7 WordPress 보안 모범 사례

해킹 및 보안 침해가 WordPress 웹 사이트를 실행하는 모든 사람에게 더 큰 관심사가 됨에 따라 몇 가지 WordPress 보안 모범 사례를 사용하여 보안을 크게 향상시킬 수 있다는 사실을 아는 것이 중요합니다.

WordPress 보안 전략이 아직 없는 경우 이 게시물은 WordPress 웹사이트를 보호하고 보호할 수 있는 7가지 방법을 이해하는 데 도움이 됩니다.

WordPress 보안 모범 사례

• 1. 암호 관리자의 도움을 받아 강력한 암호를 사용합니다.
• 2. 모든 것을 두 가지 요소로 고려하십시오.
• 3. WordPress 소금을 정기적으로 변경하십시오.
• 4. 보안 파일 권한을 사용합니다.
• 5. 가능하면 sFTP를 사용하십시오.
• 6. 모든 WordPress 사이트에서 SSL을 사용합니다.
• 7. WordPress 사이트와 사이트의 모든 것을 최신 상태로 유지하십시오.

위협 이해: 해커란?

불행히도 웹사이트를 해킹하기 위해 적극적으로 노력하는 사람과 시스템이 있습니다. "해커"라는 단어는 다음과 같은 몇 가지 아이디어를 떠올리게 합니다.

• 어두운 지하실에서 일하는 언제나 찾기 힘든 후드를 쓴 십대
• 범죄자 또는 외국 정부에 침투하는 정부 요원
• 자유, 평등 또는 부패를 폭로하기 위해 싸우는 지하 네트워크

이러한 "해커" 시나리오가 모두 존재하지만 개인 WordPress 웹사이트를 대상으로 하지는 않을 것입니다. 공격을 의인화하고 싶은 생각이 들 수도 있지만 실제로 "해커"는 정신이 없는 로봇에 가깝습니다.

로봇은 "봇" 또는 인터넷에 연결된 자동화된 코드를 의미합니다. 제조 공장의 로봇 팔이 특정 작업을 수행하도록 프로그래밍된 것처럼 이 봇은 가능한 한 많은 현장에서 가능한 한 자주 프로그래밍된 작업을 수행하기 위해 매일 매초 작동합니다.

해킹 봇의 논리는 종종 "사이트를 찾아 이 특정 공격을 시작한다"로 요약될 수 있습니다. 공격의 목표는 종종 공격을 받은 사이트를 작업을 수행할 수 있는 또 다른 봇으로 만드는 것입니다. 작업 범위는 다른 사이트 공격에서 스팸 또는 피싱 이메일 전송에 이르기까지 다양합니다. 다시 말해, 이 봇은 귀하의 사이트가 무엇인지 알지도 못하고 관심도 갖지 않습니다. 봇의 제작자는 손상된 각 사이트에서 더 많은 리소스에 액세스하여 어떤 방식으로든 수익원을 창출할 수 있습니다.

누군가가 내 웹사이트를 해킹하려는 이유는 무엇입니까?

현재 웹에는 수천만 개의 웹사이트가 있습니다. WordPress는 그 중 약 26%를 차지합니다. 불행히도 WordPress 사이트의 수는 대상이됩니다.

최근 Sucuri는 해킹된 WordPress 보고서를 발표했으며 2019년 3분기에 작업한 사이트의 약 94%가 WordPress 사이트였습니다.

이와 같은 차트는 사용자가 WordPress가 안전하지 않다고 걱정하게 만들 수 있습니다. 위의 차트에서 Sucuri는 대부분의 경우 타협이 WordPress 코어와 거의 또는 전혀 관련이 없음을 발견했습니다. 대신 WordPress 타협은 웹 마스터와 호스트의 부적절한 배포, 구성 및 전반적인 유지 관리와 관련이 있습니다.

이러한 알려진 WordPress 보안 문제가 있더라도 WordPress를 최신 상태로 유지하고 이러한 WordPress 보안 모범 사례를 사용하면 WordPress는 안전합니다.

내 WordPress 사이트를 어떻게 안전하게 유지할 수 있습니까?

WordPress 보안에 관해서는 공격을 받았는지 여부가 아니라 WordPress 해킹이 성공하지 못하도록 방지하는 방법에 관한 것입니다. 그래서 우리가 뭘 할 수 있지? 몇 가지 WordPress 보안 팁을 검토하고 이러한 WordPress 보안 모범 사례를 구현하여 WordPress 보안을 크게 향상시킬 수 있습니다.

1. 암호 관리자의 도움으로 강력한 암호 사용

여기 간단한 퀴즈가 있습니다. 비밀번호 중 하나 이상을 알고 있습니까? 다른 곳에서 다른 로그인에 해당 비밀번호를 사용하셨습니까? 이 두 질문에 모두 예라고 답한 경우 암호 전략에 심각한 감사가 필요할 수 있습니다.

좋은 비밀번호란?

• 긴
• 무작위의
• 고유 한

비밀번호를 알고 있다면 비밀번호가 너무 약할 수 있습니다. 그렇기 때문에 비밀번호 관리자를 사용하여 비밀번호를 관리하는 것이 모든 계정 로그인을 안전하게 유지하는 가장 좋은 방법입니다.

Password Manager를 사용하여 길고 임의의 고유한 암호를 생성하고 브라우저 확장 기능을 사용하여 안전하게 저장할 수 있습니다. 따라서 기억해야 할 유일한 비밀번호는 비밀번호 관리자에 로그인하기 위한 마스터 비밀번호입니다.

비밀번호 관리자:

• 라스트패스
• 1비밀번호
• 대시레인

암호 관리자의 도움으로 로그인에 좋은 암호 보안을 사용할 수 있습니다. 더 많은 WordPress 비밀번호 보안 팁을 확인하세요.

2. 모든 것의 두 가지 요소.

이중 인증은 단순한 성가신 것이 아니라 Real Security입니다. 이중 인증을 사용해 보았고 어떻게 작동하는지 알고 있습니까?

이중 인증은 두 가지 확인 방법을 요구하여 개인의 신원을 확인하는 프로세스입니다.

이중 요소 인증이 성가신 일이라고 생각하기 쉽지만, 이제는 불편함을 극복하고 이 방법을 사용하여 로그인을 보호하는 것의 가치에 대해 알고 있는 모든 사람에게 교육할 때입니다. 누군가가 귀하의 자격 증명을 가로챌 수 있는 경우 이중 인증이 활성화되어 있으면 아무 소용이 없습니다. 해커가 성공적으로 로그인하려면 사용자 이름과 암호뿐만 아니라 모바일 장치도 필요합니다.

WordPress 로그인에 2단계 인증을 추가한 다음 가능한 모든 곳(이메일, 금융 계정, 소셜 네트워킹이 있는 경우 포함)에서 모든 것을 2단계로 추가합니다.

iThemes Security Pro를 사용하면 WordPress 로그인에 WordPress 이중 인증을 쉽게 추가할 수 있습니다.

3. WordPress 소금 및 키를 정기적으로 변경하십시오.

WordPress는 로그인한 사용자와 댓글 작성자의 신원을 확인하기 위해 쿠키(또는 브라우저에 저장된 정보)를 사용합니다. WordPress 쿠키에 저장된 로그인 정보를 더 잘 보호하고 암호화하기 위해 WordPress는 wp-config.php 파일에 비밀 인증 키와 솔트를 포함합니다. 기본적으로 WordPress 솔트 및 키는 길고 무작위이며 복잡한 사이트의 추가 비밀번호이므로 깨뜨리기가 거의 불가능합니다.

WordPress 솔트와 키를 변경할 수 있는 iThemes Security Pro를 비롯한 여러 플러그인이 있습니다.

• iThemes 보안 프로
• WP 구성 파일 편집기

4. 보안 파일 권한을 사용합니다.

누구든지 서버 파일을 보거나 쓸 수 있다면 사이트는 얼마나 안전합니까? 그렇지 않다. 보안 WordPress 파일 권한은 필수입니다.

예를 들어, 이러한 파일 및 디렉토리 권한은 금지입니다.

• 디렉토리 – 777
• 파일 – 666

실제로 설정할 수 있는 것은 서버마다 다를 수 있지만 일반적으로 호스트 제어판과 FTP 클라이언트를 통해 파일 및 디렉토리 권한을 조정할 수 있습니다. 파일은 400에서 444 사이에 있어야 합니다. 디렉터리는 700에서 744 사이에 있어야 합니다.

iThemes 보안 플러그인에는 확실하지 않은 경우 파일 권한 상태를 빠르게 확인할 수 있는 방법이 포함되어 있습니다.

5. 가능하면 sFTP를 사용하십시오.

웹사이트에서 파일을 편집하는 경우 FTP 대신 sFTP를 사용하는 것이 좋습니다. 코드를 직접 편집하지 않는 경우 웹 개발자가 서버 파일 액세스에 가장 높은 보안 프로토콜을 사용하고 있는지 확인하십시오.

SFTP 및 FTP 프로토콜은 모두 데이터를 전송하지만 여기서 유사점이 끝납니다. 입문서처럼 FTP는 File Transfer Protocol의 약자입니다. FTP는 두 개의 원격 연결 간에 데이터를 일반 텍스트로 전송합니다. 사용자가 일반 FTP 세션을 열 때마다 호스트와 사용자 간의 전체 전송이 일반 텍스트로 전송됩니다. 네트워크를 스누핑할 수 있는 사람은 누구나 암호 정보를 포함한 데이터를 읽을 수 있습니다.

sFTP는 FTP 명령의 보안 형식입니다. sFTP는 SSH2 프로토콜을 사용하여 데이터가 비공개로 안전하게 전송되도록 합니다. FTP 대신 sFTP를 사용하는 경우 비밀번호 전송을 포함한 전체 로그인 세션이 암호화됩니다. 따라서 네트워크를 스누핑하는 사람이 암호를 관찰하고 수집하는 것이 훨씬 더 어렵습니다.

6. 모든 WordPress 사이트에서 SSL을 사용합니다.

SSL이란 무엇입니까? 왜 사용해야 합니까? 우리 모두 브라우저에서 우리가 액세스하는 URL 옆에 있는 녹색 자물쇠를 보았지만 그것이 왜 그렇게 중요한가요?

다음은 SSL/HTTPS 용어에 대한 간단한 입문서입니다.

• HTTP는 하이퍼 텍스트 프로토콜을 나타냅니다. HTTP를 사용하여 정보를 전송할 때 지식이 있는 사람이 정보를 가로채서 보는 것은 비교적 쉽습니다.
• HTTPS는 하이퍼 텍스트 프로토콜 보안을 나타냅니다. HTTPS를 사용할 때 누군가 가로챌 수 있다면 암호화되어 있기 때문에 해독할 수 없습니다.
• SSL – SSL(Secure Socket Layers)은 HTTPS를 사용하는 동안 전송하는 동안의 보안입니다.

웹 초기에 관리자는 온라인에 올린 정보를 공유할 방법이 필요했습니다. 그들은 이를 위해 HTTP 프로토콜을 개발했지만 정보를 가로채고 보기가 쉽다는 것을 빨리 배웠습니다. 그런 다음 그들은 공유하고 있던 정보를 보호하기 위한 절차에 동의했으며 이것이 HTTPS 프로토콜입니다.

여기에서 SSL 인증서와 SSL이 작동합니다. 전송과 관련된 각 컴퓨터의 SSL 인증서에는 고유한 키 또는 잠금이 있습니다. 데이터는 SSL(Secure Socket Layers)을 통해 전송됩니다. 데이터가 양쪽 끝에 자물쇠가 있는 보안 터널을 통해 이동하는 것을 상상할 수 있으므로 다른 사람이 귀하의 정보에 대해 권한을 갖지 않습니다.

SSL 인증서는 가격이 다양하지만 웹사이트의 정보를 안전하게 유지하는 데 절대적으로 필요합니다. SSL 인증서를 구입할 수 있는 곳도 여러 군데 있지만 가장 쉬운 방법은 호스트에서 구입하여 설치하게 하는 것입니다. WordPress HTTPS 교육을 확인할 수도 있습니다.

7. WordPress 사이트와 모든 것을 최신 상태로 유지하십시오.

WordPress 유지 관리를 유지하는 것은 견고한 WordPress 보안 전략의 마지막 부분입니다. 잔디를 깎거나 자동차에 오일을 교체해야 하는 것처럼 WordPress 웹사이트에서 정기적인 유지 관리를 수행해야 합니다.

• 워드프레스 코어를 최신 상태로 유지하세요.
• 플러그인과 테마를 최신 상태로 유지하세요.
• 정기적으로 비밀번호를 업데이트하십시오.
• 사이트에서 사용하지 않는 플러그인, 테마 및 사용자를 정기적으로 감사하고 제거하십시오.
• 항상 최근 WordPress 백업이 있어야 합니다. 사이트를 백업하면 문제가 발생하는 경우 시간을 절약할 수 있을 뿐만 아니라 값비싼 경험도 절약할 수 있습니다. BackupBuddy와 같은 WordPress 백업 플러그인을 사용하여 자동 WordPress 백업을 만들고 백업 파일을 오프사이트의 안전한 대상에 저장합니다.

여러 WordPress 사이트를 관리하는 경우 iThemes Sync와 같이 WordPress 유지 관리를 더 쉽게 만드는 데 도움이 되는 도구가 있습니다. 업데이트를 실행하기 위해 각 개별 웹사이트에 로그인하는 대신, 한 번에 여러 웹사이트를 실행할 수 있는 하나의 중앙 대시보드가 ​​있습니다. iThemes Sync는 또한 WordPress 사이트에 대한 새로운 업데이트가 있을 때 알림 이메일을 보낼 수 있으므로 중요한 보안 업데이트를 놓치지 않습니다.

어떻게 하든 WordPress 웹사이트와 웹사이트에 있는 모든 것을 최신 상태로 유지해야 합니다.

마이클 무어

Michael은 매주 WordPress 취약점 보고서를 작성하여 사이트를 안전하게 보호합니다. iThemes의 제품 관리자로서 그는 iThemes 제품 라인업을 지속적으로 개선하는 데 도움을 줍니다. 그는 거대한 괴짜이며 기술, 오래된 및 새로운 모든 것에 대해 배우는 것을 좋아합니다. 마이클이 아내와 딸과 어울리고, 일하지 않을 때는 책을 읽거나 음악을 듣는 것을 볼 수 있습니다.