사이트 간 스크립팅: WordPress 사용자를 위한 가이드

게시 됨: 2021-04-21

교차 사이트 스크립팅과 이것이 WordPress 웹 사이트에 미치는 영향에 대해 우려하고 있다면 편집증이 아닙니다. 교차 사이트 스크립팅(XSS라고도 함)의 취약성은 WordPress 사이트 소유자에게만 국한되지 않지만 WordPress 사이트에 대한 잠재적인 부정적인 영향은 이해하는 것이 매우 중요합니다.

이 가이드에서는 주시해야 하는 XSS(교차 사이트 스크립팅) 취약점을 분석합니다. 이 중 일부는 약간 기술적으로 설명되지만 가이드가 끝나면 교차 사이트 스크립팅과 관련된 전반적인 WordPress 사이트 보안에 대해 정보에 입각한 결정을 내릴 수 있습니다. 또한 공격을 피하기 위해 무엇을 해야 하는지 정확히 알 수 있습니다.

자, 이제 뛰어들어 봅시다.

이 가이드에서

    XSS(교차 사이트 스크립팅)란 무엇입니까?

    XSS(교차 사이트 스크립팅)는 모든 WordPress 사이트에서 사이트 간 취약점을 악용하여 실행되는 맬웨어 공격 유형입니다. 실제로 XSS 취약점이 있는 WordPress 플러그인이 너무 많기 때문에 WordPress 사이트가 해킹되는 가장 일반적인 방법입니다.

    크로스 사이트 스크립팅 설명

    보다 기술적인 용어로 크로스 사이트 스크립팅이란 무엇입니까?

    사이트 간 스크립팅 취약점으로 인해 웹사이트에서 외부 JavaScript 코드가 실행될 수 있습니다. 취약점을 악용하는 공격은 다양한 유형이 될 수 있기 때문에 WordPress 사이트 소유자가 이를 포착하기가 매우 어려울 수 있습니다.

    조화롭게 작동하는 많은 플러그인이 있는 매우 크거나 복잡한 WordPress 사이트를 실행하는 경우에는 더욱 그렇습니다.

    다양한 유형의 XSS 공격은 두 가지 범주로 요약할 수 있습니다.

    • 클라이언트 측 브라우저에서 실행되는 악성 스크립트
    • 서버에 저장 및 실행된 후 브라우저에서 제공하는 악성 스크립트

    이 두 경우 모두 해킹은 사이트 작동 방식을 조작하거나 중요한 사이트 데이터를 훔치기 위해 교차 사이트 스크립팅 공격을 사용합니다.

    WordPress 웹 사이트에서 XSS 공격이 일반적인 이유는 무엇입니까?

    WordPress 사용자로서 일부 WordPress 플러그인이 얼마나 복잡한지 이미 알고 있을 것입니다. 실제로 사용 중인 일부 플러그인은 WordPress 코어 자체보다 훨씬 더 복잡합니다.

    불행히도 WordPress 플러그인이 복잡할수록 보안 문제에 직면할 가능성이 높아집니다. 플러그인 작성자는 XSS 공격으로부터 보호하는 것이 얼마나 어려운지 알고 있으며 실제로 작업을 상당히 어렵게 만듭니다.

    Facebook, Apple 및 Google과 같은 가장 존경받는 기술 대기업 중 일부는 과거에 XSS 공격을 받았습니다. 사실, 그들은 이러한 공격의 위험을 최소화하기 위해 전담 보안 팀을 고용합니다.

    이는 기술 대기업보다 훨씬 적은 보안 리소스로 공격이 WordPress 플러그인에 얼마나 쉽게 잠입할 수 있는지에 대한 더 많은 관점을 제시하는 데 도움이 될 것입니다.

    사이트가 교차 사이트 스크립팅 공격에 얼마나 취약한지 궁금할 것입니다.

    첫째, 모든 테마와 플러그인을 완전히 업데이트한 상태로 유지한다면 이미 위험을 크게 낮춘 것입니다. 그러나 XSS 공격으로부터 완전히 보호할 수 있는 보장된 방법은 없습니다.

    대부분의 WordPress 사이트에는 비공개 취약점이 있으며 해커가 악용할 수 있습니다. 이 때문에 사이트를 정기적으로 검사하는 것이 매우 중요합니다. 나중에 더 자세히 설명합니다.

    크로스 사이트 스크립팅 WordPress

    해커가 크로스 사이트 스크립팅 공격으로 할 수 있는 피해는 최종 목표의 정확한 세부 사항에 따라 다르지만 최악의 경우 전체 사이트를 장악할 수 있습니다.

    다른 경우에는 해커가 웹 사이트를 약간 변경하거나 사이트를 자신이 설정한 악성 사이트로 리디렉션합니다.

    다시 말해 WordPress 교차 사이트 스크립팅 취약점을 악용하는 해커는 다음을 수행하는 방법을 알고 있습니다.

    • 세션 ID를 감지하여 사용자 세션 하이재킹
    • 승인하지 않은 리디렉션 및 팝업 배치
    • 선봉장 악성 피싱 공격
    • 키로거를 설치하여 피해자의 모든 키 입력을 기록합니다.
    • 귀하의 금융 정보 또는 사이트 사용자의 금융 정보를 도용

    교차 사이트 스크립팅의 유형은 무엇입니까?

    모든 XSS 공격이 똑같이 위험한 것은 아닙니다. 사실, 일부는 다른 것보다 훨씬 더 위험합니다.

    일부 공격에서 해커는 WordPress 사이트에 대한 전체 액세스 권한을 갖습니다. 그 시점에서 그들은 기본적으로 그것으로 원하는 모든 것을 할 수 있습니다.

    다른 경우에는 공격을 통해 해커가 사이트의 일부를 수정할 수 있습니다. 전체 사이트 XSS 해킹만큼 위험하지는 않지만 모든 방문자에게 맬웨어를 제공하기 때문에 매우 위험할 수도 있습니다.

    다양한 교차 사이트 스크립팅 공격에는 해커가 사이트 구성원이 되어야 합니다. 이와 같은 경우에 발생하는 위험은 상당히 낮습니다.

    교차 사이트 스크립팅은 어떻게 작동합니까?

    노련한 해커는 자동화된 도구를 사용하여 사이트 취약점을 찾습니다. 취약점을 발견한 후 원하는 해킹을 실행하는 것은 간단한 문제가 됩니다.

    불행히도 전체 해킹 프로세스는 봇에 의해 수행될 수 있습니다.

    해커가 XSS를 사용하여 목표를 수행하는 다섯 가지 방법이 있습니다.

    1. 사용자 세션 하이재킹

    XSS 공격은 해커가 쿠키에 액세스하는 데 도움이 될 수 있습니다. 이것의 가장 위험한 측면은 이러한 유형의 공격이 사용자의 세션 ID를 노출한다는 것입니다.

    대부분의 웹사이트는 각 사이트 사용자의 세션을 활용하여 고유한 식별자를 설정합니다. 그런 다음 세션은 스크립트를 사용하여 세션 쿠키 내에 저장됩니다.

    해커는 세션 쿠키를 특정 사이트(예: http://198.178.260.468/)로 보낼 수 있으며 요청은 서버의 access.log 파일에 기록됩니다.

    해커가 세션 정보를 사용하면 암호 없이도 사용자가 로그인한 모든 계정에 로그인할 수 있습니다.

    2. 무단 활동 실행

    어떤 경우에는 해커가 JavaScript를 사용하여 원하는 쿠키를 훔칠 수 없습니다. 이러한 경우 XSS 공격을 사용하여 승인되지 않은 활동을 실행하려고 시도합니다.

    예를 들어, 댓글 섹션에 메시지가 나타나게 하고 계속해서 반복적으로 게시되도록 하는 스크립트를 사용할 수 있습니다.

    이러한 유형의 교차 스크립팅 공격은 일반적으로 사용자에게 바이러스처럼 확산되는 악성 스크립트의 형태를 취합니다. 사이트를 손상시키는 데에도 사용할 수 있습니다.

    3. 피싱 공격

    종종 WordPress 크로스 사이트 스크립팅 취약점은 해커를 단순한 XSS 공격보다 훨씬 더 큰 계획으로 이끕니다.

    사이트 간 스크립트는 사이트에 대한 피싱 공격으로 이어질 수 있습니다.

    일반적으로 악성 스크립트는 WordPress 사이트에서 사용자를 속여 매우 민감한 정보를 제공하도록 하는 피싱 사기를 시작합니다.

    이것은 매우 위험한 공격입니다.

    4. 키로거 설치

    이러한 유형의 공격에는 취약한 WordPress 사이트에 키로거를 설치하는 스크립트를 구현하는 해커가 포함됩니다.

    사용자가 무언가를 입력할 때마다 이 키로거는 정보를 저장하고 해커에게 전송합니다. 신용 카드 정보, 비밀번호, 의료 정보 등을 훔치는 빠르고 쉬운 방법입니다.

    5. 민감한 정보의 도용

    쿠키와 도난 방법에 대해 논의했습니다. 그러나 이 특정 공격은 이 원칙을 다른 수준으로 끌어 올립니다.

    신용 조합의 "인터넷 뱅킹" 페이지가 XSS 공격을 받는 시나리오를 상상해 보십시오. 해커가 특정 스크립트를 사용하는 경우 해커는 유효성 검사 없이 귀하의 당좌 예금 계좌에 직접 로그인할 수 있습니다.

    이것은 새로운 개념은 아니지만 세션 쿠키를 사용하여 해커가 수행할 수 있는 작업의 확장입니다.

    사이트 간 스크립팅 공격으로부터 내 WordPress 사이트를 어떻게 보호합니까?

    진짜 문제는 전문 해커가 최고의 교차 사이트 스크립팅 방지 기능조차 우회할 수 있는 더 현명한 변종 악성 텍스트를 계속 만들어내고 있다는 것입니다.

    그것은 정말로 일종의 고양이와 쥐 게임입니다.

    XSS 공격을 탐지하는 가장 좋은 방법은 iThemes Security Pro와 같은 플러그인을 사용하는 것입니다. iThemes Security Pro에는 여러 웹사이트 보안 기능이 있어 교차 사이트 스크립팅 공격에 대한 방어선을 구축할 수 있습니다. (좀 더 자세히).

    또한 최악의 상황이 발생할 경우 사이트 기록의 이전 지점을 복원할 수 있는 BackupBudy와 같은 WordPress 백업 플러그인을 사용하여 방어하는 것이 매우 중요합니다.

    분명히, 완벽한 세상에서 이런 해킹은 절대 일어나지 않을 것입니다. 그러나 XSS 공격은 보호하기가 매우 어렵기 때문에 강화된 WordPress 보안이 최우선 순위입니다.

    XSS 공격의 작동 방식

    공격이 작동하는 방식은 해커가 실행한 공격의 종류에 따라 다릅니다. 그리고 여러 유형의 교차 사이트 스크립팅이 있지만 모두 JavaScript를 사용하여 악성 맬웨어를 퍼뜨립니다.

    JavaScript에 익숙하지 않다면 웹사이트의 HTML 코드 사이에 있는 언어입니다. 강력한 계산을 수행하는 특정 변수를 생성할 수 있습니다.

    사실 개발자는 JavaScript를 사용하여 상상할 수 있는 거의 모든 기능을 수행할 수 있습니다.

    예를 들어 결제를 받아 데이터베이스에 저장하는 WooCommerce 사이트는 JavaScript를 사용하여 로그인 정보와 결제 세부 정보를 다른 사람에게 보낼 수 있습니다.

    해커가 사이트 코드에서 이 취약점을 악용하여 JavaScript를 실행하면 전면적인 XSS 공격입니다. 이 취약점 유형은 일반적으로 다음 형식을 포함하여 사용자가 데이터를 입력하는 웹사이트의 거의 모든 곳에서 발생합니다.

    • 팝 업
    • 정보 양식
    • 검색창
    • URL

    데이터 입력 필드가 반드시 시각적일 필요는 없습니다. 어떤 경우에는 데이터베이스 또는 다른 파일에서 미처리 데이터를 호출하는 사이트 코드 내의 잘못된 변수일 수 있습니다.

    지속적 또는 저장된 XSS 공격

    귀하의 사이트가 댓글 섹션이 열려 있는 블로그라고 잠시 가정해 보십시오. 사용자 중 한 명이 댓글을 남기면 해당 데이터가 데이터베이스로 전송되어 저장됩니다.

    데이터베이스에 저장하기 전에 해당 데이터를 삭제하도록 사이트를 구성하는 것이 중요합니다. 즉, 사용자가 적법한 댓글을 입력했는지 또는 악성 스크립트인지 확인해야 합니다.

    이 검사가 없으면 WordPress에서 XSS 결함을 열 수 있습니다.

    작동 방식은 다음과 같습니다.

    1. 해커가 취약점을 찾아 악용

    해커는 인터넷을 검색하고 교차 사이트 스크립팅 공격에 취약한 사이트를 찾는 스캐너를 사용합니다. 사이트가 발견되면 악성 스크립트가 사이트의 댓글 섹션에 심어집니다.

    검사가 수행되지 않으면 사이트에서 악성 스크립트를 가져와 데이터베이스로 보냅니다.

    2. 방문자가 감염된 페이지를 봅니다.

    평균적인 사이트 방문자에게 해커의 데이터는 표준 댓글처럼 보입니다. 이 방문자가 모르는 것은 간단한 주석이 쿠키를 훔치는 실행 가능한 코드라는 것입니다.

    페이지를 방문하는 모든 사람은 부정적인 영향을 받습니다.

    3. 브라우저 쿠키 도용

    대부분의 사용자는 일반적으로 소셜 미디어, 이메일, Amazon, YouTube 및 고용주의 웹 사이트와 같은 브라우저에 항상 여러 탭을 열어 둡니다.

    사용자가 감염된 사이트를 방문하여 해커의 댓글이 포함된 페이지를 보면 코드가 즉시 실행되어 해커가 브라우저 쿠키를 훔칠 수 있습니다.

    이 공격은 모든 탭에서 열려 있는 모든 웹사이트의 쿠키를 훔칠 수 있기 때문에 교차 사이트 공격이라고 합니다.

    4. 도난당한 쿠키 악용

    해커는 도난당한 쿠키를 사용하여 불법 구매를 위해 쇼핑 사이트에서 인증된 사이트 사용자로 가장합니다.

    공격자는 또한 암호 및 사용자 이름과 같은 계정 정보를 훔치고 이메일을 해킹하여 전체 연락처 목록에 피싱 이메일을 보낼 수 있습니다.

    악의적인 가능성은 끝이 없어 보입니다.

    비지속적 또는 반사적 XSS 공격

    이것은 사이트 방문자에 대한 공격이 아니라 웹사이트에 대한 공격입니다.

    WordPress 사이트 소유자라면 아마 많은 브라우저 탭이 열려 있을 것입니다.

    종종 WordPress 관리 대시보드는 일상적으로 열려 있는 여러 탭 중 하나일 뿐입니다. 이것이 바로 반사 XSS 공격을 가능하게 하는 것입니다.

    발생 방법은 다음과 같습니다.

    1. 사이트 소유자가 악성 링크에 연결됨

    어떤 경우에는 해커가 당신의 이메일에 악성 링크를 보내 당신이 그들의 작은 속임수에 넘어가기를 바라게 됩니다.

    다른 경우에는 해커가 다른 사이트에 악성 링크를 배치합니다.

    이러한 링크 중 하나를 클릭하면 스크립트가 외부 사이트에서 WordPress 사이트로 로드됩니다.

    2. 세션 쿠키 획득

    악성 링크를 클릭하면 그들이 사용한 코드가 실행됩니다. 이렇게 하면 해커가 쿠키를 훔치고 WordPress 웹사이트의 관리자 계정에 액세스할 수 있습니다.

    사이트에 대한 전체 관리 액세스 권한을 얻은 후에는 민감한 데이터와 로그인 자격 증명을 쉽게 훔칠 수 있습니다. 그들은 심지어 당신을 사이트에서 잠그거나 다양한 해킹을 실행하는 데 사용할 수도 있습니다.

    무서운 것은 그들이 당신의 이름으로 행해질 것이라는 것입니다.

    제대로 실행된 XSS 공격은 귀하의 비즈니스와 웹사이트에 중대한 영향을 미치며 귀하의 신뢰성을 회복할 수 없을 정도로 손상시킬 수 있습니다. 이러한 공격에서 복구하려면 소중한 시간과 힘들게 번 돈이 많이 소요될 수 있습니다.

    그렇기 때문에 가능한 모든 예방 조치를 취하는 것이 중요합니다.

    WordPress 사이트 간 스크립팅 방지: 5단계

    이것을 쉽게 말할 수 있는 방법은 없지만 사이버 범죄를 피하기 위한 완벽한 계획은 존재하지 않습니다. 가장 좋은 방법은 정기적인 WordPress 보안 감사를 위한 견고한 계획을 세우는 것입니다. XSS 공격을 피하기 위한 첫 번째 단계는 이러한 단계를 통해 지금 준비를 시작하는 것입니다.

    1. iThemes Security Pro 플러그인 다운로드 및 설치

    사이트 보안 및 보호를 시작하려면 iThemes Security Pro 플러그인을 다운로드하여 설치하세요.

    지금 iThemes Security Pro 받기

    2. 세션 하이재킹으로부터 사용자 보호

    간단히 말해서 WordPress 웹사이트의 관리자와 편집자를 위한 세션 하이재킹 방지 기능이 있어야 합니다.

    왜요? 이전에 언급했듯이 ordPress는 웹사이트에 로그인할 때마다 세션 쿠키를 생성합니다. 개발자가 포기하고 더 이상 보안 업데이트를 릴리스하지 않는 브라우저 확장이 있다고 가정해 보겠습니다. 유감스럽게도 방치된 브라우저 확장 프로그램에는 취약점이 있습니다. 이 취약점은 악의적인 행위자가 앞서 언급한 WordPress 세션 쿠키를 포함하여 브라우저 쿠키를 가로채도록 합니다. 다시 말하지만, 이러한 유형의 해킹은 세션 하이재킹으로 알려져 있습니다. 따라서 공격자는 확장 취약점을 악용하여 로그인을 피기백하고 WordPress 사용자와 악의적인 변경을 시작할 수 있습니다.

    iThemes Security Pro 신뢰할 수 있는 장치 기능은 세션 하이재킹을 과거의 일로 만듭니다. 세션 중에 사용자의 장치가 변경되면 iThemes Security는 사용자의 이메일 주소 변경 또는 악성 플러그인 업로드와 같은 사용자 계정의 무단 활동을 방지하기 위해 자동으로 사용자를 로그아웃합니다.

    iThemes Security Pro의 신뢰할 수 있는 장치 기능은 귀하와 다른 사용자가 WordPress 사이트에 로그인하는 데 사용하는 장치를 식별하는 데 사용됩니다. 귀하의 장치가 식별되면 세션 하이재커 및 기타 악의적인 행위자가 귀하의 웹사이트에 피해를 입히는 것을 막을 수 있습니다.

    사용자가 인식할 수 없는 장치에 로그인한 경우 신뢰할 수 있는 장치는 관리자 수준 기능을 제한할 수 있습니다. 즉, 공격자가 WordPress 사이트의 백엔드에 침입할 수 있는 경우 웹사이트를 악의적으로 변경할 수 없습니다.

    이 시나리오에서는 누군가가 알 수 없는 장치에서 사이트에 로그인했음을 알리는 이메일을 받게 됩니다. 이메일에는 해커의 기기를 차단하는 옵션이 포함되어 있습니다. 그러면 당신은 나쁜 사람의 하루를 망쳤다는 것을 알고 웃고 웃을 수 있습니다.

    Trusted Devices의 또 다른 이점은 세션 하이재킹을 과거의 일로 만든다는 것입니다. 세션 중에 사용자의 장치가 변경되면 iThemes Security는 사용자의 이메일 주소 변경 또는 악성 플러그인 업로드와 같은 사용자 계정의 무단 활동을 방지하기 위해 자동으로 사용자를 로그아웃합니다.

    신뢰할 수 있는 장치 사용을 시작하려면 보안 설정의 기본 페이지에서 활성화한 다음 설정 구성 버튼을 클릭합니다.

    신뢰할 수 있는 장치 설정에서 기능을 사용할 사용자를 결정하고 기능 제한세션 하이재킹 방지 기능을 활성화합니다.

    새로운 신뢰할 수 있는 장치 설정을 활성화한 후 사용자는 인식할 수 없는 장치 보류에 대한 알림을 WordPress 관리 표시줄에 받게 됩니다. 현재 장치가 신뢰할 수 있는 장치 목록에 추가되지 않은 경우 이 장치 확인 링크를 클릭하여 승인 이메일을 보냅니다.

    인식할 수 없는 로그인 이메일에서 장치 확인 버튼을 클릭하여 현재 장치를 신뢰할 수 있는 장치 목록에 추가합니다.

    신뢰할 수 있는 장치가 활성화되면 사용자는 WordPress 사용자 프로필 페이지에서 장치를 관리할 수 있습니다. 이 화면에서 신뢰할 수 있는 장치 목록의 장치를 승인하거나 거부할 수 있습니다.

    또한 일부 타사 API에 등록하여 신뢰할 수 있는 장치 식별의 정확성을 높이고 정적 이미지 맵을 사용하여 인식할 수 없는 로그인의 대략적인 위치를 표시할 수 있습니다. 사용 가능한 통합을 보려면 신뢰할 수 있는 장치 설정을 확인하십시오.

    3. 버전 관리를 활성화하여 테마 및 플러그인을 최신 상태로 유지

    공개된 모든 WordPress 취약점을 추적하고 WordPress 취약점 라운드업에서 추적하고 공유하고 해당 목록을 웹사이트에 설치한 플러그인 및 테마 버전과 비교하는 것은 어렵습니다. 그러나 이것이 WordPress 해커가 알려진 취약점이 있는 플러그인과 테마를 대상으로 삼는 것을 막지는 못합니다. 사이트에 알려진 취약점이 있는 소프트웨어를 설치하면 해커가 웹사이트를 인수하는 데 필요한 청사진을 얻을 수 있습니다.

    iThemes Security Pro의 버전 관리 기능을 사용하면 WordPress, 플러그인 및 테마를 자동으로 업데이트할 수 있습니다. 그 외에도 버전 관리에는 오래된 소프트웨어를 실행할 때 웹사이트를 강화하고 오래된 웹사이트를 검색하는 옵션도 있습니다.

    버전 관리를 시작하려면 보안 설정의 기본 페이지에서 모듈을 활성화하십시오.

    이제 설정 구성 버튼을 클릭하여 설정 을 자세히 살펴보십시오.

    4. iThemes 보안 사이트 스캔 켜기

    iThemes Security Pro Site Scan은 웹사이트에서 알려진 WordPress, 플러그인 및 테마 취약점을 확인하고 패치가 있을 때 적용합니다.

    새로 설치할 때 사이트 스캔을 활성화하려면 iThemes Security Pro 설정으로 이동하여 사이트 스캔 설정 모듈에서 활성화 버튼을 클릭하십시오.

    수동 사이트 스캔을 실행하려면 보안 설정의 오른쪽 사이드 바에 있는 사이트 스캔 위젯 에서 지금 스캔 버튼을 클릭하십시오.

    사이트 스캔 결과가 위젯에 표시됩니다.

    사이트 스캔이 취약점을 감지하면 취약점 링크를 클릭하여 세부 정보 페이지를 봅니다.

    사이트 스캔 취약점 페이지에서 해당 취약점에 대한 수정 사항이 있는지 확인할 수 있습니다. 사용 가능한 패치가 있는 경우 플러그인 업데이트 버튼을 클릭하여 웹 사이트에 수정 사항을 적용할 수 있습니다.

    패치를 사용할 수 있는 시점과 수정 사항을 반영하기 위해 iThemes 보안 취약성 데이터베이스가 업데이트되는 사이에는 지연이 있을 수 있습니다. 이 경우 취약점과 관련된 경고를 더 이상 받지 않도록 알림을 음소거할 수 있습니다.

    중요: 현재 버전에 보안 수정 사항이 포함되어 있거나 취약점이 사이트에 영향을 미치지 않음을 확인할 때까지 취약점 알림을 음소거하면 안 됩니다.

    5. 파일 변경 감지 켜기

    파일 변경 모니터링을 시작하려면 보안 설정의 기본 페이지에서 파일 변경 감지 를 활성화 하십시오 .

    WordPress 보안 파일 변경 감지 설정

    파일 변경 감지가 활성화되면 iThemes Security Pro는 웹사이트의 모든 파일을 청크로 스캔하기 시작 합니다 . 파일을 청크로 스캔하면 파일 변경 사항을 모니터링하는 데 필요한 리소스를 줄이는 데 도움이 됩니다.

    초기 파일 변경 스캔은 웹사이트 파일 및 해당 파일 해시의 색인을 생성합니다. 파일 해시는 사람이 읽을 수 없는 파일 콘텐츠의 단축 버전입니다.

    초기 스캔이 완료된 후 iThemes Security Pro는 계속해서 파일을 청크로 스캔합니다. 후속 스캔 중 하나에서 파일 해시가 변경되면 파일 내용이 변경되었음을 의미합니다.

    파일 변경 감지 설정에서 지금 파일 스캔 버튼을 클릭하여 수동 파일 변경을 실행할 수도 있습니다.

    파일 변경 사항 버튼에 대한 WordPress 보안 검색

    마무리: 사이트 간 스크립팅 및 WordPress 사이트 보호

    이 가이드가 WordPress 사이트의 교차 사이트 스크립팅 위험을 이해하는 데 도움이 되었기를 바랍니다. 위의 5단계와 함께 몇 가지 WordPress 보안 모범 사례를 구현하면 더 나은 방어선을 갖게 됩니다.

    보너스 콘텐츠 받기: WordPress 보안 가이드
    가이드 다운로드

    크로스 사이트 스크립팅 WordPress