 스캔 및 제거 및 스팸 보호를 포함 하여이 게시물에서 논의 된 대부분의 보안 관행을 처리합니다.

WordPress 사이트를 어떻게 백업합니까? 백업은 어디에 저장해야합니까?

WordPress 웹 사이트를 백업하는 방법에는 여러 가지가 있습니다. 모든 파일과 데이터베이스를 수동으로 백업하거나 귀하를 위해 수행하는 플러그인을 사용하거나 제한된 백업이 포함 된 호스팅 계획에 가입 할 수 있습니다.

대부분의 경우 백업을 로컬 또는 한 위치에 저장하고 싶지 않습니다. 그렇기 때문에 백업 만 호스팅하는 데 의존하는 것이 일반적으로 권장되지 않습니다. 클라우드 백업은 더 안전한 경향이 있습니다. 대부분의 공급자는 중복성을 위해 여러 사본을 저장하기 때문입니다.

JetPack Security에는 실시간 클라우드 백업이 포함됩니다. 모든 것이 오프 사이트로 저장되며 웹 사이트를 변경할 때마다 새로운 백업이 이루어집니다.

WordPress 사이트를 얼마나 자주 업데이트해야합니까?

이상적으로는 업데이트를 사용할 수있는 즉시 WordPress 및 구성 요소를 업데이트해야합니다. 모든 소프트웨어의 최신 버전을 사용하면 사이트의 보안 및 성능이 향상됩니다. 또한 최신 기능에 액세스 할 수 있습니다.

많은 업데이트가 보안 취약점 패치에 중점을 둡니다. 이상적으로는 사이트에서 매일 업데이트를 확인하는 것이 좋습니다. 플러그인의 자동 업데이트를 활성화 할 수도 있습니다. 최고의 실시간 보안 및 백업 플러그인 인 JetPack Security에서는이 모든 것이 가능합니다.

맬웨어를 위해 WordPress 사이트를 얼마나 자주 스캔해야합니까?

가능하다면 웹 사이트를 매일 스캔해야합니다. 이것은 중요한 작업이므로 자동화하는 것이 합리적입니다. 이렇게하면 보안 플러그인 또는 맬웨어 스캐너가 사용할 수없는 경우에도 여전히 취약점을 찾고 있습니다.

제트 팩 보안에는 자동 맬웨어 스캔이 포함됩니다. 플러그인은 사이트를 정기적으로 스캔하고 의심스러운 것을 찾으면 알려줍니다.

JetPack 보안 : 24 시간 WordPress 보호 및 백업

WordPress 웹 사이트를 보호하는 것은 많은 일이 될 수 있습니다. 정기적 인 백업을 수행하고 업데이트를 수행하고, 사이트를 스캔하여 맬웨어를 위해 스캔해야합니다. 또한 사이트에 액세스 할 수있는 사람은 누구나 강력한 사용자 이름과 비밀번호를 사용하고 있는지 확인해야합니다.

JetPack Security와 같은 올인원 솔루션은 이러한 작업의 대부분을 처리 할 수 ​​있습니다. 자동 백업 및 스캔, 스팸 보호, 강력한 방화벽 등을 얻을 수 있습니다. 플러그인을 설치하고 이러한 기능을 활성화하기 만하면됩니다.

사이트의 보안을 강화할 준비가 되셨습니까? 오늘 Jetpack Security를 ​​시작하십시오!