WordPress 로그인을 보호하는 8가지 방법

게시 됨: 2021-04-27

워드프레스 로그인 URL은 모든 워드프레스 사이트에서 동일하며 액세스하는 데 특별한 권한이 필요하지 않습니다. WordPress로 작업한 경험이 있는 사람은 로그인 URL이 /wp-login.php 페이지에 있다는 것을 알고 있습니다.

WordPress 로그인 페이지의 접근성은 WordPress 웹 사이트에서 가장 공격을 많이 받고 잠재적으로 가장 취약한 부분입니다. 운 좋게도 iThemes Security Pro 플러그인을 사용하면 WordPress 로그인을 쉽게 보호할 수 있습니다.

WordPress 로그인을 보호하고 거의 침투할 수 없도록 만드는 데 사용할 수 있는 iThemes Security Pro의 도구를 살펴보겠습니다!

이 기사에서

    1. 로그인 시도 제한

    WordPress 로그인을 보호하는 첫 번째 단계는 실패한 로그인 시도를 제한하는 것입니다. 기본적으로 WordPress에는 누군가가 할 수 있는 로그인 시도 실패 횟수를 제한하는 기능이 내장되어 있지 않습니다. 공격자가 할 수 있는 로그인 시도 실패 횟수에 대한 제한 없이 작동하는 것을 찾을 때까지 다른 사용자 이름과 암호 조합을 계속 시도할 수 있습니다.

    iThemes Security Pro 로컬 무차별 대입 방지 기능은 호스트 또는 IP 주소 및 사용자 이름에 의한 잘못된 로그인 시도를 추적합니다. IP 또는 사용자 이름이 연속적으로 잘못된 로그인 시도를 너무 많이 시도하면 잠기고 일정 시간 동안 더 이상 시도할 수 없습니다.

    로컬 무차별 대입 방지 기능을 사용하려면 iThemes Security Pro 설정 페이지의 메인 페이지에서 활성화하세요.

    로컬 무차별 대입 방지 설정을 사용하면 잠금 임계값을 설정할 수 있습니다.

    • 호스트당 최대 로그인 시도 횟수 – IP가 잠기기 전에 허용된 잘못된 로그인 시도 횟수입니다.
    • 사용자당 최대 로그인 시도 횟수 – 사용자 이름이 잠기기 전에 허용된 잘못된 로그인 시도 횟수입니다.
    • 잘못된 로그인을 기억하는 시간(분) – 잘못된 로그인 시도가 잠금을 위해 IP 또는 사용자 이름에 대해 계산되어야 하는 시간입니다.
    • 자동으로 "관리자" 사용자 차단 – 활성화되면 로그인할 때 관리자 사용자 이름을 사용하는 모든 사람이 자동 잠금을 받습니다.

    잠금 설정을 구성할 때 염두에 두어야 할 몇 가지 사항이 있습니다. IP를 제공하는 것보다 사용자에게 잘못된 로그인 시도를 이동하려고 합니다. 귀하의 웹사이트가 무차별 대입 공격을 받고 있고 공격자가 귀하의 사용자 이름을 사용하고 있다고 가정해 보겠습니다. 목표는 사용자 이름이 아니라 공격자의 IP를 잠그는 것이므로 웹 사이트가 공격을 받고 있는 경우에도 로그인하고 작업을 완료할 수 있습니다.

    또한 잘못된 로그인 시도 횟수를 너무 낮게 설정하고 잘못된 시도를 기억하는 시간을 너무 길게 설정하여 이러한 설정을 너무 엄격하게 만들고 싶지 않습니다. 호스트/IP에 대한 잘못된 로그인 시도 횟수를 1로 낮추고 잘못된 로그인 시도를 기억하는 시간(분)을 한 달로 설정하면 실수로 합법적인 사용자를 잠글 가능성이 크게 높아집니다.

    2. 요청당 외부 인증 시도 제한

    로그인 양식을 사용하는 것 외에 WordPress에 로그인하는 다른 방법이 있습니다. XML-RPC를 사용하여 공격자는 단일 HTTP 요청에서 수백 개의 사용자 이름과 암호를 시도할 수 있습니다. 무차별 대입 증폭 방법을 사용하면 공격자가 단 몇 번의 HTTP 요청으로 XML-RPC를 사용하여 수천 번의 사용자 이름과 암호를 시도할 수 있습니다.

    iThemes Security Pro의 WordPress Tweaks 설정을 사용하여 XML-RPC 요청당 여러 인증 시도를 차단할 수 있습니다. 모든 요청에 ​​대해 사용자 이름과 비밀번호 시도 횟수를 제한하면 WordPress 로그인 보안에 큰 도움이 됩니다.

    3. 네트워크 무차별 대입 보호

    로그인 시도를 제한하는 것은 로컬 무차별 대입 보호에 관한 것입니다. 로컬 무차별 대입 방지는 사이트 액세스 시도만 살펴보고 보안 설정에 지정된 잠금 규칙에 따라 사용자를 차단합니다.

    네트워크 무차별 대입 보호는 이를 한 단계 더 발전시킵니다. 네트워크 는 iThemes 보안 커뮤니티이며 백만 개 이상의 강력한 웹사이트를 보유하고 있습니다. IP가 iThemes 보안 커뮤니티의 웹사이트에 침입하려는 것으로 확인되면 해당 IP는 네트워크 무차별 대입 금지 목록에 추가됩니다.

    IP가 네트워크 무차별 대입 금지 목록에 있으면 해당 IP는 네트워크의 모든 웹사이트에서 차단됩니다. 따라서 IP가 내 웹사이트를 공격하여 차단되면 iThemes Security Brute Force Network에 보고됩니다. 내 보고서는 전체 네트워크에서 IP를 금지하는 데 도움이 될 수 있습니다. iThemes 보안 네트워크 보호를 활성화하여 다른 사람의 WordPress 로그인을 보호할 수 있다는 점이 마음에 듭니다.

    Network Force Protection 사용을 시작하려면 보안 설정의 기본 페이지에서 활성화하십시오.

    그런 다음 이메일 주소를 입력하고 이메일 업데이트 수신 여부를 선택한 다음 저장 버튼을 클릭합니다.

    4. 강력한 암호 강제 적용

    Splash Data에서 컴파일한 목록에서 모든 데이터 덤프에 포함된 가장 일반적인 비밀번호는 123456이었습니다. 데이터 덤프는 인터넷 어딘가에 덤프된 사용자 비밀번호로 채워진 해킹된 데이터베이스입니다. 123456이 데이터 덤프에서 가장 일반적인 비밀번호인 경우 웹사이트에서 얼마나 많은 사람들이 약한 비밀번호를 사용하는지 상상할 수 있습니까?

    약한 암호를 사용하는 것은 테이프로 현관문을 잠그려는 것과 같습니다. 해커가 약한 암호를 통해 웹 사이트에 무차별 공격을 시도하는 데 오랜 시간이 걸리지 않았습니다. 이제 해커가 컴퓨터 그래픽 카드를 공격에 활용하고 있으므로 암호를 해독하는 데 걸리는 시간이 그 어느 때보다 낮아졌습니다.

    예를 들어 고성능 암호 해독 회사인 Terahash가 만든 차트를 살펴보겠습니다. 그들의 차트는 448x RTX 2080의 해시 스택 클러스터를 사용하여 암호를 해독하는 데 걸리는 시간을 보여줍니다.

    기본적으로 WordPress는 MD5를 사용하여 WP 데이터베이스에 저장된 사용자 암호를 해시합니다. 따라서 이 차트에 따르면 Terahash는 거의 즉시 8자 암호를 해독할 수 있습니다. 그것은 매우 인상적일 뿐만 아니라 정말 무섭습니다. 좋은 소식은 고급 사용자가 강력한 암호를 사용하도록 요구하여 WordPress 로그인을 보호할 수 있다는 것입니다.

    iThemes Security Pro 암호 요구 사항 기능을 사용하면 특정 사용자가 강력한 암호를 사용하도록 강제할 수 있습니다. 보안 설정의 기본 페이지에서 암호 요구 사항 기능을 활성화한 다음 강력한 암호를 사용하도록 요구할 사용자를 선택합니다.

    5. 도용된 비밀번호 거부

    Verizon Data Breach Investigations Report에 따르면 직원의 70% 이상이 직장에서 비밀번호를 재사용합니다. 그러나 보고서에서 가장 중요한 통계는 해킹 관련 침해의 81%가 도난당했거나 취약한 비밀번호를 활용했다는 것입니다.

    해커는 사전 공격이라고 하는 무차별 대입 공격을 사용합니다. 사전 공격은 데이터베이스 덤프에 나타난 일반적으로 사용되는 비밀번호로 WordPress 웹사이트에 침입하는 방법입니다. "컬렉션 #1? MEGA에서 호스팅된 데이터 침해에는 1,160,253,228개의 고유한 이메일 주소 및 비밀번호 조합이 포함되었습니다. 그것은 b가 있는 10억입니다. 이러한 종류의 점수는 사전 공격이 가장 일반적으로 사용되는 WordPress 비밀번호를 좁히는 데 실제로 도움이 됩니다.

    작성자 수준 이상의 기능을 가진 사용자가 손상된 암호를 사용하여 WordPress 로그인을 보호하지 못하도록 하는 것은 필수입니다. 낮은 수준의 사용자가 손상된 암호를 사용하지 못하도록 하는 것도 고려할 수 있습니다.

    새 고객 계정을 가능한 한 쉽게 만드는 것은 완전히 이해할 수 있고 권장됩니다. 그러나 고객은 사용 중인 비밀번호가 데이터 덤프에서 발견되었다는 사실을 모를 수 있습니다. 고객이 사용하는 암호가 손상되었다는 사실을 알려줌으로써 고객에게 훌륭한 서비스를 제공할 수 있습니다. 그들이 모든 곳에서 그 비밀번호를 사용한다면, 앞으로의 주요 골칫거리로부터 그들을 구할 수 있습니다.

    iThemes Security Pro Refuse Compromised Passwords 기능은 사용자가 Have I Been Pwned에 의해 추적된 암호 위반에 나타나지 않은 암호를 사용하도록 합니다. 보안 설정의 기본 페이지에서 암호 요구 사항 기능을 활성화한 다음 손상된 암호 사용을 방지할 사용자를 선택합니다.

    6. 이중 인증 사용

    이중 인증을 사용하는 것은 WordPress 로그인을 보호하기 위해 할 수 있는 최선의 방법입니다. 이중 인증은 두 가지 별도의 인증 방법을 요구하여 개인의 신원을 확인하는 프로세스입니다. Google은 블로그에서 이중 인증을 사용하면 자동화된 봇 공격을 100% 막을 수 있다고 공유했습니다. 나는 그 확률을 정말 좋아합니다.

    이중 인증을 사용하면 자동화된 봇 공격을 100% 막을 수 있습니다.

    iThemes Security Pro 2단계 인증 기능은 웹사이트에서 2fa를 구현할 때 엄청난 유연성을 제공합니다. 전체 또는 일부 사용자에 대해 2단계를 활성화할 수 있으며 고급 사용자가 로그인할 때마다 2fa를 사용하도록 강제할 수 있습니다.

    귀하의 편의를 위해 iThemes Security Pro는 2가지 다른 이중 인증 방법을 제공합니다.

    1. 모바일 앱 – 모바일 앱 방식은 iThemes Security Pro에서 제공하는 이중 인증 중 가장 안전한 방식입니다. 이 방법을 사용하려면 Authy와 같은 무료 2단계 모바일 앱을 사용해야 합니다.
    2. 이메일 – 이중 요소의 이메일 방식은 시간에 민감한 코드를 사용자의 이메일 주소로 보냅니다.
    3. 백업 코드 – 기본 2단계 방법이 손실된 경우 로그인하는 데 사용할 수 있는 일회성 사용 코드 세트입니다.

    7. Google reCAPTCHA v3로 악성 봇 차단

    iThemes Security Pro iThemes Security Pro의 Google reCAPTCHA 기능은 악성 봇으로부터 사이트를 보호합니다. 이러한 봇은 손상된 비밀번호를 사용하여 웹사이트에 침입하거나 스팸을 게시하거나 콘텐츠를 스크랩하려고 합니다. reCAPTCHA는 고급 위험 분석 기술을 사용하여 인간과 봇을 구분합니다.

    reCAPTCHA 버전 3의 장점은 사용자 상호 작용 없이 웹사이트에서 악성 봇 트래픽을 감지하는 데 도움이 된다는 것입니다. CAPTCHA 챌린지를 표시하는 대신 reCAPTCHA v3은 사이트에서 이루어진 다양한 요청을 모니터링하고 각 요청에 대한 점수를 반환합니다. 점수 범위는 0.0에서 1까지입니다. reCAPTCHA에서 반환하는 점수가 높을수록 사람이 요청했다는 확신이 더 큽니다. reCAPTCHA에서 반환하는 이 점수가 낮을수록 봇이 요청을 했다는 확신이 더 큽니다.

    Google reCAPTCHA v3 사용을 시작하려면 보안 설정의 기본 페이지에서 옵션을 활성화하십시오.

    reCAPTCHA 보안 설정

    다음으로 reCAPTCHA를 입력할 때 reCAPTCHA v3 를 선택하고 Google 관리자로부터 키를 생성해야 합니다.

    iThemes Security Pro를 사용하면 reCAPTCHA 점수를 사용하여 차단 임계값 을 설정할 수 있습니다. 0.5를 기본값으로 사용하는 것이 좋습니다. 임계값을 너무 높게 설정하면 합법적인 사용자를 실수로 잠글 수 있다는 점에 유의하십시오.

    WordPress 사용자 등록, 비밀번호 재설정, 로그인 및 댓글에서 reCAPTCHA를 활성화할 수 있습니다. iThemes Security Pro를 사용하면 모든 페이지에서 Google reCAPTCHA 스크립트를 실행하여 봇 대 인간 점수의 정확도를 높일 수 있습니다. reCAPTCHA v3를 활성화하는 것은 WordPress 로그인을 보호하는 좋은 방법입니다.

    8. WP 대시보드에 대한 장치 액세스 제한

    WordPress 로그인을 보호하는 마지막 단계는 WordPress 대시보드에 대한 액세스를 일련의 장치로 제한하는 것입니다. iThemes Security Pro 신뢰할 수 있는 장치 기능은 귀하와 다른 사용자가 WordPress 사이트에 로그인하는 데 사용하는 장치를 식별합니다. 사용자가 인식할 수 없는 장치에 로그인한 경우 신뢰할 수 있는 장치는 관리자 수준 기능을 제한할 수 있습니다. 이것은 해커가 귀하의 다른 로그인 보안 방법을 우회할 수 있음을 의미합니다. 그럴 가능성은 거의 없습니다. 그들은 귀하의 웹사이트를 악의적으로 변경할 수 없습니다.

    신뢰할 수 있는 장치 사용을 시작하려면 보안 설정의 기본 페이지에서 활성화한 다음 설정 구성 버튼을 클릭합니다.

    신뢰할 수 있는 장치 설정에서 기능을 사용할 사용자를 결정하고 기능 제한세션 하이재킹 방지 기능을 활성화합니다.

    새로운 신뢰할 수 있는 장치 설정을 활성화하면 사용자는 인식할 수 없는 장치 보류에 대한 알림을 WordPress 관리 표시줄에 받게 됩니다. 현재 장치가 신뢰할 수 있는 장치 목록에 추가되지 않은 경우 이 장치 확인 링크를 클릭하여 승인 이메일을 보냅니다 .

    인식할 수 없는 로그인 이메일에서 장치 확인 버튼을 클릭하여 현재 장치를 신뢰할 수 있는 장치 목록에 추가합니다.

    마무리

    WordPress 로그인 페이지의 액세스 가능성은 WordPress 사이트에서 가장 공격을 많이 받고 잠재적으로 취약한 부분입니다. 그러나 imes Security Pro를 사용하는 경우에는 안심할 수 있습니다.

    이 게시물에서 공유된 WordPress 로그인을 보호하기 위해 8개의 iThemes Security Pro 도구를 사용하고 있는지 확인하십시오.

    • 1. 로그인 시도 제한
    • 2. 요청당 외부 인증 시도 제한
    • 3. 네트워크 무차별 대입 보호
    • 4. 강력한 암호 강제 적용
    • 5. 도용된 비밀번호 거부
    • 6. 이중 인증 사용
    • 7. Google reCAPTCHA v3로 악성 봇 차단
    • 8. WP 대시보드에 대한 장치 액세스 제한