방법: 해커로부터 WordPress 로그인 보호

게시 됨: 2015-04-03

해커는 이미 전 세계를 장악했습니다.

어떤 시스템도 안전하지 않을 정도로 정보 보안에 대한 충분한 통계 데이터가 있습니다.

해커는 진화하고 있으며 온라인에는 누구나 쉽게 해커가 되도록 가르칠 수 있는 충분한 도구와 기술이 있습니다.

어떤 시스템도 완전히 안전하지 않으며 모든 것이 해킹 가능합니다. 이유는 간단합니다. 창의성에는 한계가 없으며 어떤 시스템도 인간의 마음을 가로막는 것은 어렵습니다. 그러나 언젠가는 해킹당할 것이라는 믿음 때문에 WordPress 웹사이트를 떠날 수는 없습니다.

WordPress의 가장 약한 부분은 로그인 페이지입니다. 누구나 그 한계를 알고 있으며 해커는 특히 로그인 페이지가 WordPress 대시보드에 액세스할 수 있도록 무차별 대입을 원합니다. 일단 해커가 대시보드에 도달하면 무한한 힘을 갖게 되며 웹사이트를 쉽게 혼란에 빠뜨릴 수 있습니다.

보안 플러그인의 올바른 사용, 관행 및 WordPress 플랫폼에 대한 일회성 변경은 해커에 의해 해킹당할 가능성을 낮출 수 있습니다. 이를 달성하는 데 도움이 되는 수많은 플러그인, 자습서 및 기타 항목이 있으며 오늘은 해커로부터 WordPress 로그인을 보호하는 방법을 살펴보겠습니다.

목차

1. 로그인 시도 제한 사용

BurteForce 공격은 일반적입니다. 해커는 가능한 모든 조합을 시도하고 작동하는 조합을 찾아냅니다. 그럼 어떻게 막을 수 있겠습니까? 로그인 시도 횟수를 제한하시겠습니까? 네, 맞습니다.

그리고 원하는 결과를 얻으려면 Limit Login Attempts 플러그인을 사용하는 것이 가장 좋습니다. 플러그인은 1백만 개 이상의 설치가 있으며 최신 4.1.1 빌드와 완벽하게 작동합니다.

플러그인을 사용하여 로그인 프롬프트에 대한 재시도 횟수를 제한할 수 있습니다. 위반 시 IP를 차단하고 WordPress의 로그인 페이지를 무차별 대입하려는 모든 시도를 저지합니다.

여기에서 로그인 시도 제한을 다운로드하십시오.

2. IP 주소로 WordPress 관리자 로그인 제한

관리 영역에 대한 액세스 권한이 필요한 사용자인 경우 이 코드를 도메인의 루트 문서에 있는 .htaccess 파일에 추가하여 "숨김 파일 표시"를 선택했는지 확인하십시오. cPanel 숨김 파일

3. 단일 IP 주소 액세스의 경우:

<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^<strong>123\.123\.123\.123</strong>$
RewriteRule ^(.*)$ - [R=403,L]
</IfModule>

다중 IP 액세스의 경우: 

<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^<strong>123\.123\.123\.121</strong>$
RewriteCond %{REMOTE_ADDR} !^<strong>123\.123\.123\.122</strong>$
RewriteCond %{REMOTE_ADDR} !^<strong>123\.123\.123\.123</strong>$
RewriteRule ^(.*)$ - [R=403,L]
</IfModule>

123\.123\.123\.121을 자신의 IP 주소로 바꿔야 합니다. 모르는 경우 방문: whatismyipaddress.com

4. 기본 사용자 이름을 admin에서 다른 이름으로 변경합니다.

저는 지난 6개월 동안 WordPress를 사용해 왔으며 한 가지 공통점이 있는 수백 개의 WordPress 클라이언트를 처리했습니다. 블로그의 사용자 이름은 "admin"입니다.

분명한 이유로 다른 수퍼유저를 만들고 관리자 사용자 이름을 삭제하는 것이 좋습니다. 평생 동안 만드는 모든 WordPress 웹 사이트에 대해 이 연습을 계속하십시오. 소중한 블로그를 절약할 수 있습니다.

이유는 간단합니다. 해커는 호스팅에서 WordPress 블로그와 함께 제공되는 기본 설정을 시도합니다. 그리고 비밀번호 변경의 필요성도 누를 수가 없습니다. 기본 비밀번호는 로그인 페이지의 보안을 위한 킬러이기도 합니다.

다음 항목에서 논의해 보겠습니다.

5. 창의적인 긴 비밀번호 사용

보호를 위해 비밀번호가 필요합니다. 우리 모두는 기억하고 사용하기 쉽기 때문에 짧고 달콤한 비밀번호를 좋아합니다. 그러나 비용이 따릅니다. 123456, name123, schooname123 등과 같은 취약한 비밀번호는 해커가 로그인 페이지를 무차별 대입하는 데 사용하는 경우가 많습니다. 무차별 대입 사전에는 기본적으로 이러한 모든 비밀번호가 포함되어 있으며 몇 분 안에 로그인 페이지를 쉽게 해독할 수 있습니다.

그렇다면 좋은 비밀번호란 무엇일까요?

알파벳, 특수 문자 및 숫자가 포함된 모든 영숫자 암호가 최고의 암호입니다. 그러나 사용자가 매우 간단한 암호를 만들 수도 있다는 문제가 있습니다. 예를 들어 name123#의 조합은 무차별 대입 공격을 사용하여 쉽게 해독할 수 있습니다.

비밀번호 생성 시 인적 오류를 극복하는 방법은 무엇입니까?

대답은 자동화된 암호 생성기를 사용하는 것입니다. 가장 유명한 것은 Random.org 암호 생성기입니다. 암호 생성기는 고강도 암호를 생성합니다.

6. 구글 보안문자 사용

저는 구글 보안문자를 좋아합니다. WordPress 페이지에 대한 기본 로그인 보호 기능을 제공합니다. 내 WordPress 블로그에서 로그인 제한과 Google 보안 문자를 모두 사용합니다. 하나는 잘 작동할 수 있지만 로그인 제한 플러그인보다 훨씬 나은 자동화된 무차별 대입 공격에 대한 보호를 제공하기 때문에 반대할 것입니다.

WordPress에서 수많은 Google Captcha 플러그인을 찾을 수 있지만 BestWebSoft Plugin의 Google Captcha가 최선의 선택입니다. 로그인 페이지에서 Google Captcha를 깔끔하게 구현했습니다. 또한 WordPress 블로그에서 다른 형식과 함께 플러그인을 사용할 수 있으므로 WordPress 블로그에서 Google Captcha 사용 범위를 늘릴 수 있습니다.

7. 로그인 페이지의 기본 URL 변경

나는 이미 해커가 워드프레스 웹사이트를 설치하는 동안 설정되는 기본 설정을 어떻게 악용하는지 언급했습니다. 매우 취약한 또 다른 측면은 로그인 페이지 URL입니다.

WordPress 로그인의 기본 URL 페이지는 www.websitename.com/wp-admin 입니다.

그래서, 여기에서 캐치가 무엇입니까? 가장 좋은 방법은 WordPress 웹 사이트의 로그인 웹 페이지 변경을 완료하는 것입니다. 이런 식으로 대부분의 해커는 로그인 페이지를 찾지 못한 첫 번째 인스턴스에서 떠날 것입니다.

로그인 변경 페이지는 WordPress 웹 사이트에서 작업하고 시스템에 지속적으로 로그인 및 로그아웃하는 사용자가 많은 조직에 적합합니다.

wp 관리에서 로그인 페이지의 기본 URL 변경에 대한 훌륭한 기사가 있습니다. 링크를 통해 기본 로그인 URL을 다른 것으로 변경하는 것이 좋습니다.

마무리

로그인 페이지는 모든 웹사이트에서 가장 강력한 위치(예: WordPress 대시보드)로 가는 진입점입니다. 대시보드에서(올바른 권한으로) 웹사이트의 모든 다른 측면을 쉽게 변경할 수 있습니다. 대시보드는 또한 전체 웹사이트를 정복하고 플러그인, 설정 및 콘텐츠에 대한 중요한 정보를 훔치는 데 사용될 수 있습니다.

해커로부터 웹사이트를 보호하려면 웹사이트를 정기적으로 백업하는 것이 좋습니다. 일반적으로 웹 호스팅 제공업체에서 웹사이트를 백업하지만 직접 백업을 생성하는 일반적인 규칙이 있습니다.

WordPress는 놀라운 플랫폼이지만 기본 보안 설정을 관리하지 않으면 해커가 시스템에 침입할 동기를 쉽게 줄 수 있습니다. 로그인 페이지에 보안이 되지 않는 문제를 겪었는데 로그인 내역에 항상 누군가가 로그인을 시도하는 것으로 표시됩니다. 로그인 제한 시도와 Google Captcha를 사용하여 잘못된 로그인 시도를 완전히 최소화했습니다.

이야기에 추가할 것이 있습니까? 아래에 의견을 남기고 알려주십시오.