WooCommerce 웹사이트 보안 가이드

게시 됨: 2021-04-13

우커머스 웹사이트 보안
WooCommerce는 온라인 상점을 구축하기 위한 가장 인기 있고 무료이며 유연한 전자 상거래 솔루션 중 하나입니다. 4,800만 회 이상의 다운로드로 모든 전자 상거래 사이트의 28% 이상을 차지합니다.

이 엄청난 인기로 인해 WooCommerce는 해커 및 기타 사이버 사기꾼의 주요 표적 중 하나가 되었습니다. WooCommerce 스토어를 운영 중이거나 구축할 계획이라면 스토어를 안전하게 유지하기 위해 할 수 있는 일을 알고 싶을 것입니다.

WooCommerce 및 WordPress에는 보안 기능이 내장되어 있지만 몇 가지 기본 보안 조치를 실행하면 WooCommerce 스토어에 보안 계층이 추가됩니다.

이 문서에서는 WooCommerce 고객에게 매장에서 안전하고 안전한 쇼핑 환경을 제공하기 위해 웹사이트에 적용할 수 있는 중요하고 가장 효과적인 보안 팁을 나열합니다.

그들이 무엇이며 어떻게 작동하는지 알아보자.

신뢰할 수 있는 호스팅 제공업체 선택
안정적이고 안전한 호스팅 제공업체를 선택하는 것은 WooCommerce 스토어의 보안을 보장하는 첫 번째 단계입니다. 보안은 호스팅 제공업체에서 찾아야 하는 중요한 것 중 하나여야 합니다.

아래 체크리스트를 사용하여 잠재적 호스트가 호스팅하는 웹사이트의 보안을 어떻게 처리하는지 이해할 수 있습니다.

네트워크 모니터링 – 지속적인 모니터링을 통해 의심스러운 트래픽이나 사고를 감시하고 공격을 조기에 예방할 수 있습니다.
바이러스 백신 및 맬웨어 검사
보안 FTP – 호스팅 공급자가 FTP의 보안 버전인 SFTP를 지원하는지 확인합니다.
강력한 암호 사용

암호가 약한 계정은 종종 무차별 대입 공격의 피해자가 됩니다. 따라서 WooCommerce 스토어와 연결된 모든 계정에 대해 강력한 비밀번호를 선택하는 것이 중요합니다.

강력한 암호는 대문자, 소문자, 숫자 및 기호의 조합입니다. 이러한 복잡하고 긴 암호는 해커가 암호를 해독하기 어렵게 만듭니다.

보안 암호를 만드는 데 시간을 보내고 싶지 않다면 WordPress에는 사용자를 위한 강력한 암호를 생성하는 내장 기능 "더 나은 암호"가 있습니다. 크롬 보안 비밀번호 생성기를 사용하여 비밀번호를 생성하고 관리할 수도 있습니다.

"Admin"을 사용자 이름으로 사용하지 마십시오.
대부분의 웹 사이트는 사용자 이름 암호 조합을 따라 웹 사이트에 로그인합니다. 그리고 많은 WooCommerce 소유자는 Admin 또는 Store 이름을 계정의 사용자 이름으로 사용합니다. 이렇게 하면 사이트에 대한 완전한 권한을 가진 관리자 계정을 대상으로 하기 때문에 웹사이트가 공격에 취약해집니다.

따라서 관리자 사용자 이름으로 "admin"을 사용하지 않는 것이 가장 좋습니다. WordPress 대시보드에서 사용자 > 새로 추가로 이동하여 WordPress 관리자 이름을 변경할 수 있습니다.
사용자 추가
필요한 모든 세부 정보를 입력하고 고유한 사용자 이름을 선택합니다. 이제 새 계정을 만들고 사용 가능한 WordPress 사용자 역할에서 ' 관리자 '를 선택합니다.
새 사용자 역할 선택
새 사용자 추가 버튼을 클릭합니다.

이제 wp-admin에서 로그아웃하고 새로 생성된 계정으로 로그인해야 합니다. 이전 'admin' 사용자 계정을 삭제할 수 있습니다.

이중 인증(2FA) 활성화
이중 인증을 구현하는 것은 WooCommerce 스토어를 보호하기 위한 또 다른 중요한 단계입니다.
WooCommerce 스토어에서 이 기능을 활성화하면 WordPress 대시보드에 로그인하려는 사람은 누구나 자격 증명과 실시간으로 생성되는 보안 암호를 제공해야 합니다. 이것은 휴대폰 번호 또는 이메일 ID로 전송된 1회용 비밀번호일 수 있습니다.

이 메커니즘은 권한이 없는 개인이 비밀번호를 알고 있더라도 웹사이트에 액세스하는 것을 방지합니다. 이 절차의 유일한 단점은 상점에 로그인하는 데 시간이 더 오래 걸린다는 것입니다.

SSL(Secure Socket Layer) 인증서 추가
대부분의 웹사이트 URL에는 접두사로 HTTPS가 포함되어 있습니다. 그러나 접두사로 HTTP를 사용하거나 주소 표시줄에 안전하지 않은 것으로 표시되는 일부 웹사이트 URL이 있습니다. 이것이 의미하는 바는 무엇입니까?
스크린샷
이러한 웹사이트는 SSL 인증서가 설치되어 있지 않으므로 안전하지 않은 것으로 간주됩니다. 웹사이트에 SSL을 추가하면 URL 접두사가 HTTP에서 HTTPS로 변경됩니다. 보안 버전.

SSL은 사용자의 브라우저와 WooCommerce 스토어 간의 안전한 데이터 전송을 보장하는 데 중요합니다. 대부분의 호스트는 패키지와 함께 무료 SSL을 제공하거나 하나를 구입하여 WordPress 플러그인을 사용하여 웹사이트에 추가할 수 있습니다.

SSL 인증서 없이 WooCommerce 스토어를 실행하면 여러 방식으로 비즈니스에 영향을 미칠 수 있습니다. 우선, 사람들은 거래를 할 때 지불 정보가 있는 귀하의 웹사이트를 신뢰하지 않을 것이며 Google은 귀하의 웹사이트를 최고 결과에 순위를 매기지 않을 것입니다. 두 가지 모두 귀하의 트래픽과 궁극적으로 판매에 큰 영향을 미칠 것입니다.

로그인 시도 제한
이것은 해커가 웹 사이트에 침입하기 위해 사용하는 가장 일반적인 방법 중 하나인 무차별 대입 공격에 대한 중요한 예방 메커니즘입니다.

봇은 단 1초 만에 수천 가지 조합을 시도할 수 있기 때문에 이러한 종류의 공격은 봇이 수행하면 성공할 가능성이 큽니다. 당신이 만든 강력한 암호조차도 그러한 공격을 견디지 못할 수 있습니다.

따라서 이러한 공격을 피하는 가장 좋은 방법은 웹사이트의 로그인 페이지에서 실패한 로그인 시도를 제한하는 것입니다. WordPress의 기본 설정에서는 사용자가 원하는 만큼 로그인할 수 있으므로 WooCommerce 스토어에서 이를 활성화하는 다른 방법을 찾아야 합니다.

웹 애플리케이션 방화벽이나 WordPress 플러그인을 사용하여 웹사이트에 대한 제한된 로그인 시도를 구성할 수 있습니다.

사이트를 최신 상태로 유지
WordPress와 WooCommerce는 이전 버전의 보안 문제를 해결하고 새로운 기능을 추가하기 위해 자주 업데이트를 출시합니다. WooCommerce는 WordPress를 기반으로 하므로 주어진 WooCommerce 사이트는 전반적으로 WordPress 설치 자체만큼 안전합니다. 이는 새 업데이트가 릴리스될 때 WordPress 버전을 업데이트해야 함을 나타냅니다.

현재 WordPress 4.3.x에서 실행 중이고 4.4 버전이 나온 경우 새 버전으로 업데이트해야 하는 것은 아닙니다. 반면에 4.4.2가 릴리스되면 마지막 숫자 "2"가 보안 업데이트임을 나타내므로 이 버전으로 최대한 빨리 업데이트해야 합니다.

업데이트 프로세스를 시작하기 전에 업데이트에 문제가 있는 경우 웹사이트 데이터의 백업을 만드는 것이 좋습니다. 또한 스테이징 사이트에서 주요 업데이트를 먼저 테스트하는 것이 가장 좋습니다.

따라서 전반적으로 WooCommerce 스토어를 적절하게 업데이트하면 보안을 유지하는 데 많은 도움이 됩니다.

정기적인 WooCommerce 백업 수행
일반 웹사이트와 달리 WooCommerce 스토어의 데이터 손실은 웹사이트 수익에 큰 영향을 미치는 고객 데이터, 주문 데이터 등이 포함되어 있기 때문에 치명적인 영향을 미칠 수 있습니다.

따라서 귀중한 WooCommerce 데이터를 모두 잃을 위험을 피하기 위해 상점을 백업해야 합니다. 3가지 방법으로 웹사이트 백업을 생성할 수 있습니다. 수동 백업, 플러그인을 통한 자동 백업, 호스트 백업.

백업을 만드는 데 편한 방법을 선택할 수 있습니다. 플러그인을 사용할 계획이라면 UpdraftPlus가 여러 저장 위치를 ​​제공하고 무료 버전 자체로 예약된 백업을 허용하므로 훌륭한 선택이 될 것입니다.

웹 응용 프로그램 방화벽 사용
웹 응용 프로그램 방화벽을 실행하면 악의적인 트래픽이 웹 사이트에 도달하기 전에 사이트를 보호할 수 있습니다. 방화벽에는 두 가지 유형이 있습니다. DNS 수준 웹 사이트 방화벽 및 응용 프로그램 수준 방화벽. WordPress 플러그인 중 하나를 사용하여 웹사이트에 방화벽을 추가할 수 있습니다.

Wordfence 플러그인은 웹사이트에 방화벽을 추가할 수 있는 훌륭한 옵션입니다. 구성 파일을 다운로드하여 130만 사이트에서 데이터베이스 자격 증명을 수집하기 위한 최근의 공격 캠페인은 Wordfence의 무료 또는 프리미엄 버전에서 실행되는 웹 사이트에 의해 효과적으로 차단되었습니다.

WooCommerce 상점을 대상으로 하는 모든 종류의 공격으로부터 보호하려면 웹사이트에 방화벽이 필수입니다.

플러그인과 테마를 현명하게 선택하세요
감지되지 않은 플러그인 및 테마 취약성은 공격자가 웹사이트에 침입하여 피해를 줄 수 있는 길을 열어줄 수 있습니다. 따라서 정기적으로 업데이트되는 플러그인과 테마만 선택하도록 해야 합니다. 무료 버전은 프리미엄 버전만큼 자주 업데이트되지 않을 수 있으므로 업데이트 및 지원을 보장하려면 프리미엄 버전으로 이동하는 것이 가장 좋습니다.

그러나 이것이 가능하지 않다면 웹사이트의 모든 플러그인과 테마를 자주 업데이트하고 가능한 한 빨리 WordPress 플러그인 저장소에서 제거된 플러그인을 비활성화하고 삭제하십시오.

보안 데이터베이스 암호 사용 및 데이터베이스 접두사 변경
위에서 언급한 바와 같이 웹사이트 데이터베이스를 표적으로 하는 공격도 증가하고 있어 MySQL 데이터베이스 비밀번호와 사용자 이름을 보호해야 합니다. 웹 사이트의 데이터베이스에 약한 암호가 있다고 생각되면 더 강력한 암호로 바꾸십시오.

WordPress는 기본적으로 WordPress 데이터베이스의 모든 테이블에 대한 접두사로 wp_를 사용하므로 데이터베이스 접두사도 변경해야 합니다. 이는 공격에 취약합니다(해커가 테이블 이름을 추측하기 쉽기 때문에).

보안 플러그인 사용
상점의 모든 보안 요구 사항을 수동으로 처리할 수 없는 경우 사이트에 보안 플러그인을 추가하고 사이트를 안전하게 유지하는 모든 작업을 처리하도록 할 수 있습니다. 대부분의 보안 플러그인에는 웹 애플리케이션 방화벽, 맬웨어 스캐너, 사이트 보안 활동 감사, 제한된 로그인 시도, 블랙리스트 모니터링 등과 같은 몇 가지 중요한 기능이 함께 제공됩니다.

다음은 WordPress-WooCommerce 웹사이트에서 가장 많이 사용되는 보안 플러그인입니다.

워드펜스
수쿠리
올인원 WP 보안
iThemes 보안

이 모든 플러그인은 무료 및 프리미엄 버전과 함께 제공됩니다. 요구 사항 및 플러그인 기능에 따라 무료 또는 프리미엄 버전을 선택할 수 있습니다.

최소 권한의 원칙을 실천하십시오
최소 권한원칙은 모든 사용자가 해당 기능을 수행하는 데 필요한 최소한의 권한만 가져야 한다는 아이디어입니다. 이렇게 하면 사용자 권한의 오용을 방지하고 공격이 발생할 경우 피해를 줄일 수 있습니다.

시스템을 사용할 필요가 없는 경우 로그아웃하고 스토어와 연결된 계정에 로그인한 상태에서 이메일, 채팅 등의 링크를 클릭하지 않도록 하는 것도 모범 사례입니다.

핑백 및 트랙백 비활성화
핑백 및 트랙백은 링크된 블로그에 경고하는 방법입니다. 그러나 웹사이트에 엄청난 양의 스팸이 수신될 수 있으므로 WooCommerce 스토어에서 비활성화하는 것이 좋습니다.

WordPress 대시보드에서 설정 > 토론 으로 이동하여 기능을 선택 해제하여 웹사이트에서 이 기능을 쉽게 비활성화할 수 있습니다.

보안 지불 게이트웨이 사용
지불 게이트웨이는 WooCommerce 스토어의 필수적인 부분입니다. 귀하와 귀하의 고객 데이터의 보안을 보장하려면 상점에 가장 안전한 지불 게이트웨이를 추가하는 것이 매우 중요합니다. Stripe, PayPal, Authorize.net 등은 안전한 지불 게이트웨이를 위한 훌륭한 옵션입니다.

요약
이 기사에서는 WooCommerce 스토어를 안전하게 유지하기 위해 시도할 수 있는 15가지 중요하고 가장 효과적인 방법을 나열했습니다. 다음은 각각에 대한 간략한 설명입니다.

  • 신뢰할 수 있는 호스팅 제공업체 선택
  • 강력한 암호 사용
  • admin을 사용자 이름으로 사용하지 마십시오.
  • 이중 인증 활성화
  • SSL(Secure Socket Layer) 인증서 추가
  • 로그인 시도 제한
  • 웹사이트를 최신 상태로 유지
  • 정기적인 백업 수행
  • 웹 애플리케이션 방화벽 사용
  • 현명하게 플러그인 및 테마 선택
  • 보안 데이터베이스 암호를 사용하고 데이터베이스 접두사 변경
  • 보안 플러그인 사용
  • 최소 권한의 원칙
  • 핑백 및 트랙백 비활성화
  • 보안 지불 게이트웨이 사용

WooCommerce 스토어 보안을 위한 더 나은 제안 사항이 있는 경우 댓글 섹션에서 공유하고 모든 WooCommerce 스토어의 보안을 강화하는 데 도움을 주세요.