WordPress 사이트를 보호하는 방법, WordPress 사이트 보안을 위한 단계별 가이드

사람들은 무료 및 오픈 소스가 덜 안전하다는 잘못된 오해를 하는 경향이 있습니다. 그러나 진실은 WordPress 뒤에 있는 것과 같은 오픈 소스 커뮤니티가 매우 크며 모든 최신 보안 관행 및 품질 검사에 대해 WordPress를 최신 상태로 유지해야 한다는 것입니다. 모범 사례를 따르고 필요한 예방 조치를 취하기만 하면 됩니다. 웹 사이트를 보호하려면 WordPress 사이트를 보호하는 방법에 대한 명확한 지식이 있어야 합니다.

WordPress 사이트를 보호하는 방법에 대한 단계별 가이드부터 시작하여 안전한 웹 사이트를 보장하기 위한 추가 팁을 읽을 수 있습니다.

WordPress 사이트를 보호하는 방법에 대한 가이드

WordPress 사이트를 보호하는 노하우를 배우기 전에 먼저 필요한 이유를 이해하십시오. 모든 웹 사이트 관련 활동과 마찬가지로 보안에는 시간, 노력 및 리소스가 필요합니다. 이를 진지하게 받아들이고 필요한 리소스를 할당하는 것은 완전히 보람 있는 일입니다. 그렇게 하지 않으면 브랜드 평판과 비즈니스 성장에 여러 가지 손상을 입힐 수 있기 때문입니다.

보고서에 따르면 WordPress 설치의 70% 이상이 Alexa 순위의 상위 100만 개에 나열된 40,000개 이상의 WordPress 웹 사이트 중 공격을 받기 쉽습니다.

공격을 받고 있는 웹 사이트는 비즈니스 거래를 놓치고, 개인 정보를 손실하고, 컴퓨터 시간을 낭비하고 막대한 재정적 손실을 초래할 수 있습니다. 많은 기업이 해커로부터 데이터를 되찾기 위해 비용을 지불해야 하는 최근의 랜섬웨어 공격을 생각해 보십시오.

이것이 보안 조치의 주요 목표가 대응보다 예방이 되어야 하는 이유입니다. 맬웨어와 사이버 공격이 여러분을 악용할 여지를 남기지 않도록 올바른 도구와 관행을 사용해야 합니다.

1단계: WordPress를 최신 상태로 유지하세요.

WordPress는 발견된 취약점을 해결하기 위해 보안 패치와 솔루션을 계속 제공하는 성장하는 개발 커뮤니티의 지원을 받습니다. WordPress를 정기적으로 업데이트하면 이러한 업데이트를 유지할 수 있습니다.

대부분의 사소한 업데이트의 경우 자동 업데이트를 활성화하도록 WordPress 설정을 지정할 수 있습니다. 새 릴리스가 출시되는 즉시 WordPress 버전을 최신 릴리스로 업데이트하십시오.

최신 릴리스는 업데이트된 보안만 제공하는 것이 아닙니다. 또한 최신 기능과 기존 기능에 대한 개선 사항을 제공합니다. WordPress 업데이트는 사이트의 원활한 운영에 필수적이며 사이트의 보안과 안정성에 매우 중요합니다.

전문가 팁: WordPress 5.5가 출시되었습니다. 지금 웹사이트를 최신 버전으로 업데이트하세요.

2단계: 플러그인 및 테마 업데이트

핵심 WordPress 외에도 정기적으로 사용하는 모든 플러그인과 테마를 업데이트해야 합니다.

여러 타사 플러그인 및 테마를 사용 중일 수 있으며 그 중 일부는 유지 관리가 부실할 수 있습니다. 이러한 플러그인을 정기적인 업데이트 및 보안 기능을 보장하는 더 나은 대안으로 교체하십시오. 오래된 플러그인에는 사용자가 알지 못하는 취약점이 있을 수 있습니다. 사이트에서 현재 사용하지 않는 플러그인을 실행 중인 경우 비활성화하십시오.

사용 가능한 모든 플러그인에 대해 월간 감사를 수행하고 필요한 플러그인만 유지하도록 선택합니다.

3단계: 강력한 암호 사용

정지 계정, WordPress 관리자 계정, FTP 계정, 데이터베이스 계정 등과 같은 여러 사용자 계정이 WordPress 사이트를 실행할 때 처리해야 합니다. 이러한 각 계정에는 승인된 사용을 보호하기 위해 이메일 ID와 강력한 암호가 필요합니다.

따라서 이 목적에 맞는 맞춤형 이메일 주소를 선택하고 강력한 암호를 사용하십시오. 모든 비밀번호를 기억하기 어려울 수 있지만 안전을 위해 필요한 조치입니다. 암호 관리자를 사용하여 모든 암호를 관리할 수 있습니다.

4단계: 적절한 액세스 수준 설정

WordPress 사이트를 팀으로 운영하거나 사이트에 다양한 게스트 작성자가 작성하는 경우 각 사용자에게 적절한 사용자 역할과 기능을 할당해야 합니다.

WordPress에서 사용할 수 있는 역할을 이해하고 할당된 역할에 대해서만 사용자 계정을 만듭니다.

5단계: 안전한 호스팅 플랫폼 선택

이것은 아마도 WordPress 보안의 가장 중요한 부분일 것입니다. 좋은 호스팅 파트너는 데이터 유출 및 사이버 공격을 피하기 위해 적절한 보안 조치를 제공할 수 있어야 합니다. 다음은 하나를 선택할 때 확인해야 하는 좋은 호스팅 플랫폼의 몇 가지 특성입니다.

• 의심스러운 활동을 감지하는 지속적인 네트워크 모니터링 기능.
• DDOS 공격을 차단하는 도구
• 정전 또는 지속적인 사이버 공격에 대비하여 백업 서버를 제공합니다.
• 알려진 취약점을 패치하기 위한 최신 하드웨어 및 소프트웨어
• 사고나 사고가 발생한 경우 데이터를 보호하기 위한 적절한 재해 복구 및 비상 계획.

공유 호스팅 계획은 다른 고객과 서버 리소스를 공유하므로 전용 호스팅 서버보다 위험합니다. 이로 인해 인접 사이트가 사이트를 해킹하는 데 사용될 수 있는 사이트 간 오염에 취약한 상태가 될 수 있습니다.

염두에 두어야 할 사항은 Sitelock과 같은 기본 서버 보호 유료 보안 애드온 외에도 제공하는 일부 웹 호스팅 제공업체가 있다는 것입니다.

전반적으로 더 나은 보안을 위해 관리형 WordPress 호스팅 계획을 선택하십시오.

6단계. 백업 솔루션 준비

공격이나 대형 사고가 발생한 경우 도움이 되도록 항상 업데이트된 백업을 유지하십시오. 백업을 통해 WordPress 사이트를 더 빠르게 복원하고 적절한 상태로 롤백할 수 있습니다. 백업을 수행하고 원격 위치에 안전하게 저장할 수 있는 WordPress 플러그인의 무료 및 유료 버전이 많이 있습니다.

원격 위치에 저장하는 것이 호스팅 계정에서 백업하는 것보다 훨씬 안전합니다. Amazon 및 Dropbox와 같은 모든 클라우드 스토리지 서비스를 사용할 수 있습니다.

하루에 한 번 사이트를 백업하고 자동으로 백업하도록 설정합니다. 업데이트 빈도에 따라 백업 빈도를 늘리거나 줄일 수 있습니다.

7단계. WordPress 보안 플러그인 사용

사이트 활동을 감사하고 모니터링하는 데 도움이 되는 우수한 보안 플러그인을 설치하세요. 보안 플러그인을 사용하면 사이트에서 타사 채널과의 모든 상호 작용을 추적하고 의심스러운 활동이나 사이트 해킹 시도를 감지할 수도 있습니다.

예를 들어 로그인 시도 실패 및 봇 공격과 같은 활동을 보안 플러그인을 사용하여 적시에 모니터링하고 차단할 수 있습니다. 또한 보안 플러그인을 사용하여 맬웨어 검사, 파일 무결성 검사 및 기타 보안 관련 작업을 수행할 수 있습니다. 귀하의 필요에 가장 잘 맞는 보안 플러그인을 조사하고 사용을 시작하십시오.

전문가 팁: 사용할 수 있는 보안 플러그인 중 일부는 Sucuri, Wordfence Security, Defender 및 VaultPress입니다.

8단계. 웹 애플리케이션 방화벽 활성화

방화벽은 악성 트래픽이 사이트에 액세스하는 것을 차단하는 방어 시스템을 제공하는 데 도움이 됩니다. 사용해야 하는 두 가지 수준의 방화벽이 있습니다.

• DNS 수준 웹사이트 방화벽

이 방화벽은 클라우드 프록시 서버를 통해 웹 요청을 라우팅하고 합법적인 트래픽만 사이트에 도달하도록 허용합니다.

• 애플리케이션 수준 방화벽

이 방화벽은 서버 측에서 요청을 검사하고 실제 요청으로 판명된 경우에만 스크립트가 실행되도록 합니다. 그러나 이러한 유형의 방화벽은 서버 부하를 증가시킬 수 있습니다.

9단계. https로 전환

Https 사이트는 암호화 기반 보안 연결만 허용하므로 일반 HTTP 사이트보다 훨씬 더 안전합니다. SSL 소켓 레이어는 웹사이트와 브라우저 간의 모든 데이터 전송을 암호화하여 해커가 웹사이트에 액세스하는 것을 어렵게 만듭니다.

민간 기관에서 발급한 SSL 인증서 가격은 연간 $80부터 시작합니다. Let's Encrypt 프로그램에서 제공되는 무료 인증서를 선택할 수도 있습니다.

WordPress 사이트를 보호하는 방법에 대한 팁

위에서 논의한 것은 매우 기본적인 사항이므로 보안을 위해 주의해야 합니다. 다음은 보안이 철저한 웹사이트를 만들기 위한 몇 가지 추가 제안 및 팁입니다.

사용자 정의 사용자 ID를 사용하십시오.

더 개인적이고 해커가 추측하기 어려운 것을 위해 일반적인 사용자 이름 admin을 버리십시오. 고맙게도 WordPress에서는 이제 계정에 대한 사용자 지정 사용자 이름에서 선택해야 합니다. 그러나 원 클릭 설치를 수행할 때 기본 사용자 이름은 admin으로 설정되므로 적절한 사용자 지정 사용자 이름을 수동으로 설정하려면 WordPress를 설치해야 합니다. 이미 admin을 사용자 이름으로 설정한 경우 새 admin 사용자 이름을 만들고 이전 사용자 이름을 삭제합니다. 이 작업에 플러그인 또는 phpMyAdmin 페이지를 사용할 수 있습니다.

파일 편집 비활성화

WordPress에 내장된 코드 편집기를 비활성화하려면 wp-config.php 파일을 변경해야 합니다. 'DISALLOW_FILE_EDIT'를 true로 설정합니다. 이 기능은 보안 플러그인을 통해 WordPress 계정을 강화하여 활성화할 수도 있습니다.

특정 디렉토리에서 스크립트를 실행할 필요가 없는 경우 해당 디렉토리에서 비활성화하는 것이 안전합니다. 예를 들어 htaccess 파일에 관련 항목을 추가하여 PHP 파일 실행을 비활성화할 수 있습니다.

로그인 시도 제한

이는 계정에서 실패한 로그인 시도를 모니터링하고 일정 기간 동안 차단할 수 있는 보안 플러그인을 사용하여 설정할 수 있습니다. 이는 무차별 대입 공격을 방지하는 데 도움이 됩니다.

이중 인증을 사용하여 로그인을 더 강력하게 만드십시오. 2단계 인증은 비밀번호 외에 1회성 확인 메시지나 비밀번호가 사용자의 모바일 또는 이메일 주소로 전송되는 2단계 로그인 프로세스가 필요합니다. 로그인 페이지의 보안에 대해서도 생각해야 합니다. WordPress 로그인 URL은 가장 취약한 위치 중 하나입니다.

또한 인증자 응용 프로그램을 사용하여 모든 로그인 시도에 대해 강력한 보호 계층을 제공할 수 있습니다.

데이터베이스 명명 규칙을 사용자 정의합니다.

기본적으로 WordPress의 데이터베이스 테이블은 wp_ 접두사로 시작하므로 해커가 테이블 이름을 추측할 수 있습니다. 이러한 접두사를 추가 보호 기능을 제공하는 보다 맞춤화된 이름으로 변경해 보십시오.

DOS 공격 시도를 억제하기 위해 서버 측 수준에서 추가 암호 보호를 추가합니다.

디렉토리 인덱싱 및 탐색을 비활성화합니다.

해커가 디렉터리와 파일을 검색할 수 있으면 취약점을 식별하고 이를 이용하려고 할 수 있습니다. 이 설정은 htaccess 파일을 수정하여 수행할 수 있습니다.

XML-RPC를 비활성화합니다. XML RPC는 요청 처리를 최적화하는 방법으로 WordPress 3.5에서 추가되었습니다. 그러나 이것은 해커의 무차별 대입 공격을 용이하게 하는 백도어 역할을 할 수 있습니다. 따라서 사이트에서 XML-RPC를 사용하지 않는 경우 htaccess 파일을 수정하거나 방화벽을 사용하여 XML-RPC를 비활성화해야 합니다.

유휴 시간이 지나면 유휴 사용자를 로그아웃합니다.

비활성 로그아웃 플러그인을 사용하여 비활성 사용자를 자동으로 로그아웃할 수 있습니다.

인증 수준을 추가하려면 로그인 화면에 보안 질문을 추가하세요.

스캔 실행

맬웨어 검사를 정기적으로 실행하고 맬웨어 또는 정크 파일이 발견되면 정리하십시오. 해킹된 웹사이트를 수정하는 것은 까다로운 일입니다. 보안 전문가나 노련한 웹마스터를 고용하여 처리하는 것이 좋습니다. 혼자 하실거면 잘 알아보고 중요한 파일은 백업하시고 사이트 수정을 시작하세요.

여러 계층의 보안을 갖춘 좋은 호스팅 회사를 선택하십시오.

민감한 고객 데이터가 포함된 웹사이트를 운영하는 경우 데이터를 안전하게 유지하기 위해 투자해야 합니다. 따라서 보안 조치가 부족한 저렴한 호스팅 계획을 선택하려는 유혹에 빠지지 마십시오. 호스팅 플랫폼을 선택할 때 보안을 최우선으로 고려하십시오.

검증된 소스에서 테마와 플러그인을 가져옵니다. 무료 테마 및 플러그인이 매력적으로 들릴 수 있지만 적절한 유지 관리 및 지원 없이는 이러한 오래된 플러그인 또는 테마에 사이트 보안을 손상시킬 수 있는 취약한 코드 블록이 포함될 수 있습니다.

또한 htaccess 및 wp-config와 같은 WordPress 핵심 파일을 숨깁니다.

마무리

모든 소프트웨어 보안의 핵심 원칙을 기억하십시오. 액세스를 제한하고 적절한 인증 수준을 설정하십시오. 또한 데이터베이스의 중요한 구성 요소를 포함하고 보호합니다. 시스템을 정기적으로 업데이트하고 안전한 원격 위치에 백업을 유지해야 합니다. 그리고 항상 신뢰할 수 있는 출처의 플러그인과 테마만 사용하십시오.

강력한 암호를 사용하고, 암호를 공유하지 않으며, 사용자 권한을 제한하고, 사이트 활동을 정기적으로 모니터링하십시오. 사이트 보안을 모니터링하고 사전 조치를 취하는 데 도움이 되는 보안 도구를 사용하십시오.

마지막으로 보안 문제를 보고하고 추가 조사를 위해 기술 지원에 도움을 요청하는 것을 잊지 마십시오. 보안 문제를 해결하기 위해 주저하지 말고 전문가를 고용하십시오.

네, 여기까지입니다. WordPress 사이트를 보호하는 방법을 이해하시기 바랍니다.