iThemes 보안 프로 기능 스포트라이트 – WordPress Tweaks

Feature Spotlight 게시물에서 iThemes Security Pro 플러그인의 기능을 강조하고 이 기능을 개발한 이유, 기능이 누구를 위한 것인지, 기능을 사용하는 방법에 대해 조금 공유할 것입니다.

오늘 우리는 WordPress 웹 사이트를 보호하기 위한 도구 모음인 WordPress Tweaks를 다룰 것입니다.

WordPress Tweak을 사용해야 하는 이유

WordPress의 가장 큰 장점 중 하나는 타사 도구 및 서비스와의 호환성입니다. 그러나 이러한 서비스를 활용하지 않으면 웹사이트에 해커가 잠재적으로 악용할 수 있는 불필요한 진입점이 있습니다.

WordPress는 또한 공격자가 무차별 대입 공격을 증폭하거나 서버에 저장된 파일을 악의적으로 변경할 수 있는 다른 편의 기능도 제공합니다.

iThemes Security Pro WordPress Tweaks 설정은 WordPress의 잠재적인 소프트 스팟 중 일부를 강화하도록 특별히 설계된 도구 세트이기 때문에 사용해야 합니다.

iThemes Security Pro에서 WordPress Tweaks를 사용하는 방법

WordPress Tweaks 사용을 시작하려면 보안 메뉴에서 고급 링크를 클릭하십시오.

일단 고급 메뉴에 있습니다. WordPress Tweaks 탭을 클릭하십시오.

WordPress 조정 설정

WordPress Tweaks는 API 액세스 및 사용자의 2개 섹션으로 나뉩니다. 이러한 설정을 자세히 살펴보겠습니다.

API 액세스

1. XML-RPC

파일 편집기 비활성화 설정은 플러그인 및 테마에 대한 WordPress 파일 편집기를 비활성화합니다. WordPress 파일 편집기를 비활성화하면 웹 사이트에 엄청난 보안이 추가됩니다.

해커가 웹 사이트에 성공적으로 침입할 수 있는 경우 WP 파일 편집기를 사용하여 서버에 저장된 파일을 악의적으로 변경할 수 있습니다. 그러나 WP 파일 편집기를 비활성화하면 해커가 플러그인 및 테마를 악의적으로 변경하려면 서버 자격 증명이 여전히 필요합니다.

WordPress의 XML-RPC 기능을 사용하면 외부 서비스가 사이트의 콘텐츠에 액세스하고 수정할 수 있습니다. 예를 들어 Jetpack은 WordPress 웹사이트에 연결하고 콘텐츠를 수정하기 위해 XML-RPC가 필요합니다.

iThemes Security Pro의 XML-RPC 설정에는 3가지 옵션이 있습니다.

• XML-RPC 비활성화 – 사이트에서 XML-RPC가 비활성화되어 있습니다. Jetpack, WordPress 모바일 앱, 핑백 및 XML-RPC를 사용하는 기타 서비스를 사용하지 않는 경우 이 설정을 적극 권장합니다.
• 안 Pingbacks이다 - 만 비활성화 핑백. 다른 XML-RPC 기능은 정상적으로 작동합니다. Jetpack 또는 WordPress Mobile 앱과 같은 기능이 필요한 경우 이 설정을 선택하십시오.
• XML-RPC 활성화 – XML-RPC가 완전히 활성화되어 정상적으로 작동합니다. 사이트에서 XML-RPC를 무제한으로 사용해야 하는 경우에만 이 설정을 사용하십시오.

XML-RPC를 사용하는 서비스를 사용하지 않는 경우 Disable XML-RPC 옵션을 사용하는 것이 좋습니다.

2. XML-RPC 요청당 여러 인증 시도

로그인 양식을 사용하는 것 외에 WordPress에 로그인하는 다른 방법이 있습니다. XML-RPC를 사용하여 공격자는 단일 HTTP 요청에서 수백 번의 사용자 이름과 암호를 시도할 수 있습니다.

무차별 대입 증폭 방법을 사용하면 공격자가 단 몇 번의 HTTP 요청으로 XML-RPC를 사용하여 수천 번의 사용자 이름과 암호를 시도할 수 있습니다.

iThemes Security Pro의 XML-RPC 요청당 다중 인증 시도 설정에는 두 가지 옵션이 있습니다.

• 차단 – 여러 로그인 시도가 포함된 XML-RPC 요청을 차단 합니다. 이 설정을 적극 권장합니다.
• 허용 – 여러 로그인 시도가 포함된 XML-RPC 요청을 허용합니다. 서비스에 필요한 경우에만 이 설정을 사용하십시오.

XML-RPC 요청 차단 옵션당 여러 인증 시도를 사용하면 XML-RPC 요청당 여러 인증 시도를 방지할 수 있습니다. 모든 요청에 ​​대해 사용자 이름과 비밀번호 시도 횟수를 제한하면 WordPress 로그인 보안에 큰 도움이 됩니다.

3. REST API

WordPress REST API는 WordPress의 일부이며 개발자에게 WordPress를 관리하는 새로운 방법을 제공합니다.

기본적으로 REST API는 다음을 포함하여 사이트에서 비공개라고 생각할 수 있는 정보에 액세스하는 데 사용할 수 있습니다.

• 제품 또는 회원 프로그램과 같이 게시물처럼 보이지 않는 게시물을 포함하여 모든 게시물 유형의 게시된 게시물 입니다.
• 게시된 게시물이나 페이지가 없는 사용자를 포함할 수 있는 사용자 세부정보 입니다.
• 어디에도 공개적으로 링크되지 않은 다운로드 미디어에 대한 링크를 노출할 수 있는 미디어 라이브러리 항목 . 여기에는 회원 전용 콘텐츠 다운로드 링크, 일부 플러그인으로 생성된 백업 또는 미디어 라이브러리에 추가된 다른 종류의 파일이 포함될 수 있습니다. (BackupBuddy 백업은 미디어 라이브러리에 저장되지 않으며 REST API를 통해 액세스할 수 없습니다.)

iThemes Security Pro의 REST API 설정에는 두 가지 옵션이 있습니다.:

• 제한된 액세스 – 대부분의 REST API 데이터에 대한 액세스를 제한합니다. 즉, 대부분의 요청에는 로그인한 사용자 또는 특정 권한이 있는 사용자가 필요하여 잠재적으로 개인 데이터에 대한 공개 요청을 차단합니다. 이 옵션을 선택하는 것이 좋습니다.
• 기본 액세스 – REST API 데이터에 대한 액세스는 기본적으로 유지됩니다. 게시된 게시물, 사용자 세부 정보 및 미디어 라이브러리 항목을 포함한 정보는 공개적으로 액세스할 수 있습니다.

개인 정보에 대한 액세스를 제한하려면 제한된 액세스 옵션을 사용하는 것이 좋습니다.

사용자

1. 파일 편집기 비활성화

파일 편집기 비활성화 설정은 플러그인 및 테마에 대한 WordPress 파일 편집기를 비활성화합니다. WordPress 파일 편집기를 비활성화하면 웹 사이트에 엄청난 보안이 추가됩니다.

해커가 웹 사이트에 성공적으로 침입할 수 있는 경우 WP 파일 편집기를 사용하여 서버에 저장된 파일을 악의적으로 변경할 수 있습니다. 그러나 WP 파일 편집기를 비활성화하면 해커가 플러그인 및 테마를 악의적으로 변경하려면 서버 자격 증명이 여전히 필요합니다.

2. 고유 닉네임 강제 적용

Force Unique Nickname 설정은 사용자가 프로필을 업데이트하거나 새 계정을 만들 때 고유한 별명을 선택하도록 합니다. 고유한 닉네임을 사용하면 봇과 공격자가 작성자 페이지의 코드에서 사용자의 로그인 사용자 이름을 쉽게 수집하는 것을 방지할 수 있습니다. 이것은 사용되는 경우 작성자 피드 URL에 영향을 미치므로 기존 사용자를 자동으로 업데이트하지 않습니다.

사용자가 고유한 닉네임을 사용하도록 강제하는 것은 은폐를 통한 보안의 또 다른 예입니다. iThemes Security Pro 암호 요구 사항 및 이중 인증 기능을 활성화하여 WordPress 로그인을 보호하는 것이 좋습니다.

3. 추가 사용자 아카이브 비활성화

iThemes Security Pro의 추가 사용자 아카이브 비활성화 설정은 귀하의 사이트에 게시하지 않는 사용자에 대한 포스트 아카이브를 비활성화하여 봇이 사용자 이름을 결정하기 어렵게 만듭니다.

게시물 수가 0인 경우 사용자의 작성자 페이지를 비활성화하는 것은 모호함을 통한 보안의 또 다른 예입니다. WordPress 로그인을 보호하려면 iThemes Security Pro 암호 요구 사항 및 이중 인증 기능을 활성화하는 것이 좋습니다.

4. 이메일 주소 또는 사용자 이름으로 로그인

기본적으로 WordPress에서는 사용자가 이메일 주소나 사용자 이름을 사용하여 로그인할 수 있습니다. 이메일 주소 또는 사용자 이름 설정을 사용하여 로그인하면 전용 이메일 주소 나 사용자 이름을 받아 로그인을 제한 할 수 있습니다.

iThemes Security Pro의 이메일 주소 또는 사용자 이름으로 로그인 설정에는 세 가지 옵션이 있습니다.

• 이메일 주소 및 사용자 이름(기본값) – 사용자가 사용자의 이메일 주소 또는 사용자 이름을 사용하여 로그인할 수 있도록 허용합니다. 이것은 기본 WordPress 동작입니다.
• 이메일 주소만 – 사용자는 사용자의 이메일 주소로만 로그인할 수 있습니다. 이렇게 하면 사용자 이름을 사용한 로그인이 비활성화됩니다.
• 사용자 이름만 – 사용자는 사용자의 사용자 이름으로만 로그인할 수 있습니다. 이렇게 하면 이메일 주소를 사용한 로그인이 비활성화됩니다.

이메일 주소로 로그인을 제한하면 무차별 대입 공격에 대한 보호 기능이 약간 추가될 수 있습니다. 봇은 작성자의 페이지에서 사용자 이름을 긁을 수 있지만 웹사이트에서 사용자 이메일 주소를 긁을 가능성은 적습니다.

그러나 다시 iThemes Security Pro 암호 요구 사항 및 2단계 인증 기능을 활성화하여 WordPress 로그인을 보호하는 것이 좋습니다.

마무리: WordPress 보안 강화를 위한 WordPress 조정

iThemes Security Pro의 WordPress Tweaks는 WordPress 웹사이트의 보안을 강화하도록 특별히 설계되었습니다. iThemes Security Pro 플러그인을 사용하면 다음과 같은 추가 보안 계층을 웹사이트에 추가할 수도 있습니다.

• 이중 인증
• 비밀번호 없는 로그인
• 파일 변경 감지
• 로컬 무차별 대입 보호

마이클 무어

Michael은 매주 WordPress 취약점 보고서를 작성하여 사이트를 안전하게 보호합니다. iThemes의 제품 관리자로서 그는 iThemes 제품 라인업을 지속적으로 개선하는 데 도움을 줍니다. 그는 거대한 괴짜이며 기술, 오래된 및 새로운 모든 것에 대해 배우는 것을 좋아합니다. 마이클이 아내와 딸과 어울리고, 일하지 않을 때는 책을 읽거나 음악을 듣는 것을 볼 수 있습니다.