휴일 동안 온라인 상점을 보호하는 방법: 10가지 웹사이트 보안 감사

게시 됨: 2020-12-09

온라인 상점을 운영하는 경우 휴가철에 트래픽이 급격히 증가하는 것을 볼 수 있습니다. 신규 고객이 결제 정보와 개인 주소를 웹사이트에 입력함에 따라 명절을 대비하여 온라인 스토어를 보호하는 것이 그 어느 때보다 중요합니다.

11월과 12월은 연중 가장 바쁜 쇼핑 달로 해킹이나 보안 침해와 관련된 가동 중지 시간이 연중 다른 시기보다 더 비쌉니다. 웹사이트의 가동 시간이 그 어느 때보다 중요하며 이것이 바로 지금이 온라인 상점에 대한 보안 감사를 수행하기에 완벽한 시기인 이유입니다.

웹사이트 보안에 대한 중요한 질문

웹사이트 보안 감사가 끝나면 다음 10가지 질문에 답할 수 있어야 합니다.

  • 1. 내 상점이 올바른 플랫폼에 있습니까?
  • 2. 내 상점이 올바른 웹 호스트에 있습니까?
  • 3. 내 상점은 PCI-DSS를 준수합니까?
  • 4. 고객에 대해 너무 많은 데이터를 수집합니까?
  • 5. 고객과 매장 간의 통신을 암호화하고 있습니까?
  • 6. 내 고객 계정은 안전합니까?
  • 7. 내 온라인 상점을 실행하는 소프트웨어가 최신 상태입니까?
  • 8. 내 사이트의 프런트 엔드를 정기적으로 방문하고 있습니까?
  • 9. CDN과 WAF를 사용하고 있습니까?
  • 10. 공공 장소에서 작업할 때 연결을 보호합니까?

10-포인트 웹사이트 보안 감사

이 질문들 중 일부 또는 전부에 답하는 방법을 모른다고 초조해하지 마십시오. 이 게시물이 끝나면 이 모든 질문에 답하는 방법을 알게 될 것입니다.

이 게시물의 나머지 부분을 진행하면서 감사 결과와 취해야 할 조치를 기록해 두는 것이 좋습니다. 이 감사는 웹 디자인 클라이언트(연중 언제든지)에게 제공할 수 있는 훌륭한 서비스이기도 합니다.

휴가철을 대비하여 웹사이트 보안 감사를 시작하겠습니다.

PDF 다운로드: 10가지 전자상거래 웹사이트 보안 감사
지금 다운로드

1. 내 상점이 올바른 플랫폼에 있습니까?

Shopify, Magento 및 WordPress는 사람들이 상점을 만드는 데 사용하는 가장 인기 있는 세 가지 플랫폼입니다. 이러한 플랫폼 중 어느 것도 안전하지 않다면 인기 있는 전자 상거래 솔루션이 될 수 없습니다. 세 가지 플랫폼 모두 장단점이 있으므로 어느 것이 귀하의 요구에 가장 잘 맞는지 알아보기 위해 약간의 조사를 해야 합니다.

현재 플랫폼에 대한 빠른 감사에는 다음 질문이 포함될 수 있습니다.

  • 1. 플랫폼은 보안 취약점을 해결하기 위해 자주 업데이트를 푸시합니까?
  • 2. 플랫폼은 보안 표준을 충족하도록 전담하는 팀을 고용/활용합니까?
  • 3. 플랫폼에 대규모 데이터 유출 또는 공개된 취약점의 이력이 있습니까?
  • 4. 플랫폼이 안전하다는 평판은 어떻습니까?

한 가지 염두에 두어야 할 점은 상점을 다른 플랫폼이나 호스트로 옮기는 것이 얼마나 쉬운지 입니다. Shopify에서 다른 곳으로 이동해야 하는 경우 Shopify를 WooCommerce로 마이그레이션할 수 있습니다. 그러나 WordPress 스토어를 새로운 웹 호스트로 옮기는 것만큼 쉽지는 않을 것입니다. WordPress는 또한 사용할 수 있는 도구에 대해 더 많은 사용자 정의와 유연성을 허용합니다.

2. 내 상점이 올바른 웹 호스트에 있습니까?

귀하의 웹사이트를 친구의 블로그와 동일한 공유 호스팅에 두는 것은 나쁜 생각입니다. 왜요? 전자 상거래 웹 사이트는 적절한 보안을 위해 더 높은 전문성을 요구하는 많은 복잡성을 추가합니다. 사이버 보안 전문가가 되는 것이 꿈이었기 때문에 상점을 만든 것이 아니므로 그 책임을 호스트에게 전가해야 합니다.

Liquid Web의 Managed WooCommerce Hosting 또는 Managed WordPress 호스팅과 같은 전자 상거래 중심 호스팅 솔루션에 투자하는 것이 좋습니다. 전체 공개, Liquid Web은 우리의 모회사이지만 귀하에게는 정말 훌륭한 호스팅입니다. 가격 가게에 가서 그 가격에서 그 가치와 경쟁하는 다른 호스팅 회사를 찾으십시오. 관리형 전자 상거래 호스트가 있으면 사이트를 관리하는 데 드는 많은 시간과 번거로움을 줄일 수 있습니다. 대신 비즈니스를 성장시키는 데 사용할 수 있습니다.

3. 내 상점은 PCI-DSS를 준수합니까?

신용 카드 결제를 수락하는 경우 PCI-DSS(Payment Card Industry Data Security Standards)를 충족해야 합니다. 공식 PCI 보안 표준 위원회에 따르면 " 결제 카드를 수락하거나 처리하는 경우 PCI 데이터 보안 표준이 적용됩니다." 이러한 표준에는 300가지가 넘는 다양한 보안 요구 사항이 포함되어 있지만 PCI-DSS 모범 사례에 대한 개요는 다음과 같습니다.

PCI 데이터 보안 표준

목표 PCI DSS 요구 사항
보안 네트워크 구축 및 유지 관리
  • 1. 카드 소지자 데이터를 보호하기 위한 방화벽 구성 설치 및 유지
  • 2. 시스템 암호 및 기타 보안 매개변수에 대해 공급업체 제공 기본값을 사용하지 마십시오.
카드 소지자 데이터 보호
  • 3. 저장된 카드 소유자 데이터 보호
  • 4. 개방형 공용 네트워크를 통한 카드 소유자 데이터 전송 암호화
취약성 관리 프로그램 유지
  • 5. 안티바이러스 소프트웨어 또는 프로그램을 사용하고 정기적으로 업데이트합니다.
  • 6. 보안 시스템과 애플리케이션을 개발하고 유지합니다.
강력한 액세스 제어 조치 구현
  • 7. 비즈니스가 알아야 할 사항에 따라 카드 소유자 데이터에 대한 액세스를 제한합니다.
  • 8. 컴퓨터에 접근할 수 있는 각 사람에게 고유한 ID 할당
  • 9. 카드 소지자 데이터에 대한 물리적 접근 제한
정기적으로 네트워크 모니터링 및 테스트
  • 10. 네트워크 리소스 및 카드 소지자 데이터에 대한 모든 액세스 추적 및 모니터링
  • 11. 보안 시스템 및 프로세스를 정기적으로 테스트합니다.
정보 보안 정책 유지
  • 12. 직원 및 계약자를 위한 정보 보안을 다루는 정책 유지

사람들의 직불 카드 번호를 사용하기로 선택한 경우 이러한 요구 사항을 충족하면 악의적인 공격자가 은행 계좌를 고갈시키는 것을 방지할 수 있습니다. PCI-DSS 요구 사항을 충족하는지 확인하기 위해 전문가의 조언을 구하시기 바랍니다.

4. 고객에 대해 너무 많은 데이터를 수집합니까?

고객에 대해 더 많은 정보를 수집할수록 침해 중에 더 많은 정보가 손상될 수 있습니다. 오늘날 우리는 어떤 회사가 고객 데이터를 노출시킨 데이터 유출의 피해자라는 소식을 듣지 않고 일주일을 보낼 수 없습니다. 예를 들어 Doordash 침해 사고에서 고객의 전화번호, 이메일 주소, 집 주소 및 해시된 비밀번호가 손상되었습니다. 그러한 정보의 조합은 사기 대출을 받는 데 필요한 전부일 수 있습니다.

고객에 대해 필요한 것보다 더 많은 정보를 수집해서는 안 됩니다. 자동 갱신되지 않는 디지털 제품을 판매하는 경우 우편 주소를 수집하여 저장하는 이유는 무엇입니까?

또한 Stripe와 같은 지불 게이트웨이 사용을 고려해야 합니다. 지불 게이트웨이를 사용하면 신용 카드 지불을 오프로드할 수 있으므로 상점에서 신용 카드 번호를 처리하거나 저장하지 않고도 온라인 지불을 수락할 수 있습니다. Stripe은 PCI-DDS를 준수하는 데도 도움이 됩니다.

불행히도 온라인에는 항상 공격자가 있으며 사이트가 손상되었다는 보고도 적지 않을 것입니다. 고객에 대해 수집하는 정보를 제한하면 위반 시 노출되는 정보의 양이 제한됩니다. 당신이 가지고 있지 않은 민감한 고객 데이터를 잃을 수 없습니다.

5. 고객과 매장 간의 통신을 암호화하고 있습니까?

SSL은 고객이 브라우저에 입력하고 사이트로 보내는 통신을 암호화합니다. SLL을 사용하면 누군가 계정 이름과 비밀번호를 입력하면 해당 정보가 확인을 위해 사이트 서버로 전송될 때 보호됩니다. 사용자 이름과 암호를 암호화하면 공격자가 브라우저에서 서버로 전송하는 동안 사용자 이름과 암호를 가로채기가 더 어려워집니다.

모든 사람이 이미 자신의 사이트에서 SSL 인증서를 사용하고 있다고 가정하기 때문에 이에 대해 너무 많은 시간을 할애하지 않을 것입니다. SSL에 익숙하지 않은 경우 WordPress https 교육을 확인할 수 있습니다. 전자 상거래 전문 호스트를 사용하는 경우 사이트가 이미 SSL을 안전하게 사용하고 있을 수 있습니다.

6. 내 고객 계정은 안전합니까?

무차별 대입 공격은 고객 계정에 대한 가장 일반적인 유형의 공격입니다. 무차별 대입 공격은 해커가 올바른 사용자 이름과 암호를 찾을 때까지 임의의 사용자 이름과 암호 조합을 추측하려고 하는 공격 유형입니다. 브루트포스 공격이 인기를 끄는 이유는 진입장벽이 매우 낮기 때문이다. 빠른 Google 검색으로 많은 무료 암호 해독 도구를 찾을 수 있습니다.

좋은 소식은 WordPress 사이트에서 iThemes Security Pro와 같은 WordPress 보안 플러그인을 사용하면 고객 로그인에 대한 공격이 성공하는 것을 쉽게 방지할 수 있다는 것입니다.

Google 보안 블로그의 연구에 따르면 무차별 대입 공격을 100% 차단하려면 다음 5가지 규칙을 따라야 합니다.

추천 설명 해결책
실패한 로그인 시도 제한 봇이 잠기기 전에 시도할 수 있는 잘못된 로그인 시도 횟수를 제한합니다. iThemes Security Pro WordPress Brute Force Protection 기능은 사용자 이름 또는 IP가 잠기기 전에 허용된 로그인 시도 실패 횟수를 설정할 수 있는 기능을 제공합니다. 잠금은 공격자의 로그인 시도 기능을 일시적으로 비활성화합니다. 공격자가 세 번 차단되면 사이트를 보는 것조차 금지됩니다.
강력한 암호 강제 적용 길이가 최소 12자이고 임의적이며 "ISt8XXa!28X3"과 같은 많은 문자가 포함된 암호는 해독하기가 매우 어렵습니다. WordPress를 편집할 수 있는 사용자가 강력한 암호를 사용하도록 요구합니다. iThemes Security Pro와 같은 WordPress 보안 플러그인을 사용하여 권한 있는 사용자가 강력한 암호를 사용하도록 하면 WordPress 로그인 보안을 강화하는 데 도움이 됩니다.
손상된 비밀번호 거부 비밀번호를 재사용하는 사용자가 많을수록 WordPress 로그인 보안이 약해집니다. 고객이 알려진 손상된 비밀번호를 사용하지 못하도록 합니다. iThemes Security Pro는 HaveIBeenPwned API를 활용하여 데이터 유출 시 비밀번호가 등장했는지 여부를 감지합니다. 데이터 유출로 비밀번호가 발견된 경우 iThemes Security는 즉시 계정 비밀번호를 업데이트하도록 요구합니다.
이중 인증 사용 WordPress 2단계 인증을 요구하는 것보다 고객 계정을 보호하는 더 좋은 방법은 없습니다. 이중 인증을 사용하려면 로그인하기 위해 WordPress 사용자 이름 및 비밀번호와 함께 추가 코드가 필요합니다. iThemes Security Pro와 같은 WordPress 보안 플러그인을 사용하여 WordPress 사이트에 WordPress 이중 인증을 추가할 수 있습니다. 이중 요소의 이메일 또는 모바일 앱 방법을 활성화합니다. 또한 WordPress 암호 없는 로그인 기능을 사용하여 이중 요소의 보안으로 더욱 쉽게 로그인할 수 있습니다.
외부 인증 시도 제한 로그인 양식을 사용하는 것 외에 WordPress 사이트에 로그인하는 다른 방법이 있습니다. XML-RPC를 사용하여 공격자는 단일 HTTP 요청에서 수백 번의 사용자 이름과 암호를 시도할 수 있습니다. 무차별 대입 증폭 방법을 사용하면 공격자가 단 몇 번의 HTTP 요청으로 XML-RPC를 사용하여 수천 번의 사용자 이름과 암호를 시도할 수 있습니다. iThemes Security Pro의 WordPress Tweaks 설정을 사용하여 XML-RPC 요청당 여러 인증 시도를 차단할 수 있습니다. 모든 요청에 ​​대해 사용자 이름과 비밀번호 시도 횟수를 제한하면 WordPress 로그인 보안에 큰 도움이 됩니다.

고객이 로그인하는 것을 결코 어렵게 만들지 않을 것이라고 생각할 수도 있습니다. 나는 당신이 어디에서 왔는지 진정으로 이해하지만 당신의 마음을 바꿀 수 있는 간단한 이야기를 나누겠습니다.

나는 그들의 계정 중 하나가 해킹당한 가족 구성원이 있었습니다. 해커는 가족 구성원이 무료로 구입한 제품만 다운로드할 수 있음을 기억하십시오. 그들의 개인 정보는 하나도 저장되지 않았으므로(4번 참조) 아무 것도 나오지 않았습니다. 그러나 이 가족 구성원은 여전히 ​​화를 내고 있었습니다. 계정이 유출된 회사는 그들에게 전액을 환불했으며 비밀번호를 업데이트하면 계정이 안전할 것이라고 보장했습니다.

그래서 이 말을 듣고 셜록홈즈 인상에 최선을 다해 조사를 시작하기로 했다. 해커가 여러 데이터 유출 덤프 중 하나에서 가족 구성원의 이메일 주소와 비밀번호를 찾았을 가능성이 있다는 것을 확인할 수 있었습니다. 내 가족 구성원은 수년 동안 동일한 비밀번호와 사용자 이름 조합을 사용하고 있었습니다. 나는 그들에게 haveibeenpwned.com에서 이메일 주소가 포함된 모든 데이터베이스 침해를 보여주고 해당 계정이 해킹되기 전에 모든 계정의 비밀번호를 업데이트하도록 권장했습니다.

자신의 비밀번호가 누구나 사용할 수 있다는 사실을 알게 된 후 약한 비밀번호를 선택하거나 계정이 해킹당한 회사를 탓했다고 생각하십니까? 당신이 회사를 비난한다면 당신이 옳을 것입니다. 그들이 해킹에 대한 이야기를 할 때 회사나 잘못된 비밀번호 관행에 대해 부정적인 이야기를 할 가능성이 더 높다고 생각하십니까? 모든 잘못이 그들 자신의 잘못이었지만, 그들은 여전히 ​​자신의 계정을 보호할 책임이 회사에 있다고 생각했습니다.

그래서 우리는 이것에서 무엇을 배울 수 있습니까? 고객 계정을 보호하기 위해 강력한 암호와 이중 인증을 요구하는 것은 상점 소유자로서 우리에게 달려 있습니다. 고객의 계정이 해킹당하면 가게 주인이 책임을 질 가능성이 높기 때문입니다.

좋은 소식은 iThemes Security Pro 플러그인에 새로운 WordPress 암호 없는 로그인 기능이 있어 사용자가 암호나 추가 인증 코드를 입력하지 않고도 강력한 암호 이중 인증을 사용하도록 요구할 수 있다는 것입니다. 이제 사용성을 희생하지 않고 모든 보안을 제공할 수 있습니다.

7. 내 온라인 상점을 실행하는 소프트웨어가 최신 상태입니까?

소프트웨어 업데이트는 새로운 기능이나 버그 수정만을 위한 것이 아닙니다. 업데이트에는 알려진 보안 악용에 대한 보안 패치도 포함될 수 있습니다. 알려진 익스플로잇으로 오래된 소프트웨어를 실행하는 것은 웹사이트가 해킹되는 가장 일반적인 이유 중 하나입니다. 업데이트 루틴이 있는 것은 WordPress 사이트의 보안에 매우 중요합니다. 업데이트를 수행하려면 일주일에 한 번 이상 사이트에 로그인해야 합니다.

iThemes Security Pro 플러그인의 버전 관리 기능을 사용하면 자동 WordPress 업데이트를 활성화하여 최신 보안 패치를 받을 수 있습니다. 소프트웨어 업데이트는 온라인 상점을 보호하는 데 도움이 되는 가장 쉬운 방법입니다.

8. 내 사이트의 프런트 엔드를 정기적으로 방문하고 있습니까?

마지막으로 사이트의 프론트엔드를 살펴보거나 홈페이지를 본 것이 언제였습니까? 바쁜 사이트 소유자로서 우리는 일반적으로 사이트의 백엔드에 직접 로그인하여 새 제품, 콘텐츠를 추가하고 사이트 업데이트를 수행합니다. 사이트의 페이지와 제품을 검색하면 감염 징후를 찾는 데 도움이 될 수 있습니다. 사이트의 프론트 엔드를 검사하거나 내 WordPress 사이트가 해킹되었는지 물을 때 이 3가지 감염 징후를 찾아야 합니다.

  1. 변경 사항에 대한 홈페이지 확인 – 일부 해킹의 주요 목표는 웹사이트를 트롤링하거나 악명을 얻는 것입니다. 그래서 그들은 당신의 홈페이지를 그들이 재미있다고 생각하는 것으로 바꾸거나 전화 카드로 해킹된 채로 남겨둡니다.
  2. 악의적인 팝업 또는 스팸 찾기 – 사이트에서 판매하지 않는 광고 중인 제품이 있습니까?
  3. 예기치 않은 리디렉션 찾기 – 제품 링크 중 하나를 클릭하기만 하면 고객 데이터를 수집하려는 악의적인 상점으로 리디렉션됩니까?

iThemes Security Pro의 파일 변경 감지 기능을 사용하면 사이트에 발생한 예기치 않은 변경 사항을 인식하는 데 도움이 될 수 있습니다. 사이트에 대한 성공적인 공격에 대해 경고하는 것이 중요합니다. 위반을 더 빨리 식별할수록 더 많은 피해를 완화할 수 있습니다.

9. CDN과 WAF를 사용하고 있습니까?

Cloudflare CDN과 같은 콘텐츠 전송 네트워크(CDN)를 사용하면 DDoS 공격으로부터 상점을 보호할 수 있습니다. CDN은 귀하의 사이트와 다른 서버에 있으며 귀하의 사이트에 요청이 전달되기 전에 해당 요청을 검사할 수 있습니다. 서비스 거부 공격(DDos)은 공격자가 인터넷 트래픽 폭주로 사이트를 중단시키거나 중단시키려고 하는 경우입니다. 호스팅 계획에 따라 사이트를 다운시키는 데 추가 트래픽이 많이 필요하지 않을 수 있습니다.

CDN은 몇 가지 다른 방법으로 DDoS 공격을 완화하는 데 도움이 될 수 있습니다. CDN이 가장 먼저 할 일은 귀하의 사이트가 공격을 받고 있는지 적극적으로 모니터링하고 식별하는 것입니다. 이는 매우 중요합니다. 탐지하도록 설정되지 않은 공격은 막을 수 없습니다. 악성 IP가 식별되면 CDN은 해당 IP의 요청이 귀하의 사이트에 도달하는 것을 방지합니다.

또한 WAF(웹 응용 프로그램 방화벽) 사용을 고려해야 합니다. WAF는 사이트에 도달하기 전에 악성 트래픽을 식별하고 필터링할 수 있습니다. PHP 웹 애플리케이션 방화벽과 달리 Cloudflare WAF와 같은 WAF는 사이트와 동일한 서버에 있지 않습니다. 따라서 모든 보안 필터링은 오프사이트에서 수행되며 추가 로드를 추가하거나 사이트 속도를 늦추지 않습니다.

10. 공공 장소에서 작업할 때 연결을 보호합니까?

온라인 상점을 운영하는 가장 좋은 점 중 하나는 어디에서나 일할 수 있다는 것입니다. 불행히도 공용 Wi-Fi는 공공 도서관, 호텔, 커피숍 및 공항을 해커가 통신을 가로채고 암호를 수집할 수 있는 주요 위치로 만드는 매우 안전하지 않은 것으로 알려져 있습니다.

저는 한 번 iThemes Security Pro 고객이 비밀번호를 변경한 후에도 어떻게 관리 계정이 계속 해킹되는지 알 수 없는 고객과 함께 일한 적이 있습니다. 잠시 후 나는 그들이 로컬 라이브러리에서 작업하는 것을 좋아하고 VPN(가상 사설망)을 사용하지 않고 Wi-Fi에 연결되어 있다는 것을 알게 되었습니다.

가상 사설망을 사용하면 인터넷 트래픽을 암호화하여 은행이나 온라인 상점과 안전하게 통신할 수 있습니다. iThemes Security Pro 고객은 VPN을 사용하지 않았기 때문에 트래픽이 암호화되지 않았고 암호가 악의적인 행위자에 의해 계속 가로채고 있었습니다. 지역 도서관에서 VPN을 사용해 보라고 제안한 후 VPN을 사용하면 해킹을 막을 수 있다고 보고했습니다.

공용 Wi-Fi의 불안정성에 대해 더 많은 증거가 필요하면 저널리스트가 기내 Wi-Fi를 사용하는 동안 해킹당한 경험에 대해 쓴 훌륭한 USA Today 기사가 있습니다. Apple-FBI 이야기를 작성하는 동안 공중에서 해킹을 당했습니다.

마무리: 온라인 보안 모범 사례

온라인 상점에 대한 대부분의 공격은 약간의 조치로 성공하지 못할 수 있습니다. 지금은 귀하의 사이트가 휴가철에 안전한지 확인하기 위해 보안 감사를 수행하기에 좋은 시간입니다!

워드프레스 보안 플러그인

WordPress 보안 플러그인으로 WordPress 웹사이트 보호

WordPress 보안 플러그인인 iThemes Security Pro는 일반적인 WordPress 보안 취약성으로부터 웹사이트를 보호하고 보호하는 50가지 이상의 방법을 제공합니다. WordPress 2단계 인증, 무차별 대입 방지, 강력한 암호 적용 등을 사용하여 웹 사이트에 보안 계층을 추가할 수 있습니다.

iThemes 보안 프로 받기