클라이언트 사이트에서 iThemes Security Pro를 구성하는 방법

사용성과 보안 사이에서 적절한 균형을 찾는 방법은 무엇입니까? 클라이언트와 공유되는 보안 알림을 어떻게 제어합니까? 클라이언트 웹 사이트에서 보안을 구성하는 것은 어려운 작업일 수 있지만 반드시 그래야 하는 것은 아닙니다. 이 게시물에서는 클라이언트 웹 사이트에서 iThemes Security Pro를 빠르게 구성하는 방법을 보여 드리겠습니다.

클라이언트 사이트에서 iThemes Security Pro를 구성하는 방법 웹 세미나 재생

동일한 주제에 대해 수행한 웨비나의 재생을 확인하십시오.

다음은 우리가 다룰 내용에 대한 간략한 개요입니다.

1. iThemes Security Pro 알림을 구성하는 방법
2. 다양한 사용자 유형을 위한 WordPress 보안
3. iThemes Security Pro 사용자 그룹 사용
4. Security Client 대시보드를 만드는 방법
5. 취약점 검사 및 패치를 자동화하는 방법
6. 임시 권한 에스컬레이션

1. iThemes Security Pro 알림을 구성하는 방법

ithemes Security Pro는 웹사이트 보안 상태에 대한 중요한 정보를 공유합니다. 그러나 이러한 메시지는 고객이 잘못 이해하면 불필요한 골칫거리를 유발할 수 있습니다. 적절한 사람들과 보안 알림을 공유하면 삶이 훨씬 쉬워질 수 있습니다.

고객이 보안 알림을 찾을 수 있는 5가지 위치를 빠르게 살펴보겠습니다.

1. 메시지 센터 알림 – 모든 중요한 경고 및 업데이트는 WordPress 관리 표시줄에 있는 iThemes 보안 메시지 센터에서 찾을 수 있습니다.
2. 이메일 알림 – 보안 다이제스트 및 잠금 알림과 같은 보안 알림을 받은 편지함으로 보낼 수 있습니다.
3. 로그인 경고 – 신뢰할 수 있는 장치가 활성화되면 로그인 경고 메뉴를 사용하여 장치를 확인하거나 차단합니다.
4. 보안 대시보드 – 메시지 센터는 보안 대시보드 에서도 찾을 수 있습니다.
5. 보안 로그 – 이제 이것은 전통적인 의미의 알림이 아니지만 iThemes Security Pro는 보안 로그를 사용하여 보안 관련 이벤트를 공유합니다.

iThemes 보안 알림 센터

알림 센터에는 iThemes Security Pro에서 생성한 이메일 알림을 관리하는 데 필요한 모든 도구가 있습니다.

알림 센터 모듈은 보안 설정의 기본 페이지에 있습니다. 설정 구성 버튼을 클릭하여 이메일 알림 사용자 지정을 시작합니다.

알림 센터에서 설정하려는 처음 두 가지는 이메일에서 와 기본 수신자 목록입니다.

From Email은 iThemes Security Pro가 알림을 보내는 데 사용할 이메일 주소입니다. 기본 수신자는 달리 지정되지 않는 한 이메일 알림을 받을 사람들의 목록입니다. 클라이언트가 원치 않는 이메일을 받지 않도록 하려면 사용자만 기본 수신자로 설정하는 것이 좋습니다.

iThemes Security Pro에서 보낸 각 이메일 알림의 수신자를 사용자 지정할 수도 있습니다. 고객에게 보여주고 싶은 유일한 이메일 알림이 Security Digest라고 가정해 보겠습니다. 이렇게 하려면 Security Digest 이메일 설정까지 아래로 스크롤하고 받는 사람 토글을 클릭하고 사용자 지정 을 선택합니다.

클라이언트의 사용자 이름 옆에 있는 확인란을 선택하여 Security Digest 이메일 목록에 추가합니다.

Security Digest 이메일에 대해 이야기하는 동안 iThemes Security Pro에서 수신하는 이메일 수를 줄이는 방법에 대해 이야기해 보겠습니다. 공격이 심한 기간 동안 ithemes Security는 많은 이메일을 생성할 수 있습니다. 그러나 이러한 이메일은 불필요한 소음을 유발할 수 있습니다. 예를 들어 잠금 알림은 iThemes Security Pro가 제 역할을 하고 있다고 자랑하는 것일 뿐 사용자가 취해야 할 조치는 없습니다. 나쁜 사람은 이미 잠겨 있고 문제가 해결되었습니다. 그렇긴 하지만, 알림을 많이 받는 것이 일상이 된다면 늑대소년 시나리오가 될 수도 있다. 조치가 필요한 경고를 받은 후에는 긴급하지 않은 알림을 계속 받고 있으므로 무시해도 됩니다.

Security Digest는 전송되는 이메일 수를 줄여 잠금, 파일 변경 감지 검색 및 권한 상승에 대한 요약을 받을 수 있습니다. 수신을 중지하려면 개별 알림을 비활성화해야 합니다.

고객이 다른 유형의 알림을 보지 못하도록 하는 방법은 나중에 포스트에서 보여드리겠습니다.

2. 다양한 사용자 유형을 위한 WordPress 보안

많은 WordPress 보안은 사용자 보안으로 귀결됩니다. 그리고 모든 사용자가 평등하게 생성되는 것은 아니므로 모든 사용자 보안 전략에 하나의 크기를 적용해서는 안 됩니다. 그렇기 때문에 웹사이트에 있을 수 있는 다양한 유형의 사용자에 대해 이야기할 가치가 있습니다.

1. 사이트 관리자 – 사이트 관리자는 WordPress 웹사이트에서 수많은 변경 작업을 수행할 수 있는 권한이 있습니다. 큰 힘에는 큰 책임이 따른다. 많은 경우 보안은 보안에서 훨씬 더 큰 이득을 얻기 위해 약간의 편의를 희생하는 것을 의미합니다. 이러한 사용자에게 약간의 마찰을 추가하는 것은 괜찮습니다. 계정이 엉뚱한 손에 넘어가면 사이트에 작별 인사를 할 수 있기 때문입니다.
2. 상점 관리자 – 상점 관리자는 사이트 관리자와 동일한 권한을 가지며 동일한 높은 수준의 보안이 필요합니다. WooCommerce 상점을 관리해야 하는 클라이언트가 있을 수 있지만 사이트의 보안 설정을 망치는 것을 원하지 않을 수 있습니다. 다음 섹션에서 이를 수행하는 방법을 보여드리겠습니다.
3. 기고자/편집자 – 기고자와 편집자는 사이트를 변경할 수 있으므로 여전히 주의를 기울여야 합니다. 그러나 사이트 관리자 및 상점 관리자만큼 높은 수준의 보안이 필요하지 않을 수 있습니다.
4. 구독자/고객 – 구독자와 고객은 WordPress 웹사이트에서 변경할 수 없는 하위 수준 사용자입니다. 계정을 보호할 수 있는 도구를 제공하고 싶지만 강제로 사용하고 싶지는 않을 것입니다.

3. iThemes Security Pro 사용자 그룹 사용

iThemes Security Pro의 사용자 그룹 모듈을 사용하면 사용자 경험에 영향을 미칠 수 있는 설정을 빠르게 확인하고 단일 위치에서 수정할 수 있습니다.

사이트에서 사용자 보안을 더 쉽게 관리할 수 있도록 iThemes Security Pro는 모든 사용자를 서로 다른 그룹으로 분류합니다. 기본적으로 사용자는 WordPress 기능별로 그룹화됩니다. WordPress 기능을 기준으로 정렬하면 WordPress와 사용자 지정 사용자 역할을 동일한 그룹으로 쉽게 결합할 수 있습니다. 예를 들어 WooCommerce 사이트를 실행하는 경우 사이트 관리자와 상점 관리자는 관리자 사용자 그룹에 속하고 구독자와 고객은 구독자 사용자 그룹에 속합니다.

WordPress 웹 사이트의 다양한 유형의 사용자에 대해 이야기했으므로 이제 사용자 그룹을 사용하여 사용자 보안을 빠르게 구성하는 방법을 살펴보겠습니다. 이 섹션에서는 사이트 관리자 및 구독자에 대한 보안을 구성하는 방법을 배웁니다.

사용자 그룹 설정에서 관리자 사용자 그룹을 선택하여 이 그룹 편집을 시작합니다. 기능 탭에는 그룹에 대해 활성화 또는 비활성화된 설정이 표시되고 그룹 편집 탭에서는 그룹 구성원을 구성할 수 있습니다.

앞에서 이야기한 것처럼 Admin User Group에 대해 높은 수준의 보안을 원할 것입니다.

1. iThemes 보안 관리 – 관리자는 보안 설정을 관리할 수 있는 기능이 필요합니다.
2. 대시보드 생성 활성화 – 관리자 사용자가 보안 대시보드를 생성하기를 원합니다.
3. 성적 보고서 – 관리자는 성적 보고서에 액세스할 수 있어야 합니다.
4. Force Two Factor – 고급 사용자가 이중 인증을 사용하도록 요구해야 합니다.
5. 2단계 온보딩 비활성화 – 2fa 등록을 최대한 쉽게 만들고 싶습니다.
6. 장치 기억 허용 – 보안 강화를 위해 관리자 사용자가 로그인할 때마다 2단계 토큰을 입력하도록 요구할 수 있습니다.
7. 응용 프로그램 암호 – 관리자 사용자는 응용 프로그램 암호를 구성하는 옵션이 필요할 수 있습니다.
8. 활동 모니터링 – 관리자 사용자의 사이트 활동 기록이 필요합니다.
9. 비밀번호 없는 로그인 – 모든 사람이 이 안전하고 편리한 로그인 방법을 사용하도록 할 수 있습니다.
10. 암호 없는 로그인을 위한 2단계 우회 허용 – 이것은 개인의 취향입니다. 2fa 우회를 허용하지 않으면 관리자 로그인의 보안이 향상됩니다.
11. 신뢰할 수 있는 장치 – 관리자 대시보드에 대한 액세스를 승인된 장치 목록으로 제한하고자 합니다.
12. 강력한 암호 필요 – 우리는 고급 사용자가 강력한 암호를 사용하기를 바랍니다.
13. 비밀번호 만료 – 관리자 비밀번호가 만료되도록 설정할 수 있습니다.
14. 손상된 비밀번호 거부 – 관리자가 데이터베이스 침해에서 발견된 비밀번호를 재사용하지 못하게 하십시오.

이전에 이야기한 것처럼 구독자 사용자 그룹에 대해 동일한 높은 수준의 보안을 원하지 않습니다.

1. iThemes 보안 관리 – 낮은 수준의 사용자가 보안 설정에 액세스하는 것을 원하지 않습니다.
2. 대시보드 생성 활성화 – 낮은 수준의 사용자가 보안 대시보드를 생성하는 것을 원하지 않습니다.
3. 성적 보고서 – 하위 수준 사용자는 성적 보고서를 볼 수 없습니다.
4. 2단계 강제 – 우리는 고객이나 가입자가 2단계 인증을 사용하도록 강요하고 싶지 않습니다.
5. 2단계 온보딩 비활성화 – 낮은 수준의 사용자에게 2fa를 사용할 수 있는 옵션을 제공하고 싶지만 로그인할 때 온보딩 흐름을 보지 않도록 할 수 있습니다.
6. 장치 기억 허용 – 낮은 수준의 사용자 계정에 이 수준의 복잡성을 추가하고 싶지 않을 수 있습니다.
7. 응용 프로그램 암호 – 낮은 수준의 사용자 계정에 이 수준의 복잡성을 추가하고 싶지 않을 수 있습니다.
8. 활동 모니터링 – 우리는 하위 수준 사용자의 활동을 모니터링하고 싶지 않습니다.
9. 비밀번호 없는 로그인 – 모든 사람이 이 안전하고 편리한 로그인 방법을 사용하도록 할 수 있습니다.
10. 암호 없는 로그인을 위한 2단계 우회 허용
11. 신뢰할 수 있는 장치 – 낮은 수준의 사용자 계정에 이 수준의 복잡성을 추가하고 싶지 않을 수 있습니다.
12. 강력한 암호 필요 - 낮은 수준의 사용자 계정에 이 수준의 마찰을 추가하고 싶지 않을 수 있습니다.
13. 암호 만료 – 낮은 수준의 사용자 계정에 이 수준의 마찰을 추가하고 싶지 않을 수 있습니다.
14. 손상된 비밀번호 거부 – 낮은 수준의 사용자가 사이트에서 손상된 비밀번호를 사용하도록 허용해서는 안 됩니다.

이전에 Shop Manager 가 Admin Users와 동일한 높은 수준의 보안을 가지지만 보안 설정을 관리하지 못하도록 제한하는 방법에 대해 이야기했습니다. Shop Manager만을 위한 새 사용자 그룹을 생성할 수 있으며 보안 설정 관리, 보안 대시보드 생성 또는 등급 보고서 보기 기능 외에 관리자 사용자에 대해 수행한 것과 동일한 모든 기능을 활성화할 수 있습니다. 이렇게 하면 앞에서 설명한 보안 알림을 볼 수 없게 됩니다.

4. Security Client 대시보드를 만드는 방법

WordPress 보안을 살펴보면 로그 항목은 시간이 많이 걸리고 이해하기조차 혼란스러울 수 있습니다. iThemes 보안 대시보드는 관련 목록을 모아서 귀하와 관련된 방식으로 표시하여 보안 로그에 생명을 불어넣습니다.

보안 대시보드는 또한 고객에게 사이트 보안을 위해 비용을 지불하는 이유를 보여줄 수 있는 좋은 방법입니다. 클라이언트와 공유 대시보드를 만드는 방법을 살펴보겠습니다.

대시보드를 활성화하면 WordPress 관리 메뉴의 관리 대시보드와 보안 설정에서 모두 볼 수 있습니다.

다음으로 iThemes Security 기본 대시보드를 사용하여 새 대시보드를 만들 거나 처음부터 새로 만들 수 있습니다. 게시판 이름을 입력하고 게시판 만들기 버튼을 클릭합니다.

대시보드를 원하는 대로 구성한 후 공유 버튼을 클릭할 수 있습니다.

그런 다음 공유할 사용자를 선택합니다.

5. 취약점 검사 및 패치 자동화 방법

웹사이트가 해킹되는 가장 큰 이유는 패치가 제공되었지만 적용되지 않은 취약점이라는 사실을 알고 계셨습니까? 해커에게 클라이언트의 웹사이트를 쉽게 악용할 수 있는 방법을 제공하지 마십시오. 새로운 iThemes Security Pro Site Scanner는 웹사이트에서 알려진 WordPress 코어, 플러그인 및 테마 취약점을 자동으로 검색합니다. 패치를 사용할 수 있는 경우. Site Scanner는 보안 패치를 자동으로 적용하여 취약점을 수정합니다.

보안 설정의 기본 페이지에서 Site Scanner 를 활성화하여 사이트 에서 알려진 취약점, 맬웨어 및 사이트의 Google 차단 목록 상태를 매일 두 번 검사하도록 합니다.

iThemes Security Pro에 보안 수정 사항을 자동으로 적용할 수 있는 권한을 부여하려면 버전 관리 설정에서 취약점 수정 시 자동 업데이트 옵션을 활성화해야 합니다.

6. 임시 권한 상승

모든 iThemes Security Pro에서 가장 잘 활용되지 않는 기능인 권한 상승 기능을 사용하면 단일 사용자의 권한을 일시적으로 상승시킬 수 있습니다.

새 사용자, 특히 관리 사용자를 만들 때마다 해커가 악용할 수 있는 추가 진입점을 추가하게 됩니다. 그러나 때때로 외부의 도움이 필요할 수 있습니다.

새 지원 사용자를 만들고 구독자 사용자 역할을 부여할 수 있습니다. 다음에 누군가에게 임시 액세스 권한을 제공해야 하는 경우 지원 사용자의 프로필 페이지로 이동합니다.

사용자가 새 비밀번호를 요청할 수 있도록 이메일 주소를 업데이트한 다음 임시 권한 상승 설정이 표시될 때까지 아래로 스크롤합니다. 임시 역할 설정 토글을 클릭하고 관리자 를 선택합니다. 이제 사용자는 앞으로 24시간 동안 관리자 액세스 권한을 갖게 됩니다. 24시간 전체가 필요하지 않은 경우 사용자 프로필 페이지에서 권한 상승을 취소할 수 있습니다.

마무리

클라이언트 사이트에서 보안을 구성하는 것은 어려운 일이 아닙니다. iThemes Security Pro는 적절한 사람에게 적절한 수준의 보안을 적용하고 보안을 관리하는 사람에게만 민감한 보안 정보에 대한 액세스를 제한하는 데 필요한 도구를 제공합니다.

마이클 무어

Michael은 매주 WordPress 취약점 보고서를 작성하여 사이트를 안전하게 보호합니다. iThemes의 제품 관리자로서 그는 iThemes 제품 라인업을 지속적으로 개선하는 데 도움을 줍니다. 그는 거대한 괴짜이며 기술, 오래된 및 새로운 모든 것에 대해 배우는 것을 좋아합니다. 마이클이 아내와 딸과 어울리고, 일하지 않을 때는 책을 읽거나 음악을 듣는 것을 볼 수 있습니다.