iThemes Security Pro를 위한 5가지 고급 팁 및 요령

게시 됨: 2020-09-02

iThemes Security Pro 플러그인에는 WordPress 웹사이트를 보호하고 보호하는 50가지 이상의 다양한 방법이 있습니다. 버튼 클릭만으로 iThemes Security Pro에서 대부분의 보안 방법을 활성화할 수 있습니다. 그러나 설정에 뛰어드는 데 몇 분을 할애할 수 있다면 WordPress 웹 사이트에 여러 보호 계층을 추가할 수 있습니다.

이 게시물에서는 iThemes Security Pro에 대한 5가지 고급 팁과 트릭을 제공하여 웹 사이트의 보안을 한 단계 끌어올립니다.

팁 #1 – 신뢰할 수 있는 장치로 WP 대시보드 보호

iThemes Security Pro 신뢰할 수 있는 장치 기능은 WordPress 대시보드에 대한 액세스를 승인된 장치 목록으로 제한합니다.

iThemes Security Pro에 어떤 장치가 귀하의 것인지 알려주면 신뢰할 수 있는 장치가 2가지 방법으로 사이트를 보호할 수 있습니다.

1. 인식되지 않는 장치의 기능 제한 – 누군가가 인식되지 않는 장치를 사용하여 로그인하는 경우 관리자 수준의 기능을 제한하고 로그인 세부 정보를 편집하지 못하도록 할 수 있습니다. iThemes Security Pro는 WordPress 사용자 프로필에 설정된 주소로 이메일을 보냅니다.

인식할 수 없는 로그인 이메일에는 장치를 확인하거나 차단할 수 있는 옵션이 있습니다. 장치 확인 버튼을 클릭하면 사용자의 관리 기능이 복원됩니다. This Was Not Me 버튼을 클릭하면 iThemes Security Pro는 불법 사용자를 로그아웃하고 장치는 WordPress 프로필의 거부된 장치 목록입니다.

2. 세션 하이재킹 방지 – 세션 하이재킹은 공격자가 사용자 세션을 탈취하는 공격입니다. 예를 들어 WordPress는 웹사이트에 로그인할 때마다 세션 쿠키를 생성합니다. 해커가 브라우저 쿠키를 가로챌 수 있는 취약점이 있는 브라우저 확장 프로그램이 있다고 가정해 보겠습니다. 세션을 가로채고 나면 해커가 웹사이트를 악의적으로 변경할 수 있습니다.

세션 중에 사용자의 장치가 변경되면 iThemes Security는 사용자의 이메일 주소 변경 또는 악성 플러그인 업로드와 같은 사용자 계정의 무단 활동을 방지하기 위해 자동으로 사용자를 로그아웃합니다.

참고: 신뢰할 수 있는 장치 기능 스포트라이트 게시물을 읽고 WordPress 대시보드를 보호하고 보호할 수 있는 방법에 대해 자세히 알아보세요.

팁 #2 – Google reCAPTCHA v3를 사용하여 불량 봇 차단

iThemes Security Pro의 Google reCAPTCHA 기능은 악성 봇으로부터 사이트를 보호합니다. 이러한 봇은 손상된 비밀번호를 사용하여 웹사이트에 침입하거나 스팸을 게시하거나 콘텐츠를 스크랩하려고 합니다. reCAPTCHA는 고급 위험 분석 기술을 사용하여 인간과 봇을 구분합니다.

reCAPTCHA 버전 3의 장점은 사용자 상호 작용 없이 웹사이트에서 악성 봇 트래픽을 감지하는 데 도움이 된다는 것입니다. CAPTCHA 챌린지를 표시하는 대신 reCAPTCHA v3은 다양한 요청을 모니터링하고 점수를 반환합니다. 점수 범위는 0.01에서 1까지입니다. reCAPTCHA에서 반환하는 점수가 높을수록 사람이 요청했다는 확신이 더 큽니다. reCAPTCHA에서 반환하는 이 점수가 낮을수록 봇이 요청을 했다는 확신이 더 큽니다.

iThemes Security Pro를 사용하면 reCAPTCHA 점수를 사용하여 차단 임계값 을 설정할 수 있습니다. 0.5를 기본값으로 사용하는 것이 좋습니다. 임계값을 너무 높게 설정하면 합법적인 사용자를 실수로 잠글 수 있다는 점에 유의하십시오.

차단 임계값을 1로 설정했다고 가정해 보겠습니다. 즉, 사람이 100% 확실하지 않은 모든 항목을 Google에서 차단하기를 원한다는 의미입니다. 이제 고객 중 한 명이 귀하의 웹사이트에 로그인 요청을 보냅니다. 그리고 이 고객은 비밀번호 관리자를 사용하여 비밀번호를 자동으로 채우고 reCAPTCHA는 로그인 요청에 0.7점을 부여합니다.

따라서 고객이 키보드를 사용하여 자격 증명을 입력하지 않았더라도 Google은 고객이 사람이라고 확신합니다. 그러나 임계값을 1로 설정했기 때문에 고객은 여전히 잠깁니다.

WordPress 사용자 등록, 비밀번호 재설정, 로그인 및 댓글에서 reCAPTCHA를 활성화할 수 있습니다. iThemes Security Pro를 사용하면 모든 페이지에서 Google reCAPTCHA 스크립트를 실행하여 봇 대 인간 점수의 정확도를 높일 수 있습니다.

Google reCAPTCHA 버전 3은 놀랍습니다! 사용자 상호 작용 없이 나쁜 봇으로부터 귀하와 사이트 방문자를 안전하게 보호하는 데 도움이 됩니다.

팁 #3 – 권한 에스컬레이션을 사용하여 범용 지원 사용자 만들기

iThemes Security Pro에서 가장 활용도가 낮은 기능은 권한 상승입니다. 이 기능을 사용하면 사용자의 권한을 일시적으로 상승시킬 수 있습니다.

새 사용자, 특히 관리 사용자를 만들 때마다 해커가 악용할 수 있는 또 다른 진입점을 추가하게 됩니다. 그러나 지원을 구할 때와 같이 웹사이트에 대한 외부의 도움이 필요할 수 있습니다.

새 사용자를 만들고 이름을 Support로 지정하고 구독자 사용자 역할을 부여할 수 있습니다. 다음에 웹사이트에 대한 임시 액세스를 제공해야 하는 경우 지원 사용자의 프로필 페이지로 이동합니다.

외부 지원 담당자가 새 비밀번호를 요청할 수 있도록 이메일 주소를 업데이트하십시오. 그런 다음 임시 권한 상승 설정이 표시될 때까지 아래로 스크롤합니다. 임시 역할 설정 토글을 클릭하고 관리자 를 선택합니다. 이제 사용자는 앞으로 24시간 동안 관리자 액세스 권한을 갖게 됩니다.

24시간 전체가 필요하지 않은 경우 사용자 프로필 페이지에서 권한 상승을 취소할 수 있습니다.

팁 #4 – 사용자를 위한 보안을 쉽게 만드십시오

정의에 따르면 모든 보안 조치는 추가된 보안을 받는 모든 항목의 편의성을 줄이도록 설계되었습니다. 그래서 저는 귀하의 웹사이트에 있는 모든 사람들이 쉽게 보안을 유지할 수 있도록 imes Security Pro의 세 가지 기능을 공유하고자 합니다.

1. 2단계 온보딩

이중 인증은 두 가지 별도의 인증 방법을 요구하여 개인의 신원을 확인하는 프로세스입니다. Google은 블로그에서 이중 인증을 사용하면 자동화된 봇 공격을 100% 막을 수 있다고 공유했습니다.

이중 요소 온보딩은 사용자가 계정에 이중 요소를 설정할 수 있는 사용자 친화적인 방법입니다. 2단계 인증이 활성화된 모든 사용자는 다음에 로그인할 때 온보딩 흐름을 안내합니다.

자격 증명을 입력하면 온보딩 환영 텍스트가 표시됩니다. 2단계 설정에서 이를 사용자화할 수 있다는 점에 유의하십시오.

흐름 전반에 걸쳐 사용하려는 2단계 방법을 활성화하고 구성할 수 있는 옵션이 있습니다.

흐름이 끝나면 귀하와 귀하의 사용자 계정은 2단계 인증이 제공하는 강력한 보안 계층을 갖게 됩니다.

참고: 신뢰할 수 있는 장치 기능 스포트라이트 게시물을 읽고 WordPress 대시보드를 보호하고 보호할 수 있는 방법에 대해 자세히 알아보세요.

2. 매직 링크

봇은 웹사이트에 대한 무차별 대입 공격에 사용할 사용자 이름을 수집하기 위해 작성자의 페이지를 스케이프할 수 있습니다. 일부 봇이 사용자 이름을 사용하여 웹 사이트를 해킹하려고 하기 때문에 잠기는 것이 짜증납니다.

사용자 이름이 잠겨 있으면 고유한 로그인 링크가 포함된 이메일을 요청할 수 있습니다. 이메일로 전송된 링크를 사용하면 사용자 이름 잠금을 우회하지만 무차별 대입 공격자는 여전히 잠겨 있습니다.

Magic Links 이메일을 받으려면 "승인된 로그인 링크 보내기" 링크를 클릭하기만 하면 됩니다.

이메일을 받은 후 링크를 사용하고 자격 증명을 입력하면 사이트로 돌아갑니다!

참고: 더 자세히 알아보려면 Magic Links 기능 스포트라이트 게시물을 읽으십시오.

3. 비밀번호 없는 로그인

보안 커뮤니티의 우리가 그것을 인정하고 싶든 그렇지 않든, 암호 관리자와 2단계 인증을 사용하는 것은 고통과 시간이 많이 소요될 수 있습니다.

그래서 우리는 사람들이 사용성을 희생하지 않으면서 강력하고 고유한 암호가 제공하는 모든 보안을 얻을 수 있는 방법을 만들고 싶었습니다.

비밀번호 없는 로그인이란 무엇입니까?

암호 없는 로그인은 실제로 로그인할 때 암호를 요구하지 않고 사용자의 신원을 확인하는 새로운 방법입니다. Magic Links는 사용자가 암호나 추가 인증 코드를 입력하지 않고도 강력한 암호와 이중 인증을 사용하도록 요구할 수 있는 새로운 로그인 방법으로 발전했습니다.

암호 없는 로그인 방법 작동 방식

로그인할 때 로그인 방법을 선택하라는 메시지가 표시됩니다. 이메일 매직 링크 버튼을 클릭하여 비밀번호 없는 로그인 링크가 포함된 이메일을 보냅니다.

이제 이메일이 전송되었음을 확인하는 메시지가 표시됩니다.

이메일 받은 편지함에서 Magic Link 이메일과 지금 로그인 버튼을 엽니다.

비밀번호나 2단계 토큰을 입력하지 않아도 됩니다. 즉, 암호 없는 로그인을 활성화하면 복잡한 암호를 알거나 로그인하기 위해 추가 코드를 복사하여 붙여넣을 필요가 없습니다. 그러나 사이트에 무차별 대입을 시도하는 나쁜 사람들은 성공률이 0%입니다.

참고: 자세한 내용은 암호 없는 로그인 시작하기 eBook을 확인하십시오.

팁 #5 – 고급 문제 해결을 위한 디버그 메뉴 활성화

iThemes Security Pro 지원팀에서 디버그 메뉴를 활성화하도록 요청하는 경우가 있습니다. iThemes Security Pro에서 디버그 메뉴를 활성화하려면 wp-config.php 파일에 아래 코드를 추가해야 합니다.

 define( 'ITSEC_DEBUG', true );

"즐거운 블로깅입니다." 위에 코드를 추가해야 합니다. 선.

이제 iThemes Security Pro의 디버그 메뉴에 액세스할 수 있습니다.

시스템 정보를 보고 설정 구성을 로드하고 보안 이벤트 스케줄러 를 보고 알림 센터 에서 보내는 이메일을 볼 수 있습니다. 이 게시물에서 강조하고 싶은 디버그 문제 해결 도구는 스케줄러입니다.

스케줄러

스케줄러는 iThemes Security Pro의 다양한 예약된 이벤트를 모두 보여줍니다. 예약된 이벤트는 사이트 스캔, 파일 변경 스캔, 잠금 해제 등과 같은 것입니다. 이러한 기능의 공통점은 미리 예약해야 하고 wp-cron을 사용하여 실행해야 한다는 것입니다.

보안 설정에서 파일 변경을 활성화했는데도 웹사이트에서 파일 변경 검사가 실행되지 않는다는 사실을 알게 되었다고 가정해 보겠습니다. 디버그 메뉴를 활성화하여 예약된 이벤트 목록에서 파일 변경 검사를 확인할 수 있습니다. 그렇지 않은 경우 이벤트가 생성되기 전에 문제가 발생했음을 의미합니다. ITSEC_Scheduler_Cron 재설정 버튼을 클릭하여 이 문제를 해결할 수 있습니다. cron을 쉬면 스케줄러가 보안 설정을 확인하고 예약된 이벤트 목록을 다시 작성하게 됩니다. 누락된 파일 변경 검사를 포함합니다.

마무리

iThemes Security Pro 플러그인은 기본적으로 뛰어난 보호 기능을 제공하지만 설정을 자세히 살펴보면 정말 멋진 보안 도구를 찾을 수 있습니다. 이러한 도구를 사용하면 WordPress 로그인 및 대시보드에 여러 계층의 보안을 추가하고, 악성 봇을 차단하고, 귀하를 포함하여 웹사이트의 모든 사람이 더 쉽게 보안을 유지할 수 있습니다.

마이클 무어

Michael은 매주 WordPress 취약점 보고서를 작성하여 사이트를 안전하게 보호합니다. iThemes의 제품 관리자로서 그는 iThemes 제품 라인업을 지속적으로 개선하는 데 도움을 줍니다. 그는 거대한 괴짜이며 기술, 오래된 및 새로운 모든 것에 대해 배우는 것을 좋아합니다. 마이클이 아내와 딸과 어울리고, 일하지 않을 때는 책을 읽거나 음악을 듣는 것을 볼 수 있습니다.