2021년 WordPress 사용자를 보호하기 위한 7가지 팁

게시 됨: 2021-03-16

2021년에 WordPress 사용자를 보호하는 가장 좋은 방법은 강력한 암호와 이중 인증을 사용하는 것입니다. 꽤 직관적인 것 같죠? 현실은 WordPress 사용자 보안이 조금 더 미묘하다는 것입니다.

사용자 보안에 대해 이야기할 때마다 모든 WordPress 사용자가 동일한 보안 요구 사항을 가져야 하는지, 보안 수준이 너무 높은 경우와 같은 질문을 자주 듣습니다.

걱정하지 마세요. 우리는 이 모든 질문에 답합니다. 하지만 먼저 다양한 유형의 WordPress 사용자에 대해 이야기해 보겠습니다.

WordPress 사용자의 다른 유형은 무엇입니까?

5명의 다른 기본 WordPress 사용자가 있습니다.

관리자
편집자
작가
기부자
구독자

참고: WordPress 다중 사이트에는 여섯 번째 사용자가 있습니다. 최고 관리자 는 사이트 네트워크 관리 기능 및 기타 모든 기능에 대한 모든 액세스 권한을 가집니다. 네트워크에서 새 사이트를 만들고 제거할 수 있을 뿐만 아니라 네트워크의 사용자, 플러그인 및 테마를 관리할 수 있습니다.

사용자마다 기능이 다릅니다. 기능은 대시보드에 액세스한 후 수행할 수 있는 작업을 나타냅니다. WordPress 사용자 역할 및 권한에 대해 자세히 알아보세요.

다른 해킹된 WP 사용자의 잠재적인 피해

WordPress 사용자를 보호하는 방법을 이해하기 전에 먼저 각 유형의 손상된 사용자의 위협 수준을 이해해야 합니다. 공격자가 가할 수 있는 피해의 유형과 수준은 해킹한 사용자의 역할과 능력에 따라 크게 달라집니다.

관리자 – 위협 수준 높음

관리자 사용자는 원하는 모든 기능을 사용할 수 있습니다.

사용자를 생성, 제거 및 수정합니다.
플러그인 및 테마를 설치, 제거 및 편집합니다.
모든 게시물과 페이지를 생성, 제거 및 편집합니다.
게시물 및 페이지 게시 및 게시 취소.
미디어를 추가 및 제거합니다.

해커가 사이트 관리자 중 한 명을 손에 넣을 수 있다면 몸값을 위해 웹사이트를 보유할 수 있습니다. 랜섬웨어 는 해커가 웹사이트를 장악하고 막대한 비용을 지불하지 않는 한 웹사이트를 다시 공개하지 않을 때를 말합니다.

해커가 사이트 관리자 중 한 명을 손에 넣을 수 있다면 몸값을 위해 웹사이트를 보유할 수 있습니다. 랜섬웨어 는 해커가 웹사이트를 장악하고 막대한 비용을 지불하지 않는 한 웹사이트를 다시 공개하지 않을 때를 말합니다.

랜섬웨어 공격의 평균 다운타임은 9.5일입니다. 10일 동안 판매가 없으면 수익이 얼마나 듭니까?

편집자 – 위협 수준 높음

에디터 는 웹사이트의 모든 콘텐츠를 관리합니다. 이러한 사용자는 여전히 상당한 권한을 가지고 있습니다.

모든 게시물과 페이지를 생성, 삭제 및 수정합니다.
모든 게시물과 페이지를 게시 및 게시 취소합니다.
미디어 파일을 업로드합니다.
모든 링크를 관리합니다.
댓글을 관리합니다.
카테고리를 관리합니다.

공격자가 편집자의 계정을 제어한 경우 피싱 공격에 사용하도록 페이지 중 하나를 수정할 수 있습니다. 피싱 은 로그인 자격 증명 및 신용 카드 번호를 포함한 사용자 데이터를 훔치는 데 사용되는 공격 유형입니다.

피싱은 웹사이트를 Google에서 차단하는 가장 확실한 방법 중 하나입니다. 매일 10,000개의 사이트가 다양한 이유로 Google의 차단 목록에 올라갑니다.

참고: iThemes 보안 사이트 스캔은 웹사이트의 Google 차단 목록 상태를 매일 확인합니다.

작성자 – 위협 수준 중간

작성자 는 자신의 콘텐츠를 만들고 관리하도록 설계되었습니다.

자신의 게시물과 페이지를 만들고 삭제하고 편집합니다.
자신의 게시물을 게시 및 게시 취소합니다.
미디어 파일 업로드

공격자가 작성자의 계정을 제어할 수 있는 경우 사이트 방문자를 악성 웹사이트로 보내는 페이지와 게시물을 만들 수 있습니다.

기여자 및 구독자 – 위협 수준 낮음

기고자 는 작성자 사용자 역할의 라이트 버전입니다. 그들은 출판 권한이 없습니다.

자신의 게시물을 만들고 수정합니다.
자신의 게시되지 않은 게시물을 삭제합니다.

구독자 는 다른 사용자가 게시한 내용을 읽을 수 있습니다.

기여자 또는 구독자 역할을 가진 해커는 악의적인 변경을 할 수 없지만 사용자의 계정이나 프로필 페이지에 저장된 중요한 정보를 훔칠 수 있습니다.

WordPress 사용자를 보호하는 7가지 팁

좋습니다. 해커가 우리 웹사이트에 할 수 있는 꽤 불쾌한 일입니다. 좋은 소식은 WordPress 사용자 계정에 대한 대부분의 공격은 약간의 노력으로 예방할 수 있다는 것입니다.

WordPress 사용자를 보호하기 위해 할 수 있는 일을 살펴보겠습니다. 진실은 이러한 보안 방법이 모든 유형의 WordPress 사용자를 보호하는 데 도움이 된다는 것입니다. 그러나 각 방법을 진행하면서 해당 방법을 사용하기 위해 어떤 사용자가 필요한지 알려 드리겠습니다.

1. 사람들에게 필요한 기능만 제공

웹사이트를 보호하는 가장 쉬운 방법은 사용자에게 필요한 기능만 제공하고 그 이상은 제공하지 않는 것입니다. 누군가가 귀하의 웹사이트에서 자신의 블로그 게시물을 만들고 편집하는 것뿐이라면 다른 사람의 게시물을 편집할 수 있는 기능이 필요하지 않습니다.

2. 로그인 시도 제한

무차별 대입 공격은 웹 사이트를 해킹하기 위해 사용자 이름과 암호 조합을 발견하는 데 사용되는 시행착오 방법을 나타냅니다. 기본적으로 WordPress에는 누군가가 할 수 있는 로그인 시도 실패 횟수를 제한하는 기능이 내장되어 있지 않습니다.

실패한 로그인 시도 횟수에 대한 제한 없이 공격자는 성공할 때까지 끝없는 수의 사용자 이름과 암호를 계속 시도할 수 있습니다.

iThemes Security Pro 로컬 무차별 대입 방지 기능은 IP 주소와 사용자 이름으로 이루어진 잘못된 로그인 시도를 추적합니다. IP 또는 사용자 이름이 연속적으로 너무 많은 잘못된 로그인 시도를 하면 잠기고 더 이상 로그인을 시도할 수 없습니다.

3. 강력한 암호로 WordPress 사용자 보호

WordPress 사용자 계정 암호가 강할수록 추측하기가 더 어려워집니다. 7자리 암호를 해독하는 데 0.29밀리초가 걸립니다. 그러나 해커는 12자리 암호를 해독하는 데 2세기가 필요합니다!

이상적으로 강력한 암호는 12자의 영숫자 문자열입니다. 비밀번호는 대문자와 소문자, 기타 ASCII 문자를 포함해야 합니다.

모든 사람이 강력한 암호를 사용하여 이점을 얻을 수 있지만 작성자 수준 이상의 기능을 가진 사람에게만 강력한 암호를 사용하도록 강제할 수 있습니다.

iThemes Security Pro 암호 요구 사항 기능을 사용하면 특정 사용자가 강력한 암호를 사용하도록 강제할 수 있습니다.

4. 도용된 비밀번호 거부

91%의 사람들이 비밀번호를 재사용하는 것은 좋지 않은 관행이라는 것을 알고 있지만 59%의 사람들은 여전히 모든 곳에서 비밀번호를 재사용합니다! 이 사람들 중 많은 사람들이 데이터베이스 덤프에 나타난 것으로 알고 있는 암호를 여전히 사용하고 있습니다.

해커는 사전 공격이라고 하는 무차별 대입 공격을 사용합니다. 사전 공격은 데이터베이스 덤프에 나타난 일반적으로 사용되는 비밀번호로 WordPress 웹사이트에 침입하는 방법입니다. "컬렉션 #1? MEGA 호스팅에서 호스팅된 데이터 침해에는 1,160,253,228개의 고유한 이메일 주소 및 비밀번호 조합이 포함되었습니다. 그것은 b로 10억입니다. 이러한 종류의 점수는 사전 공격이 가장 일반적으로 사용되는 WordPress 비밀번호를 좁히는 데 실제로 도움이 됩니다.

작성자 수준 이상의 기능을 가진 사용자가 손상된 암호를 사용하지 못하도록 방지해야 합니다. 낮은 수준의 사용자가 손상된 암호를 사용하지 못하도록 하는 것도 고려할 수 있습니다.

새 고객 계정을 가능한 한 쉽게 만드는 것은 완전히 이해할 수 있고 권장됩니다. 그러나 고객은 사용 중인 비밀번호가 데이터 덤프에서 발견되었다는 사실을 모를 수 있습니다. 고객이 사용하는 암호가 손상되었다는 사실을 알려줌으로써 고객에게 훌륭한 서비스를 제공할 수 있습니다. 그들이 모든 곳에서 그 비밀번호를 사용한다면, 앞으로의 주요 골칫거리로부터 그들을 구할 수 있습니다.

iThemes Security Pro Refuse Compromised Passwords 기능은 사용자가 Have I Been Pwned에 의해 추적된 암호 위반에 나타나지 않은 암호를 사용하도록 합니다.

5. 이중 인증으로 WordPress 사용자 보호

이중 인증은 두 가지 별도의 인증 방법을 요구하여 개인의 신원을 확인하는 프로세스입니다. Google은 블로그에서 이중 인증을 사용하면 자동화된 봇 공격을 100% 막을 수 있다고 공유했습니다. 나는 그 확률을 정말 좋아합니다.

최소한 관리자와 편집자가 이중 인증을 사용하도록 요구해야 합니다.

iThemes Security Pro 2단계 인증 기능은 웹사이트에서 2fa를 구현할 때 엄청난 유연성을 제공합니다. 전체 또는 일부 사용자에 대해 2단계를 활성화할 수 있으며 고급 사용자가 로그인할 때마다 2fa를 사용하도록 강제할 수 있습니다.

6. WP 대시보드에 대한 장치 액세스 제한

WordPress 대시보드에 대한 액세스를 일련의 장치로 제한하면 웹사이트에 강력한 보안 계층을 추가할 수 있습니다. 해커가 사용자에게 적합한 장치를 사용하지 않으면 감염된 사용자를 사용하여 웹사이트에 피해를 줄 수 없습니다.

관리자 및 편집자에게만 장치 액세스를 제한해야 합니다.

iThemes Security Pro 신뢰할 수 있는 장치 기능은 귀하와 다른 사용자가 WordPress 사이트에 로그인하는 데 사용하는 장치를 식별합니다. 사용자가 인식할 수 없는 장치에 로그인한 경우 신뢰할 수 있는 장치는 관리자 수준 기능을 제한할 수 있습니다. 즉, 공격자가 WordPress 사이트의 백엔드에 침입할 수 있는 경우 웹사이트를 악의적으로 변경할 수 없습니다.

7. 세션 하이재킹으로부터 WordPress 사용자 보호

WordPress는 웹사이트에 로그인할 때마다 세션 쿠키를 생성합니다. 개발자가 포기하고 더 이상 보안 업데이트를 릴리스하지 않는 브라우저 확장이 있다고 가정해 보겠습니다. 유감스럽게도 방치된 브라우저 확장 프로그램에는 취약점이 있습니다. 이 취약점은 악의적인 행위자가 앞서 언급한 WordPress 세션 쿠키를 포함하여 브라우저 쿠키를 가로채도록 합니다. 이러한 유형의 해킹을 세션 하이재킹이라고 합니다. 따라서 공격자는 확장 취약점을 악용하여 로그인을 피기백하고 WordPress 사용자와 악의적인 변경을 시작할 수 있습니다.

관리자와 편집자를 위한 세션 하이재킹 방지 기능이 있어야 합니다.

iThemes Security Pro 신뢰할 수 있는 장치 기능은 세션 하이재킹을 과거의 일로 만듭니다. 세션 중에 사용자의 장치가 변경되면 iThemes Security는 사용자의 이메일 주소 변경 또는 악성 플러그인 업로드와 같은 사용자 계정의 무단 활동을 방지하기 위해 자동으로 사용자를 로그아웃합니다.

마무리

WordPress의 인기로 인해 전 세계 해커의 표적이 되었습니다. 우리가 논의한 바와 같이 공격자는 가장 낮은 수준의 WordPress 사용자를 해킹하여 피해를 줄 수 있습니다. 좋은 소식은 WordPress 사용자에 대한 공격을 방지할 수 있는 방법은 없지만 약간의 노력으로 공격이 성공하는 것을 방지할 수 있다는 것입니다.

마이클 무어

Michael은 매주 WordPress 취약점 보고서를 작성하여 사이트를 안전하게 보호합니다. iThemes의 제품 관리자로서 그는 iThemes 제품 라인업을 지속적으로 개선하는 데 도움을 줍니다. 그는 거대한 괴짜이며 기술, 오래된 및 새로운 모든 것에 대해 배우는 것을 좋아합니다. 마이클이 아내와 딸과 어울리고, 일하지 않을 때는 책을 읽거나 음악을 듣는 것을 볼 수 있습니다.