2023년에 WordPress 웹사이트를 보호하는 방법(자세한 자습서)

WordPress는 세계에서 가장 인기 있는 콘텐츠 관리 시스템(CMS) 중 하나가 되었으며 웹사이트의 44% 이상이 WordPress를 기반으로 구축되었습니다. 모든 온라인 플랫폼과 마찬가지로 보안은 우려 사항 목록의 맨 위에 있어야 합니다. 이 게시물에서는 WordPress 보안 문제를 살펴보고 WordPress 웹사이트를 안전하게 유지하는 방법에 대한 팁을 제공합니다.

다이빙하자.

워드프레스는 안전한가요?

대부분 그렇습니다. WordPress 개발자는 정기적으로 발생하는 패치 및 업데이트를 통해 플랫폼의 보안을 유지하기 위해 열심히 노력합니다. 그러나 WordPress는 오픈 소스 프레임워크를 기반으로 구축되었기 때문에 해커가 WordPress 웹사이트를 제어할 수 있는 새로운 방법을 자주 개발하고 구성 방법을 분석할 수 있습니다. 이 때문에 WordPress 보안이 중요합니다. 웹 사이트를 보호하는 방법을 더 잘 이해하려면 WordPress 사용과 관련된 위험을 아는 것이 중요합니다.

WordPress 보안 문제

워드프레스 웹사이트를 운영할 때 알아야 할 몇 가지 잠재적인 위험이 있습니다. 가장 큰 우려 중 하나는 해커입니다. WordPress는 인기가 높기 때문에 오래된 플러그인이나 핵심 파일과 같은 취약점을 악용하여 사이트에 대한 무단 액세스를 시도하는 악의적인 행위자의 관심을 끌고 있습니다. 그들은 백도어, 무차별 대입 공격 실행, 제약 공격, 서비스 거부(DoS) 공격 또는 사이트 간 스크립팅(XSS)과 같은 방법을 사용할 수 있습니다.

해결하지 않고 방치하면 멀웨어(사이트 방문자 정보를 훔치기 위해 고안된 악성 코드), 웹사이트를 완전히 다른 사이트로 포워딩, 모르는 콘텐츠 추가, 위치를 해칠 수 있는 Google 경고와 같은 심각한 결과가 발생할 수 있습니다. SERP 또는 더 나쁜 경우 웹 사이트에 로그인할 수 없습니다.

WordPress 웹사이트를 보호하는 방법

다음 섹션에서는 잠재적인 위협으로부터 웹 사이트를 보호하기 위해 WordPress 보안을 강화하는 모범 사례를 살펴봅니다.

YouTube 채널 구독

WordPress 보안: 좋은 WordPress 호스팅 선택

첫 번째 단계는 우수한 WordPress 호스팅 회사와 파트너 관계를 맺는 것입니다. 사용 가능한 선택 항목이 너무 많기 때문에 올바른 호스트를 선택하는 방법을 결정하기 어려울 수 있습니다. 초보자인 경우 WordPress에 대한 모든 보안 업데이트를 제공하는 동시에 설치된 서버를 유지 관리하는 SiteGround와 같은 우수한 관리형 호스팅 제공업체를 선택하는 것이 가장 좋습니다. 기술에 정통한 사람들에게는 Cloudways와 같은 클라우드 호스팅 공급자가 탁월한 선택입니다.

두 옵션 모두 다음을 포함하여 웹 사이트의 안전과 보안을 보장하는 데 필요한 모든 도구를 제공합니다.

• 무료 SSL 인증서
• 웹 애플리케이션 방화벽(WAF)
• SFTP 액세스
• 분산 서비스 거부(DDoS) 보호
• 맬웨어 보호

WordPress 로그인 보안 유지

WordPress 보안을 강화하기 위해 할 수 있는 또 다른 쉬운 일은 로그인 자격 증명을 잠그는 것입니다. 이는 플러그인을 사용하여 로그인 URL을 /wp-admin에서 원하는 것으로 변경하는 것을 포함하여 여러 가지 방법으로 수행할 수 있습니다. 또한 로그인에 2단계 인증(2FA)을 추가하고 로그인 시도를 제한하여 봇을 물리칠 수 있습니다.

로그인을 보호하는 또 다른 방법은 WordPress용 Google Apps 로그인을 사용하여 로그인을 Google 계정에 연결하는 것입니다. 로그인이 잠기면 사용자의 IP 주소를 화이트리스트에 추가해야 합니다. 이렇게 하면 등록된 사용자만 비밀번호를 알아내더라도 들어갈 수 있습니다.

WordPress 보안 플러그인 제품군 사용

당신이 할 수 있는 또 다른 매우 유용한 일은 iThemes Security와 같은 우수한 보안 플러그인을 설치하는 것입니다. 2FA를 추가하고, 로그인 시도를 제한하고, 백업을 예약하고, WordPress 로그인을 숨길 수 있습니다.

WordPress 보안 플러그인 외에도 호스트가 백업을 제공하지 않는 경우 UpdraftPlus와 같은 우수한 백업 플러그인을 설치하는 것이 좋습니다. 백업 플러그인은 사이트 파일 손실을 방지하여 WordPress를 처음부터 다시 빌드하지 않도록 도와줍니다. 문제가 발생한 경우 약간의 노력으로 사이트를 쉽게 복원할 수 있습니다. 마지막으로 WP 활동 로그와 같은 활동 로그 플러그인을 통합하면 무엇이 언제 잘못되었는지 정확히 파악할 수 있습니다.

PHP를 최신 상태로 유지

WordPress가 올바르게 작동하려면 PHP, MySQL 및 HTTPS 지원의 세 가지가 필요합니다. PHP(Hypertext Preprocessor)는 웹 개발에 사용되는 널리 사용되는 오픈 소스 스크립팅 언어이며 WP의 중추입니다. WordPress와 마찬가지로 오픈 소스이기 때문에 이를 악용하려는 악의적인 행위자에게 열려 있습니다. 이러한 잠재적인 문제를 피하려면 PHP를 최신 상태로 유지하는 것이 가장 좋습니다. WordPress 보안에 도움이 될 뿐만 아니라 사이트를 최적의 상태로 유지합니다.

강력한 암호 선택

WordPress 보안의 가장 중요한 측면 중 하나는 강력한 로그인 암호를 선택하는 것입니다. 약하거나 쉽게 추측할 수 있는 암호는 사이트를 무단 액세스에 취약하게 만들고 사이트를 봇넷에 노출시킵니다. 봇넷은 맬웨어에 감염되어 해커의 제어를 받는 컴퓨터 모음입니다. 그들은 인터넷에서 DDoS 공격의 주요 원인이지만 올바른 예방 조치를 취함으로써 귀하의 사이트가 피해를 입지 않도록 예방할 수 있습니다.

예를 들어 모든 사용자가 비밀번호 정책을 준수하도록 하여 사이트를 보호할 수 있습니다. 이를 수행하는 한 가지 좋은 방법은 Password Policy Maker와 같은 플러그인을 설치하는 것입니다.

WordPress 보안: 소프트웨어 업데이트 유지

WordPress 보안의 또 다른 간단한 단계는 WordPress 코어, 플러그인 및 테마를 최신 상태로 유지하는 것입니다. 소프트웨어를 최신 상태로 유지하면 보안 위반, WordPress의 죽음의 흰색 화면 또는 여러 가지 일반적인 오류를 포함하여 웹사이트에 부정적인 결과를 초래할 수 있습니다.

직접 업데이트를 유지하거나 자동 업데이트를 활성화할 수 있습니다. 귀하에게 적합한 것은 시간, 전문 지식 및 WordPress 설치가 실행하는 소프트웨어 유형을 포함한 여러 요인에 따라 다릅니다. 업데이트를 처리하든 자동 업데이트를 선택하든 관계없이 업데이트를 수행하기 전에 항상 백업을 만들어야 합니다.

SSL 인증서 설치

좋은 호스팅 제공업체와 파트너 관계를 맺는 경우 함께 제공되는 혜택 중 하나는 무료 SSL 인증서입니다. 그러나 직접 설치해야 하는 상황이 있을 수 있습니다. SiteGround와 같은 대부분의 공급자는 몇 분 안에 설치되는 무료 SSL을 제공합니다. 이 글을 읽으면서 "왜 SSL 인증서가 필요한가요?"라고 물을 수 있습니다. 설명하자.

Valery Brozhinsky의 이미지 제공 | Shutterstock.com

SSL 또는 보안 소켓 계층은 HTTP(Hypertext Transfer Protocol)를 HTTPS(Hypertext Transfer Protocol Secure)로 확장하여 암호화 및 추가 보안 계층을 추가합니다. 예를 들어 HTTP를 통해 구매하는 소비자는 신용 카드 정보가 악용될 위험이 있습니다. 반면에 HTTPS를 통해 동일한 구매를 한 경우 정보가 보호됩니다. 귀하의 사이트와 방문자는 보안 연결 없이 노출되고 취약합니다. 그렇기 때문에 새 웹사이트에 SSL 인증서를 설치하는 것이 중요합니다.

보안 감사 수행

사이트를 보호하기 위한 조치를 취한 후에는 때때로 WordPress 보안 감사를 수행하는 것이 중요합니다. 기술이 매일 바뀌듯이 해커의 도구도 마찬가지입니다. 맬웨어 및 기타 전술은 정기적으로 개발되므로 WordPress 웹 사이트를 보호하는 것은 일회성 거래가 아닙니다. 정기적인 보안 검사를 예약하고 사이트에 문제가 있을 수 있는 징후를 찾으십시오. 사이트 로드 속도가 느리거나 트래픽이 감소하거나 추가하지 않은 새 링크를 발견하거나 과도한 로그인 시도가 발생하는 경우 사이트를 안전하게 유지하기 위해 보안 검색을 실행할 때일 수 있습니다.

고급 WordPress 보안 기술

위에 나열된 단계 외에도 WordPress 보안을 강화하기 위해 사이트에 통합할 수 있는 몇 가지 고급 기술이 있습니다.

wp-config.php 파일 강화

해커의 일반적인 진입 지점 중 하나는 WordPress 웹사이트의 wp-config.php 파일입니다. 여기에는 이름, 호스트, 사용자 이름 및 암호를 포함하여 데이터베이스에 대한 정보가 들어 있습니다. 이 중요한 파일을 열어 두면 해로울 수 있으므로 항상 숨기는 것이 좋습니다.

wp-config.php 파일 이동

wp-config를 이동하려면 사이트의 루트 폴더(공용 HTML)로 드래그하면 됩니다. 그러면 WordPress는 사이트가 핑될 때마다 이를 찾습니다. 그러나 사이트의 파일 구조에 htaccess 파일이 포함된 경우 다음 코드를 사용하여 액세스를 거부하는 지시문을 추가하여 사이트를 추가로 보호할 수 있습니다.

<FilesMatch "wp-config/.php">
Require all denied
</FilesMatch">

참고: 이 작업을 수행하기 전에 호스팅 공급자가 wp-config 파일을 이동하는 단계를 아직 수행하지 않았는지 확인하십시오. Kinsta와 같은 일부 호스트는 사이트를 안전하게 유지하기 위해 자동으로 이 작업을 수행합니다.

WordPress 솔트 키 변경

wp-config 파일을 보호하는 또 다른 방법은 사이트의 솔트 키를 변경하는 것입니다. 이러한 키는 데이터베이스에 암호를 저장하고 쿠키에 로그인하고 기타 중요한 WordPress 보안 측면에서 추가 보호 계층을 추가합니다. 해커가 솔트 키를 얻을 수 있는 경우 저장된 신용 카드 정보, 암호 및 기타 중요한 정보를 포함하여 사이트의 데이터베이스 및 파일에 액세스할 수 있습니다. 따라서 주기적으로 변경하는 것이 좋습니다.

파일 권한 변경

기본적으로 루트 디렉터리의 파일은 644로 설정되어 있습니다. 즉, 읽기 및 쓰기가 모두 가능하므로 나쁜 행위자에게 취약합니다. WordPress에 따르면 기본 권한으로 남겨두어서는 안 됩니다. 오히려 동일한 서버의 다른 사용자가 읽을 수 없도록 440 또는 400으로 변경해야 합니다. 그러나 파일 권한을 변경하기 전에 호스팅 제공업체에 확인하는 것이 중요합니다. 고유한 시스템이 있을 수 있으므로 권한을 변경하면 사이트가 중단될 수 있습니다.

XML-RPC 비활성화

XML-RPC는 웹 사이트를 타사 앱 및 도구에 연결할 수 있는 WordPress API입니다. 최근 몇 년 동안 무차별 대입 공격에 악용되어 WordPress 사이트에 대한 액세스를 허용했습니다. 주로 Zapier에 연결하거나 앱을 통해 원격으로 사이트에 액세스하는 데 사용됩니다. 이러한 연결을 사용하지 않는 경우 서버에서 XML-RPC를 비활성화해야 합니다.

htaccess를 통해 비활성화하거나 코드 스니펫을 사용하거나 플러그인을 사용하는 등 여러 가지 방법이 있습니다. 가장 진보된 방법인 htaccess는 초보자에게는 까다로울 수 있으므로 가장 권장되는 방법은 코드 스니펫을 사용하는 것입니다.

htaccess 방법의 경우 FTP 클라이언트를 사용하여 사이트의 파일에 액세스한 다음 htaccess 파일에 다음 코드를 추가합니다.

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny, allow
 deny from all
allow from 123.123.123.123
</Files>

참고: IP 123.123.123.123 을 자신의 것으로 변경해야 합니다.

또는 AIOSEO 플러그인의 도구 htaccess 탭을 사용하여 코드를 삽입할 수 있습니다.

코드 스니펫을 사용하여 XML-PRC를 비활성화하려는 경우 WPCode 플러그인을 사용하여 쉽게 수행할 수 있습니다. 여기에는 API를 비활성화하는 데 사용할 수 있는 스니펫이 내장되어 있습니다.

WordPress 버전 숨기기

이것은 WordPress 보안과 관련하여 종종 간과되는 단계이지만 중요한 단계입니다. 기본적으로 WordPress는 설치된 버전을 보여주는 사이트 코드에 발자국을 남깁니다. 무해해 보일 수 있지만 해커는 웹사이트의 소스 코드에 액세스하여 실행 중인 WordPress 버전을 확인할 수 있습니다. 오래된 경우 해당 정보를 사용하여 맬웨어 또는 악성 스크립트를 삽입하여 사이트를 해킹할 수 있습니다.

따라서 추가 WordPress 보안 조치로 사이트의 WordPress 버전을 숨겨 해커가 사이트를 제어하기 어렵게 만듭니다. 이를 수행하는 좋은 방법이 있습니다. 소스 코드에서 줄을 제거하는 코드 스니펫 플러그인을 구현하거나 하위 테마를 생성하여 functions.php 파일에 배치할 수 있습니다.

function elegantthemes_remove_version() {
return '';
}
add_filter('the_generator', 'elegantthemes_remove_version');

또는 메타 태그, 데이터베이스 쿼리 문자열 및 RSS 피드에서 WP 버전을 제거하려면 다음 코드를 사용하십시오.

/* Hide WP version strings from scripts and styles
* @return {string} $src
* @filter script_loader_src
* @filter style_loader_src
*/
function elegantthemes_remove_wp_version_strings( $src ) {
global $wp_version;
parse_str(parse_url($src, PHP_URL_QUERY), $query);
if ( !empty($query['ver']) && $query['ver'] === $wp_version ) {
$src = remove_query_arg('ver', $src);
}
return $src;
}
add_filter( 'script_loader_src', 'elegantthemes_remove_wp_version_strings' );
add_filter( 'style_loader_src', 'elegantthemes_remove_wp_version_strings' );
 
/* Hide WP version strings from generator meta tag */
function wordpress_remove_version() {
return '';
}
add_filter('the_generator', 'elegantthemes_remove_version');

WordPress 웹 사이트가 해킹된 경우 수행할 작업

모든 작업을 올바르게 수행하더라도 웹 사이트가 해킹된 상황에 처할 수 있습니다. 고맙게도 사이트를 복구 모드로 전환하거나 가장 최근 백업에서 복원하거나 비밀번호를 재설정하는 등의 조치를 취할 수 있습니다. 다른 모든 방법이 실패하면 호스팅 공급자가 도움을 줄 수 있습니다.

WordPress 보안에 대한 최종 생각

WordPress 보안을 강화하는 데 필요한 단계를 수행하면 방문자에게 안전하면서도 사이트가 정상적으로 계속 작동하도록 할 수 있습니다. WordPress는 엄청난 이점과 사용 편의성을 제공하지만 단점을 이해하는 것이 중요합니다. 고맙게도 iThemes와 같은 워드프레스 보안 플러그인이 많이 있어 상황을 추적하는 데 도움이 됩니다.

WordPress에 대한 자세한 정보를 찾고 계십니까? 즉시 WordPress 전문가로 변모시켜 줄 몇 가지 심층 기사를 확인하십시오.

• WordPress 설치 방법: 최종 가이드
• 2023년 최고의 WordPress 호스팅 옵션 10개(직선)
• 2023년 최고의 WordPress 플러그인 31개(필요한 모든 것)
• 2023년 최고의 WordPress 테마 10개(비교 및 순위)

Pikovit / shutterstock.com을 통한 주요 이미지