WodPress 호스팅 제공업체를 선택할 때 어떤 보안 요소를 고려해야 합니까?

게시 됨: 2021-12-03

전반적으로 WordPress의 인기가 높아짐에 따라 다양한 WordPress 웹 사이트 호스팅 회사에 영향을 미치는 보안 사고가 점점 더 많아지고 있습니다.

GoDaddy는 최근 WordPress 호스팅 환경에서 보안 침해 가 발생했기 때문에 가장 최근의 예입니다. 지난 주에 Managed WordPress 호스팅 환경에 대한 무단 제3자가 액세스하여 최대 120만 명의 활성 및 비활성 고객의 데이터에 영향을 미쳤다고 발표했습니다.

GoDaddy의 WordPress 보안 위반

CISO(최고 정보 보안 책임자)인 Demetrius Comes는 11월 22일 SEC(증권 거래 위원회)에 제출한 문서에서 11월 17일 GoDaddy의 관리형 WordPress 서버에 대한 무단 액세스를 발견했다고 발표했습니다. 그들은 사건이 2021년 9월 6일에 시작되었으며 120만 명의 활성 및 비활성 Managed WordPress 고객의 데이터를 노출했다고 판단했습니다. 그들은 Managed WordPress 호스팅 환경에서 의심스러운 활동을 식별하고 IT 포렌식 회사의 도움을 받아 즉시 조사를 시작하고 법무 당국에 연락했습니다. 손상된 암호는 공격자가 시스템에 액세스할 수 있도록 허용했습니다.

발표 내용은 다음과 같습니다.

  • 최대 120만 명의 활성 및 비활성 Managed WordPress 고객에게 이메일 주소와 고객 번호가 노출되었습니다. 이메일 주소가 노출되면 피싱 공격의 위험이 있습니다.
  • 프로비저닝 시 설정된 원래 WordPress 관리자 비밀번호가 노출되었습니다. 해당 자격 증명이 여전히 사용 중인 경우 해당 암호를 재설정합니다.
  • 활성 고객의 경우 sFTP 및 데이터베이스 사용자 이름과 암호가 노출되었습니다. 두 암호를 모두 재설정합니다.
  • 활성 고객의 하위 집합에 대해 SSL 개인 키가 노출되었습니다. 그들은 해당 고객을 위해 새 인증서를 발급 및 설치하는 중입니다.

끝으로 컴즈는 “이번 일로 인해 고객 여러분께 심려를 끼쳐드려 진심으로 죄송합니다. GoDaddy 경영진과 직원은 고객의 데이터를 매우 중요하게 보호할 책임이 있으며 고객을 실망시키고 싶지 않습니다. 우리는 이 사건에서 배울 것이며 이미 추가 보호 계층으로 프로비저닝 시스템을 강화하기 위한 조치를 취하고 있습니다.”

상상할 수 있듯이 인터넷에는 침해를 보고하는 데 5일이 걸렸을 뿐만 아니라 9월 6일에 발생한 것으로 추정되는 해당 공격을 탐지하는 데 2개월 이상이 걸렸다는 이유로 GoDaddy를 비판하는 메시지가 많이 있습니다. 또한 영향을 받는 고객인 경우 기술적으로나 법적으로 취해야 하는 조치에 대한 추가 정보를 찾을 수 있습니다. 이것이 GoDaddy와 영향을 받았을 수 있는 모든 고객에게 얼마나 큰 혼란인지 생각하고 싶지도 않습니다!

호스팅 회사 선택 시 보안의 중요성

WordPress 호스팅을 선택하기 위한 주요 요구 사항에 대해 이야기할 때 전체 요소 집합을 살펴봅니다. 다른 버전의 PHP와의 호환성, WordPress 설치를 쉽게 관리할 수 있는 기능 및 도구, 페이지의 빠른 로딩 속도, 효율적인 지원 서비스, ​​그리고 물론 합리적인 비용.

그러나 스스로를 속이지 말자. 우리는 종종 보안 측면을 최우선 순위의 최하위로 떨어뜨립니다. 왜요? 첫째, 호스팅 제공업체의 보안은 우리가 당연하게 여기는 것이기 때문입니다. 그러나 이것은 터무니없는 것입니다. 왜냐하면 우리가 확실히 알고 있는 것이 있다면 100% 안전한 컴퓨터 시스템은 없다는 것입니다. 둘째, 보안은 쉽고 빠르게 평가하기 어렵다. 보안 침해가 발생했을 때만 가능한 취약점을 알게 됩니다.

웹사이트의 보안은 건강과 비슷합니다. 당신이 괜찮다면, 당신은 그것에 대해별로 생각하지 않습니다. 그러나 당신이 몸이 좋지 않은 날, 세상이 당신을 덮쳐옵니다. 종종 질병에 걸리는 것은 피할 수 없지만 예방과 조기 발견으로 많은 슬픔을 줄일 수 있습니다. 보안도 마찬가지입니다. 웹사이트가 해킹당하면 사업이 망할 뿐만 아니라 적절한 보안 조치를 취하지 않아 법적 문제가 발생할 수 있습니다.

보안 침해를 방지하려는 경우 호스팅 공급자에게 무엇을 기대해야 합니까?

소프트웨어 보안

우리 모두를 지루하게 만드는 것은 컴퓨터에서 사용하는 소프트웨어를 업데이트해야 한다는 것입니다. 그러나 대부분의 업데이트는 알려진 취약점으로부터 정확히 보호하기 위한 것이므로 수행하는 것이 매우 중요합니다!

따라서 호스팅 회사와 함께 WordPress 웹 사이트를 호스팅할 때 WordPress 에서 권장하는 호환성 요구 사항과 최신 소프트웨어 업데이트를 충족하는지 확인하십시오. 공식 워드프레스 웹사이트를 살펴보고 그들을 알아보세요. 이 게시물을 작성할 당시 권장되는 요구 사항은 다음과 같습니다.

  • PHP 7.4 이상.
  • MySQL 5.6 이상 또는 MariaDB 10.1 이상.
  • HTTPS

내 권장 사항: 이러한 요구 사항을 충족하지 않는 호스팅 회사는 고려조차 하지 마십시오.

SSL 가용성 및 지원

하이퍼텍스트 전송 프로토콜( Hyper Text Transfer Protocol 또는 HTTP )은 네트워크를 구성하는 서로 다른 컴퓨터 사이에서 발생하는 트랜잭션의 구문과 의미를 정의하고 표준화하기 위해 설계된 네트워크 시스템에서 사용되는 프로토콜입니다. . 즉, 웹 서버가 Google Chrome이나 Mozilla Firefox와 같은 웹 브라우저와 통신하는 방식을 설명합니다.

HTTPS는 SSL(Secure Sockets Layer)을 통한 HTTP 사용 또는 TLS(전송 계층 보안)와의 연결을 의미하며 모든 HTTP 메시지를 암호화하여 전송을 안전하게 보호합니다. 사용자가 웹 서버에 정보를 제출할 때 SSL은 기본적으로 전체 보호 계층 세트를 제공합니다.

  • 암호화 : 공격자가 해당 정보를 가로챌 수 있다면 암호 해독 방법을 모르기 때문에 쓸모가 없습니다.
  • 데이터 무결성 : 공격자는 보낸 메시지의 내용을 "수정"할 수 없습니다.
  • 인증 : 사용자가 다른 사람과 대화 중이라고 믿을 때 제3자에게 정보를 제공하는 피싱 또는 메시지 가로채기(man-in-the-middle) 공격을 방지합니다.

예를 들어 이러한 방식으로 웹사이트에서 이루어진 구매 데이터를 범죄자가 읽거나 수정할 수 없도록 합니다.

웹사이트에서 SSL을 사용하는 경우 대부분의 브라우저는 https:// 로 시작하는 웹 URL과 주소 표시줄 근처 ​​또는 주소 표시줄 어딘가에 자물쇠 아이콘을 표시하여 방문자에게 현재 웹사이트의 안전성에 대한 시각적 단서를 제공합니다.

브라우저에 표시되는 Nelio의 URL 이미지
브라우저에 표시되는 Nelio의 URL 이미지.

호스팅 서비스 제공업체를 찾을 때 SSL을 지원하는지 확인하고 설정이 쉬운지 확인하십시오.

백업 및 복원

WordPress에서 맬웨어 공격을 받은 경우 감염된 코드가 없는 이전 백업을 복원해야 할 가능성이 매우 큽니다. 이러한 이유로 호스팅 제공업체 가 WordPress 웹사이트의 정기적 및 자동 백업을 수행 하는지 확인하십시오.

다음 사항을 알고 있는지 확인하십시오.

  • 백업 빈도,
  • 액세스할 수 있는 사이트 백업 수,
  • 직접 모든 것을 쉽게 복원할 수 있는지, 아니면 복원을 요청하고 서비스 비용을 지불해야 하는지,
  • 파일, 폴더, 이메일 계정 또는 데이터베이스의 부분 복원을 수행할 수 있는지 여부,
  • 복원 내역에 액세스할 수 있는지 여부.

DDoS 공격에 대한 보호

DDoS(분산 서비스 거부) 공격은 서버 과부하 및 충돌이 발생할 때까지 "톤"의 요청을 트리거하여 웹 서버를 중단시키려는 공격 유형입니다.

DDoS 공격 그림
DDoS 공격 예시(출처: Anti DDoS)

이를 방지하기 위해 SiteGround 및 Bluehost와 같은 일부 호스팅 제공업체는 Cloudflare와 같은 CDN(콘텐츠 전송 네트워크)과 협력합니다. CDN은 더 쉽게 데이터를 제공하고 DDoS와 같은 리소스 집약적인 공격을 흡수할 수 있도록 글로벌 서버 네트워크를 운영합니다. 이는 호스팅 회사가 추가 인프라에 막대한 투자를 하지 않고도 자체 서버의 부하를 줄이는 데 도움이 됩니다. 호스팅 회사가 CDN을 사용하는지 확인하는 것이 좋습니다.

또한 다음과 같이 이러한 유형의 공격에 대비한 프로토콜이 있는지 확인하십시오.

  • 플러드 트래픽을 필터링하는 방화벽 하드웨어,
  • 복잡한 기능과 트래픽 모니터링을 갖춘 iptables 기반 방화벽 소프트웨어,
  • 원격으로 설정할 수 있는 연결 수를 제한합니다.
  • 호스트에서 실패한 연결 시도 횟수를 확인하고 필터링을 수행합니다.

맬웨어 검사

GoDaddy의 경우에서 보았듯이 맬웨어는 서버에 영향을 줄 수 있는 악성 소프트웨어입니다. 특정 데이터 도난과 같은 경미한 감염을 일으키거나 전체 데이터베이스를 지울 수 있습니다.

호스팅 공급자가 이러한 유형의 공격을 제어하고 확인하는 방법을 아는 것이 중요합니다. 얼마나 자주 스캔을 수행합니까? 감염 시 차단할 수 있는 계정 격리 시스템이 있습니까?

가용성 및 가동 시간

정보 보안의 세 가지 기둥은 CIA의 3요소(기밀성, 무결성 및 가용성)로 알려져 있습니다. 웹 사이트의 가용성 및 가동 시간(웹 사이트가 활성화되고 사용 가능한 시간의 비율)은 모든 웹 사이트에서 매우 중요합니다.

호스팅 회사는 이러한 가용성을 보장할 수 있는 여러 가지 방법이 있습니다. 예를 들어, 일부는 RAID 기술, 하드웨어 이중화, 네트워크 이중화 및 대체 미러 위치를 사용합니다. 호스팅 제공업체가 이용 약관의 서비스 수준 계약(SLA)에서 최소 가용성을 보장하는지 확인하십시오. 예를 들어 Siteground의 경우 다음을 보장합니다.

5.2. 우리는 연간 기준으로 99.9%의 네트워크 가동 시간을 보장합니다. 보장된 네트워크 가동 시간 미만으로 떨어지면 다음과 같이 보상합니다 .

  • 99.9% – 99.00% 가동 시간: 1개월 무료 호스팅
  • 가동 시간의 1%가 99.00% 미만으로 손실될 때마다 1개월의 무료 호스팅이 추가로 제공됩니다 .

SLA는 호스팅 제공업체의 인프라 투자와 서비스 보장을 위한 약속을 나타내는 또 다른 지표입니다.

결론

보안은 이미 언급했듯이 건강과 같습니다. 절대적인 통제를 보장할 수는 없지만 감수하는 위험은 적을수록 좋습니다. 사이트를 보호하고 보안을 유지하면 바람직하지 않은 중대한 결과를 예방할 수 있습니다. 그리고 그 보호는 WordPress 웹 사이트에 적합한 호스팅 제공업체를 선택하는 것으로 시작됩니다.

Unsplash의 Liam Tucker 특집 이미지.