iThemes Security Pro 기능 스포트라이트 – 버전 관리

게시 됨: 2021-04-13

Feature Spotlight 게시물에서 iThemes Security Pro의 기능을 강조하고 이 기능을 개발한 이유, 기능의 대상 및 기능 사용 방법에 대해 공유합니다.

오늘 우리는 WordPress 또는 테마 및 플러그인의 업데이트를 쉽게 관리할 수 있는 훌륭한 도구인 버전 관리에 대해 다룰 것입니다.

버전 관리를 개발한 이유

소프트웨어를 최신 상태로 유지하는 것은 모든 보안 전략의 필수적인 부분입니다. 업데이트는 버그 수정 및 새로운 기능만을 위한 것이 아닙니다. 업데이트에는 중요한 보안 패치도 포함될 수 있습니다. 해당 패치가 없으면 전화, 컴퓨터, 서버, 라우터 또는 웹사이트가 공격에 취약하게 됩니다.

화요일 패치

패치 화요일은 Microsoft가 매월 두 번째 화요일에 릴리스하는 일반 버그 및 보안 수정 사항을 나타내는 비공식 용어입니다. Microsoft가 이러한 안정적인 주기에 대한 보안 수정 사항을 출시한다는 것은 환상적입니다. 패치 화요일은 마이크로소프트 패치가 공개한 보안 취약점이 공개되는 날이기도 합니다.

2020년 WordPress 보안에 대한 궁극적인 가이드 eBook의 업데이트 대상 및 업데이트 자동화 방법 섹션을 확인하여 화요일 패치 업데이트를 자동으로 적용하는 방법을 알아보세요.

수요일 악용

화요일 패치 다음 수요일에는 구식 시스템과 패치되지 않은 시스템에서 이전에 알려진 취약점을 악용하는 많은 공격자를 흔히 볼 수 있습니다. 따라서 화요일 패치 이후의 수요일은 비공식적으로 Exploit Monday로 명명되었습니다.

해커가 패치된 취약점을 노리는 이유는 무엇입니까?

해커는 사람들이 업데이트하지 않는다는 것을 알고 있기 때문에 패치된 취약점을 표적으로 삼습니다(웹사이트의 플러그인 및 테마 포함). 취약점이 패치되는 날 공개적으로 공개하는 것은 업계 표준입니다. 취약점이 공개된 후 이 취약점은 소프트웨어의 오래되고 패치되지 않은 버전에 대한 "알려진 취약점"이 됩니다. 알려진 취약점이 있는 소프트웨어는 해커의 쉬운 표적이 됩니다.

해커는 쉬운 표적을 좋아하고 알려진 취약점이 있는 소프트웨어를 보유하는 것은 해커에게 단계별 지침을 전달하여 WordPress 웹사이트, 서버, 컴퓨터 또는 기타 인터넷에 연결된 장치에 침입하는 것과 같습니다.

책임 있는 공개

해커가 공격에 악용할 수 있는 취약점이 공개되는 이유가 궁금할 수 있습니다. 보안 연구원이 취약점을 찾아 소프트웨어 개발자에게 비공개로 보고하는 것은 매우 일반적입니다.

책임 있는 공개와 함께 연구원의 초기 보고서는 소프트웨어를 소유한 회사의 개발자에게 비공개로 이루어지지만 패치가 제공되면 전체 세부 정보가 게시될 것이라는 동의 하에 이루어집니다. 심각한 보안 취약점의 경우 더 많은 사람들이 패치할 시간을 주기 위해 취약점 공개가 약간 지연될 수 있습니다.

보안 연구원은 소프트웨어 개발자가 보고서에 응답하거나 패치를 제공할 기한을 지정할 수 있습니다. 이 기한이 충족되지 않으면 연구원은 취약점을 공개적으로 공개하여 개발자에게 패치를 발행하도록 압력을 가할 수 있습니다.

취약점을 공개적으로 공개하고 패치가 없고 야생에서 악용되고 있는 일종의 취약점인 Zero Day를 도입하는 것처럼 보이는 것은 역효과로 보일 수 있습니다. 그러나 연구원이 개발자에게 취약점을 패치하도록 압력을 가해야 하는 유일한 수단입니다.

해커가 취약점을 발견하면 조용히 Exploit을 사용하여 최종 사용자(본인)에게 피해를 줄 수 있지만 소프트웨어 개발자는 취약점을 패치하지 않은 상태로 두는 것에 만족합니다.

Google의 Project Zero에는 취약점 공개와 관련하여 유사한 지침이 있습니다. 그들은 취약점이 패치되었는지 여부에 관계없이 90일 후에 취약점의 전체 세부 정보를 게시합니다.

오래된 플러그인 및 테마는 #1 WP 취약점입니다.

공개된 모든 WordPress 취약점을 추적하고 WordPress 취약점 라운드업에서 추적하고 공유하고 해당 목록을 웹사이트에 설치한 플러그인 및 테마 버전과 비교하는 것은 어렵습니다. 그러나 이것이 WordPress 해커가 알려진 취약점이 있는 플러그인과 테마를 대상으로 삼는 것을 막지는 못합니다. 사이트에 알려진 취약점이 있는 소프트웨어를 설치하면 해커가 웹사이트를 인수하는 데 필요한 청사진을 얻을 수 있습니다.

iThemes Security Pro Site Scan은 웹사이트에서 알려진 WordPress, 플러그인 및 테마 취약점을 확인하고 패치가 있을 때 적용합니다.

2018년 말에 해커는 WP GDPR 규정 준수 플러그인의 익스플로잇을 적극적으로 활용했습니다. Exploit은 웹사이트에 로그인하지 않은 권한 없는 사용자가 WP 사용자 등록 설정을 수정하고 기본 새 사용자 역할을 구독자에서 관리자로 변경할 수 있도록 허용했습니다. 고맙게도 WP GDPR 준수 플러그인 개발자는 공개적으로 공개된 다음 날 신속하게 조치를 취하여 취약점에 대한 패치를 출시했습니다.

그러나 수요일 익스플로잇과 마찬가지로 해커는 패치가 출시되었음에도 불구하고 취약점을 표적으로 삼았습니다. WP GDPR 규정 준수 취약점 공개 후 며칠 및 몇 주 동안 우리는 WordPress 웹사이트가 취약점을 악용하는 공격자에 의해 해킹되었다는 보고를 받았습니다.

패치를 사용할 수 있지만 적용되지 않은 취약한 플러그인 또는 테마가 있는 것은 해킹된 WordPress 웹사이트의 가장 큰 원인입니다. 너무 답답해!!!!! 이것은 대부분의 WP 해킹을 예방할 수 있음을 의미합니다.

웹 사이트를 정리하는 데 많은 돈을 쓴 사람들, 사이트가 다운된 동안 잃은 수익, 고객의 신뢰를 잃기 위해 잃은 미래 수익을 생각하면 속상합니다. 간단한 업데이트로 그 모든 괴로움을 예방할 수 있다는 사실을 알게 되면 더욱 속상해집니다.

버전 관리를 통해 사람들이 업데이트를 더 쉽게 관리할 수 있도록 하고 알려진 취약점이 있는 소프트웨어 버전을 사용하지 못하도록 하고 싶었습니다.

버전 관리란 무엇입니까?

iThemes Security Pro의 버전 관리 기능을 사용하면 WordPress, 플러그인 및 테마를 자동으로 업데이트할 수 있습니다.

그 외에도 버전 관리에는 오래된 소프트웨어를 실행할 때 웹사이트를 강화하고 오래된 웹사이트를 검색하는 옵션도 있습니다.

WP 자동 업데이트 대 버전 관리

나는 당신이 생각하는 것을 압니다: "WordPress에 자동 업데이트 옵션이 없나요?" 예, WordPress 5.5에 자동 업데이트가 추가되어 이제 이것이 사실이 되었지만 iThemes Security Pro의 자동 업데이트 기능은 훨씬 더 강력합니다. 잠시 시간을 내어 WP와 iThemes Security Pro 자동 업데이트를 비교해 보겠습니다.

자동 업데이트를 추가하는 WordPress가 WordPress의 미래에 훌륭하다고 생각하는 것으로 시작하겠습니다. 자동 업데이트를 채택하는 WordPress 커뮤니티는 더 적은 수의 웹사이트가 해킹될 것임을 의미합니다. 해킹당하는 웹사이트가 적을수록 WordPress가 안전하지 않은 플랫폼이라는 잘못된 인식을 갖는 사람들이 줄어들 것입니다.

자동 업데이트는 또한 플러그인 및 테마 개발자가 더 나은 릴리스를 추진하도록 합니다. 고객이 자동 업데이트에 의존하고 있다는 것을 알고 있다면 초기 릴리스에서 도입된 버그를 수정하기 위해 릴리스에 일련의 후속 릴리스가 필요하지 않도록 할 것입니다. 이것은 WordPress가 다른 플랫폼에 비해 더 많은 수동 유지 관리가 필요하다는 인식을 바꾸는 데 도움이 될 것입니다.

다음은 iThemes Security Pro 버전 관리가 기본 WordPress 자동 업데이트에 비해 더 많은 유연성을 제공하는 세 가지 방법입니다.

간소화된 플러그인 및 테마 관리 – 버전 관리 설정에서 모든 플러그인 및 테마 업데이트를 관리합니다.
플러그인 및 테마 업데이트에 대한 사용자 지정 지연 기간 추가 – WordPress 자동 업데이트는 업데이트를 즉시 적용하는 옵션만 제공합니다. 업데이트 스케줄러를 사용하면 사용자 지정 지연을 만들 수 있습니다. 지연은 주요 릴리스 이후 문제를 해결하기 위해 후속 릴리스가 필요한 경향이 있는 플러그인이나 테마에 좋은 옵션이 될 수 있습니다.
알려진 취약점을 수정하는 업데이트만 적용 - 알려진 취약점을 수정하는 업데이트만 적용 합니다. 이 옵션은 모든 업데이트를 수동으로 실행하고 싶지만 보안 패치를 즉시 받으려는 경우에 적합합니다.

워드프레스 자동 업데이트

WordPress는 플러그인 및 테마 자동 업데이트에 대해 켜기 또는 끄기의 두 가지 옵션을 제공합니다. WordPress 플러그인 페이지에서 플러그인 자동 업데이트를 활성화합니다.

테마 자동 업데이트 옵션은 테마 세부 정보 페이지에 숨겨져 있습니다.

버전 관리 자동 업데이트

버전 관리 업데이트 스케줄러에는 자동 업데이트를 비활성화하거나 즉시 업데이트하거나 원하는 만큼 업데이트를 지연하는 옵션이 있습니다. 또한 버전 관리 설정에서 플러그인 및 테마 업데이트 일정을 모두 구성할 수 있습니다.

좋습니다. 설정으로 이동하여 다양한 버전 관리 옵션을 자세히 살펴보겠습니다.

ithemes Security Pro에서 버전 관리를 사용하는 방법

버전 관리를 시작하려면 보안 설정의 기본 페이지에서 모듈을 활성화하십시오.

이제 설정 구성 버튼을 클릭하여 설정 을 자세히 살펴보십시오.

WordPress 업데이트 – 최신 WordPress 릴리스를 자동으로 설치합니다.
플러그인 업데이트 – 최신 플러그인 업데이트를 자동으로 설치합니다. 이 설정을 활성화하면 충돌을 방지하기 위해 WordPress 자동 업데이트 플러그인 기능이 비활성화됩니다.
테마 업데이트 – 최신 테마 업데이트를 자동으로 설치합니다. 이 설정을 활성화하면 충돌을 방지하기 위해 WordPress 자동 업데이트 테마 기능이 비활성화됩니다.
오래된 소프트웨어 실행 시 사이트 강화 – 사용 가능한 업데이트가 한 달 동안 설치되지 않은 경우 사이트에 추가 보호 기능을 자동으로 추가합니다.
- 이중 요소가 활성화되지 않은 모든 사용자가 다시 로그인하기 전에 이메일 주소로 전송된 로그인 코드를 제공하도록 합니다.
- 사람들이 플러그인 또는 테마 코드를 편집하지 못하도록 차단하는 WP 파일 편집기를 비활성화합니다.
- XML-RPC 핑백을 비활성화하고 XML-RPC 요청당 여러 인증 시도를 차단합니다(둘 모두 완전히 끄지 않고도 공격에 대해 XML-RPC를 더 강력하게 만듭니다).

오래된 WordPress 사이트 검색 – 공격자가 서버를 손상시킬 수 있는 오래된 WordPress 사이트에 대한 호스팅 계정의 일일 검색을 실행합니다. 취약점이 있는 오래된 WordPress 사이트 하나는 공격자가 동일한 호스팅 계정의 다른 모든 사이트를 손상시킬 수 있습니다.
취약점 수정 시 자동 업데이트 – 이 옵션은 iThemes Security Pro 사이트 스캔과 함께 작동하여 웹사이트에서 알려진 WordPress, 플러그인 및 테마 취약점을 확인하고 패치가 있을 때 적용합니다.

플러그인 및 테마 업데이트

이제 플러그인 및 테마 업데이트 구성에 대해 자세히 살펴보겠습니다. 시작하기 전에 플러그인 및 테마 업데이트 설정을 활성화하면 충돌을 방지하기 위해 WordPress 자동 업데이트 기능이 비활성화된다는 점을 빠르게 알려드리고 싶습니다.

플러그인 및 테마 업데이트 설정에는 세 가지 선택 사항이 있습니다.

공백/없음 – 설정을 공백으로 두면 WordPress에서 플러그인 및 테마 업데이트를 관리할 수 있습니다.
사용자 지정 – 사용자 지정 옵션을 사용하면 업데이트를 원하는 대로 정확하게 사용자 지정할 수 있습니다. 우리는 이것을 조금 더 다룰 것입니다.
모두 – 모두는 업데이트가 제공되는 즉시 모든 플러그인 또는 테마를 업데이트합니다.

이제 사용자 지정 옵션을 자세히 살펴보겠습니다.

사용자 지정 옵션을 선택하면 플러그인 및 테마 업데이트에 대해 세 가지 선택 사항이 제공됩니다.

활성화 – 새 릴리스 직후 업데이트할 플러그인을 선택합니다.
비활성화 – 수동으로 업데이트하려는 플러그인에 이 옵션을 사용합니다.
지연 – 지연 옵션을 사용하면 릴리스 업데이트를 지연할 일 수를 설정할 수 있습니다. 이는 주요 릴리스 이후 문제를 해결하기 위해 일부 후속 릴리스가 필요한 경향이 있는 개발자에게 좋은 옵션이 될 수 있습니다.

보시다시피 사용자 지정 자동 업데이트 설정은 WordPress의 자동 업데이트 켜기/끄기 옵션보다 훨씬 더 많은 유연성을 제공합니다.

마무리

패치를 사용할 수 있지만 적용되지 않은 취약한 플러그인 또는 테마가 있는 것은 해킹된 WordPress 웹사이트의 가장 큰 원인입니다. 즉, 업데이트만으로 대부분의 WordPress 해킹을 예방할 수 있습니다.

iThemes Security Pro 버전 관리 기능을 사용하면 일정에 따라 자동 업데이트를 관리할 수 있습니다. iThemes Security Pro는 모든 새 업데이트가 릴리스되는 즉시 설치할 것인지 아니면 업데이트가 취약점을 수정하는 경우에만 설치할 것인지를 다룹니다.

마이클 무어

Michael은 매주 WordPress 취약점 보고서를 작성하여 사이트를 안전하게 보호합니다. iThemes의 제품 관리자로서 그는 iThemes 제품 라인업을 지속적으로 개선하는 데 도움을 줍니다. 그는 거대한 괴짜이며 기술, 오래된 및 새로운 모든 것에 대해 배우는 것을 좋아합니다. 마이클이 아내와 딸과 어울리고, 일하지 않을 때는 책을 읽거나 음악을 듣는 것을 볼 수 있습니다.