WordPress 업데이트: 업데이트가 웹사이트 보안에 중요한 이유
게시 됨: 2023-04-19WordPress 웹사이트에서 보안 업데이트를 안전하게 구현하는 방법이 궁금하십니까?
보안 업데이트는 매우 중요합니다. 업데이트 구현이 지연되면 웹 사이트가 해킹될 수 있습니다. 그러나 많은 경우 업데이트로 인해 웹 사이트가 손상될 수 있는 호환성 문제가 발생할 수 있습니다.
catch-22 상황입니다.
다행히 사이트를 손상시키지 않고 사이트를 업데이트할 수 있는 방법이 있습니다. 준비 사이트를 사용하여 업데이트를 테스트한 다음 라이브 사이트에 구현하기만 하면 됩니다.
이 글에서는 웹사이트를 안전하게 업데이트하는 과정의 모든 단계를 안내합니다.
요약: 웹사이트를 안전하게 업데이트하려면 BlogVault 백업 및 스테이징 플러그인을 사용하세요. 라이브 사이트(준비 사이트라고 함)의 복사본을 만듭니다. 스테이징 사이트에서 라이브 사이트에 영향을 주지 않고 WordPress, 테마 및 플러그인 업데이트를 테스트할 수 있습니다. 모든 것이 잘 작동하는 것에 만족하면 스테이징에서 라이브 사이트로 변경 사항을 병합할 수 있습니다.
[lwptoc skipHeadingLevel=”h1,h3,h4,h5,h6″ skipHeadingText=”다음은?”]
보안 업데이트란 무엇입니까? 왜 중요합니까?
업데이트는 이전 버전을 대체하는 새로운 버전의 소프트웨어입니다. 다른 소프트웨어와 마찬가지로 WordPress와 해당 테마 및 플러그인도 정기적으로 업데이트를 받습니다.
보안 패치, 버그 수정, 새로운 기능, 호환성 및 성능 업데이트의 5가지 업데이트 유형이 있습니다.
모든 업데이트는 사이트에 도움이 되지만 보안 업데이트가 가장 중요합니다.
이는 소프트웨어가 아무리 잘 구축되더라도 시간이 지남에 따라 웹 사이트를 해킹하는 데 악용될 수 있는 취약점을 개발하는 경향이 있기 때문입니다. 소프트웨어 개발자가 이에 대해 알게 되면 신속하게 취약점을 수정하고 보안 업데이트에 대한 패치 정보를 릴리스합니다.
사이트 소유자가 플러그인, 테마 또는 WordPress 핵심 업데이트를 연기하면 취약성이 남아 해커가 악용할 준비가 됩니다. 따라서 웹 사이트를 최신 상태로 유지하는 것이 중요합니다.
WordPress에서 보안 업데이트의 중요성을 이해하려면 WordPress 웹사이트에 영향을 미치는 일반적인 WordPress 취약점을 해결해야 합니다.
일반적인 워드프레스 취약점:
가장 일반적인 WordPress 취약점은 다음과 같습니다.
나. SQL 인젝션 취약점
모든 워드프레스 웹사이트에는 연락처 양식, 댓글 섹션, 검색 등과 같은 입력 필드가 있습니다. 이러한 필드는 종종 플러그인으로 활성화됩니다. 방문자가 이러한 필드에 데이터를 삽입하면 데이터가 웹사이트의 데이터베이스에 저장됩니다. 데이터베이스를 안전하게 유지하기 위해 입력 필드는 데이터를 데이터베이스로 보내기 전에 데이터를 확인하고 삭제했는지 확인합니다.
예를 들어 연락처 양식은 이상적으로는 이름, 전화번호 및 이메일 주소를 허용해야 합니다. 그러나 방문자가 입력한 데이터를 삭제하도록 제대로 구성되지 않으면 SQL 삽입에 취약해집니다.
이는 해커가 방문자로 위장하여 데이터베이스에 저장될 악성 코드를 삽입할 수 있음을 의미합니다. 해커는 다음 코드를 실행하여 데이터베이스에서 정보를 훔치고 웹 사이트에 액세스할 수 있습니다.
ii. 교차 사이트 스크립팅 취약점
SQL 인젝션과 유사하게 플러그인은 크로스 사이트 스크립팅 XSS 취약점을 개발할 수 있습니다. 해커는 이 취약점을 사용하여 사이트를 제어하지만 방문자로부터 데이터를 추출하는 데 사용할 수도 있습니다.
댓글 플러그인의 교차 사이트 스크립팅 취약점으로 인해 해커가 사이트에 악성 링크를 삽입할 수 있다고 가정해 보겠습니다. 방문자가 링크의 악의적인 의도를 알지 못하고 링크를 클릭하면 브라우저 쿠키에 액세스할 수 있는 권한을 방문자에게 요청합니다.
방문자에게는 웹사이트가 허가를 요청하는 것처럼 보일 수 있습니다. 속임수에 넘어가 브라우저 쿠키에 대한 액세스를 허용할 가능성이 매우 높습니다. 쿠키에는 로그인 자격 증명, 전자 뱅킹 자격 증명 등과 같은 민감한 정보가 포함되어 있습니다.
iii. 제약 해킹 익스플로잇
제약 해킹 익스플로잇은 불법 약물을 판매하거나 홍보하는 데 사용됩니다.
해커는 플러그인, 테마 또는 사이트 핵심의 취약점을 이용하여 사이트에 액세스합니다. 그런 다음 최상위 페이지를 찾아 비아그라, 시알리스, 레비트라 등과 같은 불법 약물에 대한 광고를 주입합니다.
곧 귀하의 페이지가 불법 의약품에 대한 순위를 매기기 시작합니다.
그리고 방문자가 귀하의 사이트를 방문하면 광고를 클릭하고 해커의 사이트로 리디렉션됩니다.
제약 해킹은 SEO 노력을 가로채고 방문자를 몰아냅니다.
iv. 백도어 익스플로잇
백도어는 웹 사이트의 숨겨진 진입점입니다. 일반적으로 해적판 플러그인 및 테마에서 발견됩니다.
많은 웹사이트 소유자는 원본 버전을 살 여유가 없기 때문에 불법 복제 소프트웨어를 사용합니다. 그러나 불법 복제 소프트웨어는 종종 사전 설치된 백도어와 함께 제공됩니다. 즉, 사이트에 소프트웨어를 설치하면 해커에게 진입점이 제공됩니다.
v. 피싱 익스플로잇
해커는 피싱 익스플로잇을 사용하여 웹 사이트에 액세스하고 스팸 이메일을 보냅니다. 이메일의 목적은 신용 카드나 은행 자격 증명과 같은 민감한 정보를 공유하도록 사람들을 속이는 것입니다.
이메일 서비스에는 강력한 피싱 방지 조치가 마련되어 있습니다. 귀하의 WordPress 사이트에서 스팸 이메일을 보내는 것을 발견하면 귀하의 웹사이트를 블랙리스트에 올릴 것입니다.
이들은 가장 일반적인 WordPress 취약점입니다. 당신은 그들에서 실행중인 테마를 발견했을 것입니다! 사이트에 설치된 소프트웨어의 보안 취약점으로 인해 발생합니다.
이는 보안 업데이트가 출시되는 즉시 구현하는 것이 얼마나 중요한지를 보여줍니다.
그러나 업데이트가 자주 발생하므로 추적하기가 어렵다는 것을 알고 있습니다. 다음 섹션에서는 업데이트를 최신 상태로 유지하는 방법을 보여줍니다.
[ss_click_to_tweet tweet="WordPress 보안 업데이트는 무시할 수 없는 가장 중요한 유형의 업데이트입니다." 내용 =”” 스타일 =”기본값”]
WordPress 보안 업데이트를 확인하는 방법?
보안 업데이트를 확인하는 방법에는 두 가지가 있습니다.
- WordPress 대시보드에서 수동으로 확인(단일 사이트에 적합)
- 사이트 관리 플러그인을 사용하여 확인(여러 사이트에 이상적)
1. WordPress 대시보드에서 수동으로 확인
WordPress 웹사이트를 수동으로 업데이트하는 것은 단일 웹사이트 소유자에게 가장 적합합니다. 다음 작업만 수행하면 됩니다.
→ 웹사이트에 로그인합니다.
→ 메뉴에서 대시보드 > 업데이트로 이동합니다.
→ 업데이트 페이지에서 새 버전의 세부 정보와 함께 모든 오래된 소프트웨어(코어, 플러그인 및 테마)를 찾을 수 있습니다. 버전 세부 정보 보기 링크를 클릭하면 업데이트에 대한 정보를 찾을 수 있습니다. 업데이트에 wp 보안 패치가 포함된 경우 버전 세부 정보에 언급됩니다.
→ 종종 버전 세부 정보에서 개발자가 단일 업데이트에서 다양한 유형의 변경 사항을 출시했음을 알 수 있습니다. 예를 들어 최근에 업데이트한 플러그인에서 업데이트가 버그와 호환성 문제를 모두 수정한다는 사실을 발견했습니다.
→때때로 업데이트는 새로운 기능과 보안 패치를 가져옵니다. 이것은 약간 까다로울 수 있습니다. 새로운 기능을 원하지 않더라도 취약하지 않도록 WordPress를 업데이트해야 합니다.
2. 사이트 관리 플러그인으로 확인하기
단일 사이트에서 업데이트를 추적하는 것은 충분히 어렵습니다. 여러 웹사이트에서 업데이트를 추적하는 것은 악몽입니다.
그러나 BlogVault와 같은 플러그인을 사용하면 단일 대시보드에서 여러 WordPress 사이트의 업데이트를 확인할 수 있습니다.
→ BlogVault에 가입하고 웹사이트를 대시보드에 추가합니다.
→ 각 사이트에서 얼마나 많은 플러그인과 테마가 대기 중인지 즉시 확인할 수 있습니다.
→ 업데이트 세부 정보를 확인하려면 웹 사이트를 선택한 다음 관리를 클릭해야 합니다.
→ 그런 다음 새 버전을 클릭하면 업데이트 세부 정보를 볼 수 있습니다.
이것으로 업데이트를 확인하는 방법은 끝났습니다. 이제 보안 업데이트를 안전하게 구현하는 방법에 대해 알아보겠습니다.
WordPress 보안 업데이트를 안전하게 수행하는 방법은 무엇입니까?
보안 업데이트를 수행하는 방법에는 두 가지가 있습니다. 사람들은:
- 스테이징 사이트에서 업데이트(안전)
- 대시보드에서 직접 업데이트(안전하지 않음)
웹사이트 대시보드에서 직접 업데이트하면 웹사이트가 중단되는 것으로 알려져 있습니다. 손상된 사이트를 수정하고 복구하는 것은 어렵고 시간이 많이 걸리는 프로세스입니다. 그래서 우리는 그것을 피하고 더 안전한 방법에 집중할 것입니다.
1. 스테이징 사이트 업데이트
1단계: WordPress 스테이징 사이트 생성
준비 사이트는 웹 사이트의 정확한 복제본입니다.
앞에서 언급했듯이 업데이트로 인해 웹 사이트가 충돌할 수 있습니다. 스테이징 환경은 라이브 사이트에 업데이트를 적용하기 전에 업데이트를 테스트하는 데 도움이 됩니다.
준비 환경을 만드는 데 도움이 되는 많은 플러그인이 있습니다. 플러그인 BlogVault는 무료 WordPress 스테이징 환경을 제공하며 설정이 정말 쉽습니다.
이미 BlogVault에 가입했고 웹사이트를 대시보드에 추가했다고 가정합니다.
→ 스테이징 섹션으로 이동하여 스테이징 추가를 클릭합니다.
→ BlogVault는 원하는 백업 및 PHP 버전을 선택하라는 메시지를 표시합니다.
→ 준비 사이트를 만드는 데 몇 분 정도 걸립니다. 준비가 되면 업데이트 테스트를 시작할 수 있습니다.
2단계: 스테이징 사이트에서 업데이트 테스트
업데이트를 테스트하려면 방금 만든 스테이징 사이트에 로그인해야 합니다. 스테이징 사이트의 URL은 다음과 같아야 합니다. – https://yoursite.d.wpstage.net/
일반 사용자 자격 증명을 사용하여 스테이징 사이트에 로그인할 수 있습니다. 그러나 스테이징 URL을 열면 암호로 보호되어 있음을 알 수 있습니다. 스테이징 사이트가 비공개이고 공개 또는 검색 엔진에 액세스할 수 없도록 하는 암호가 있습니다.
BlogVault 대시보드로 돌아가서 스테이징 섹션에서 사용자 이름과 비밀번호를 가져와야 합니다. 이를 사용하여 스테이징 사이트에 액세스하십시오.
→ 준비 사이트의 로그인 페이지로 이동하려면 https://yoursite.d.wpstage.net/wp-admin 과 같이 준비 URL 끝에 /wp-admin/을 추가해야 합니다.
→ 일반 사용자 자격 증명을 사용하여 WordPress 대시보드에 로그인합니다.
→ 업데이트를 구현하려면 대시보드 > 업데이트로 이동합니다.
→ 업데이트 페이지에서 새 버전에 대한 세부 정보와 함께 모든 오래된 소프트웨어를 찾을 수 있습니다. 업데이트를 구현하려면 플러그인이나 테마 또는 코어를 선택 하고 업데이트 버튼을 누르기만 하면 됩니다.
→ 업데이트를 적용한 후에는 웹사이트가 제대로 작동하는지 확인 해야 합니다. 모든 중요한 페이지와 기능을 확인하는 것이 좋습니다. 여기에는 홈페이지, 블로그, 장바구니 페이지, 결제 페이지 등이 포함됩니다.
준비가 되면 다음 단계로 넘어갑니다.
3단계: 라이브 사이트 업데이트
업데이트가 사이트에 해를 끼치지 않는 것으로 확인되면 라이브 사이트에서 동일한 업데이트를 진행할 수 있습니다.
라이브 사이트에 로그인하고 업데이트를 다시 구현할 필요가 없습니다. 스테이징 사이트를 라이브 사이트와 간단히 병합할 수 있습니다.
→ BlogVault 대시보드에서 스테이징 섹션으로 이동하고 병합을 클릭합니다.
→ BlogVault는 준비 사이트와 라이브 사이트를 동기화하기 시작합니다. 결국 스테이징 사이트와 라이브 사이트 간의 차이점을 볼 수 있는 페이지가 생성됩니다. 전체 사이트를 병합할 필요는 없습니다. 방금 테스트한 플러그인, 테마 및 코어를 선택하고 다음을 클릭하십시오.
→ 그런 다음 FTP 자격 증명을 입력하면 스테이징 사이트가 라이브 사이트와 병합됩니다.
참고: FTP 자격 증명이 무엇인지 모르는 경우 이 비디오의 도움을 받거나 WordPress 호스트 및 해당 호스팅 플랫폼에 연락하여 찾을 수 있습니다.
이것으로 업데이트를 안전하게 구현하는 방법은 끝났습니다.
[ss_click_to_tweet tweet=”업데이트는 웹사이트를 손상시킬 수 있으므로 사이트 보안을 업데이트하는 방법을 배우는 것이 중요합니다. 이것이 바로 이 기사가 저에게 가르쳐 준 것입니다.” 내용 =”” 스타일 =”기본값”]
다음은 무엇입니까?
앞에서 언급했듯이 소프트웨어 업데이트는 모든 취약점을 수정하고 해커와 봇으로부터 사이트를 안전하게 유지하는 데 도움이 됩니다. 그러나 소프트웨어 취약성은 WordPress 웹사이트가 직면한 유일한 위협이 아닙니다. 해커가 웹 사이트에 침입하는 데 사용할 수 있는 다른 취약점이 있습니다. 예를 들어 약한 사용자 자격 증명을 생각해 보십시오.
모든 유형의 취약성 및 해킹 공격(예: DDoS 공격, 무차별 대입 공격 등)으로부터 웹 사이트를 보호하려면 WordPress 업데이트 및 MalCare와 같은 WordPress 보안 플러그인을 사용하는 것이 좋습니다.
플러그인은 방화벽으로 사이트를 보호하고 로그인 보호 조치로 로그인 시도를 제한합니다. 사이트 강화 조치를 구현하는 데 도움이 됩니다. 그리고 매일 귀하의 사이트를 스캔하십시오. 악의적인 활동이 감지되면 이에 대해 즉시 알립니다.
MalCare를 설치하여 연중무휴 사이트 보호