SQL 주입: WordPress 사용자를 위한 가이드

게시 됨: 2021-05-26

웹 사이트의 보안에 대해 진지한 생각을 갖고 있다면 SQL 주입의 위험과 이를 방지할 수 있는 방법에 대해 알아볼 때입니다.

SQL 주입(SQLi라고도 함)이라는 용어는 해커가 콘텐츠 관리 시스템으로 WordPress를 실행하는 사이트를 포함하여 모든 종류의 웹 사이트를 손상시키는 일반적인 방법인 사이버 공격 기술 유형을 나타냅니다.

이 가이드에서는 SQL 인젝션 공격이 어떻게 보이는지, 공격을 피하기 위해 취해야 하는 정확한 단계에 대해 자세히 설명합니다. 한 번 보자. 이러한 공격이 작동하는 방식, 방어해야 하는 중요한 이유 및 이러한 취약점의 실제 예에 대해 모두 배우게 됩니다. 뛰어들자!

이 가이드에서

    소개: SQL 이해

    S는 Q의 uery의 L의 anguage, 또는 (단어 "속편"와 같은 발음) "SQL"관계형 데이터베이스 관리 시스템입니다 tructured. 1974년에 발명된 그것은 컴퓨터 시스템에서 많은 유형의 데이터를 저장하고 검색하는 최초의 쉬운 방법이었습니다.

    그 이후로 이 언어는 인기가 급상승했으며 오늘날에도 WordPress와 같은 많은 CMS(콘텐츠 관리 시스템)에서 사용됩니다. 이 언어가 과학 연구 커뮤니티에서 인기를 얻은 직후, 이제는 악명 높은 SQL 주입 문제가 발생했습니다.

    WordPress와 같은 시스템에서 많은 작업은 SQL 쿼리를 사용하여 데이터를 검색하고 저장합니다. 이러한 SQL 쿼리는 개발자가 작성했으며 유연하게 설계되지 않았습니다.

    불행히도 SQL이 시작된 이후로 SQL 주입 공격은 WordPress 데이터베이스와 같이 이러한 유형의 데이터베이스를 사용하는 시스템에서 지속적으로 문제가 되었습니다. 고품질 WordPress 보안 플러그인을 사용하면 치명적인 공격이나 침해를 당할 위험을 줄이는 데 확실히 도움이 될 수 있습니다. 그러나 GI Joe가 말했듯이 모든 형태의 사이버 공격에 관해서는 "아는 것이 절반의 전투"입니다.

    SQL 주입(SQLi)이란 무엇입니까?

    간단히 말해서 SQL 주입(SQLi)은 해커가 취약한 SQL 쿼리를 이용하여 자체 쿼리를 실행할 수 있도록 하는 공격입니다. SQL 주입은 공격자가 서버에서 자체 SQL을 실행할 수 있을 때 발생합니다.

    SQL 인젝션은 기술 출판물에서 종종 "SQLI" 또는 "SQLi"로 언급됩니다. 이러한 공격은 SQL 또는 SQL 파생물을 사용하여 데이터를 관리하는 모든 시스템에서 발생할 수 있음을 기억하십시오. 특히 WordPress SQL 주입은 WordPress 플랫폼에서 실행되는 엄청난 양의 사이트로 인해 매우 잘 연구되고 문서화되었습니다.

    이러한 공격이 무엇을 구성하는지에 대한 보다 기술적인 비용을 살펴보겠습니다.

    SQL 주입 정의

    정의에 따르면 SQL 주입의 의도는 항상 악의적이며 일반적으로 다음 세 가지 목표 중 하나 이상을 달성하는 것을 목표로 합니다.

    1. 무단 데이터 검색 – SQL에서 SELECT 명령은 데이터를 가져오는 데 사용됩니다. 공격자가 SELECT 기반 쿼리를 성공적으로 조작할 수 있다면 데이터베이스의 내용을 "덤프"할 수 있습니다. 이것이 공개적으로 알려서는 안 되는 정보로 모든 데이터베이스를 암호화하는 것이 중요한 이유입니다.
    2. 데이터 수정 – 다른 경우에는 WordPress SQL 주입의 목표가 데이터베이스의 항목을 변경하는 것일 수 있습니다. 이것은 일반적으로 특정 계정 또는 일반적으로 가지지 않는 계정 권한 집합을 할당하기 위한 것입니다.
    3. 서비스 거부(DoS) – DoS 공격은 악의적인 사용자가 합법적인 사용자가 사이트 또는 서비스에 액세스하는 것을 더 어렵게 만드는 경우입니다. 데이터를 삭제하는 SQL의 일반적인 명령은 단순히 DELETE입니다. 공격자는 종종 데이터베이스의 콘텐츠를 대량 삭제하여 대상 사이트에 연결할 수 없거나 사용할 수 없게 만듭니다.

    빠른 팁: 웹사이트를 정기적으로 백업하십시오!

    많은 노련한 개발자가 WordPress 사이트용으로 작성한 모든 SQL의 서버 외부 복사본을 보관합니다. .sql 파일의 형태로 이러한 파일을 WordPress 백업 플러그인과 함께 사용하면 공격자가 보안을 방해할 수 있더라도 매우 짧은 시간에 복구할 수 있습니다. BackupBuddy와 같은 WordPress 백업 플러그인은 전체 WordPress 데이터베이스와 WordPress 설치의 다른 파일을 백업합니다.

    SQL 주입

    SQL 주입 공격 유형 설명

    이제 SQL 기반 공격이 일으킬 수 있는 몇 가지 피해를 살펴보았으므로 주입의 보다 기술적인 측면을 살펴볼 차례입니다. 알아야 할 주사 유형의 몇 가지 중요한 하위 집합이 있습니다.

    클래식 SQL 인젝션(SQLi)

    가장 일반적인 주입 유형인 클래식 버전은 공격자가 SQL 코드를 미리 알고 있는 경우입니다. 이것은 또한 WordPress에서 가장 많이 사용되는 주입 유형입니다. WordPress는 오픈 소스이므로 일반 대중은 SQL 쿼리를 포함한 모든 구성 요소에 액세스할 수 있습니다.

    잠시 후에 실제 예제로 넘어갈 것이지만 이러한 형태의 주입을 통해 공격자는 쿼리의 첫 부분을 "취소"하기 위해 종종 쿼리를 조작합니다. 그런 다음 원래 개발자가 작성한 것처럼 서버에서 실행할 사용자 정의 쿼리를 삽입할 수 있습니다.

    블라인드 SQL 인젝션(SQLi)

    기존 버전과 달리 블라인드 SQL 인젝션은 공격자가 SQL 코드에 액세스할 수 없고 단순히 추측만 해야 할 때 발생합니다. 또한 이 유형은 성공적인 공격 결과가 공격자에게 표시 되지 않기 때문에 기존 SQLi보다 훨씬 더 많은 기술이 필요합니다.

    즉, 악의적인 사용자가 결과를 조금씩 자동으로 가져오는 데 도움이 되는 많은 프로그램이 있습니다.

    복합 SLQ 주입(SQLi)

    이 형태의 공격은 원하는 결과를 얻기 위해 별도의 공격 이 SQLi와 결합되는 경우입니다. 세 개의 하위 그룹 중에서 가장 정교한 공격자는 스스로 작동하지 않는 SQLi를 실행할 수 있도록 하는 익스플로잇을 실행해야 합니다. 이 공격 장르에서 SQLi에 가장 일반적으로 수반되는 익스플로잇은 인증 위반, DDoS(분산 서비스 거부) 공격, DNS 하이재킹 및 사이트 간 스크립팅 공격입니다.

    WordPress 웹 사이트가 SQL 주입에 취약한 이유는 무엇입니까?

    WordPress는 매우 널리 사용되고(현재 모든 웹사이트의 40%를 차지합니다!) 잠시 동안(2003년부터) 사용되어 왔기 때문에 특정 SQL 주입에 취약합니다. WordPress는 MySQL과 쉽게 통합되도록 설계된 서버 측 프로그래밍 언어인 PHP를 기반으로 합니다.

    WordPress는 댓글에서 게시물, 계정, 전자상거래 정보에 이르기까지 거의 모든 것을 저장하기 위해 SQL 데이터베이스를 사용합니다. 대부분의 WordPress SQL 주입 시도는 공격자가 악용하려는 SQL 쿼리가 포함된 PHP 스크립트에 데이터를 제출하는 양식에 있습니다.

    이것은 디자인 결함이 아니라 WordPress가 설계된 방식의 부작용입니다. "닷컴 시대" 이전과 그 이전에 시작된 거의 모든 것이 보안을 염두에 두고 설계되지 않았음을 기억하십시오. 사실, 지금은 단종된 Phrack 웹 매거진은 1998년 12월호에서 SQLi에 대해 논의한 최초의 공개 소스였습니다.

    초기 SQLi 익스플로잇은 WordPress와 같은 최신 CMS에서 거의 작동하지 않지만 공격자는 수년 동안 교활해졌습니다. 완전히 보호되지 않은 웹 사이트에서 SQLi가 어떻게 보일 수 있는지에 대한 간단한 예를 살펴보겠습니다. 그런 다음 다양한 버전의 WordPress에 대한 기존 익스플로잇을 확인하는 방법을 보여 드리겠습니다.

    SQL 주입에 관한 중요 경고

    거의 모든 선진국과 주에서 소유하지 않은 WordPress 사이트를 악용 하려는 시도 조차 불법입니다. 처벌은 매우 가혹할 수 있으며 어떤 경우에는 투옥에 이르기까지 할 수 있습니다! 자신의 하드웨어 에서 자유롭게 예제를 시도할 수 있지만 다른 사이트에서 명시적 승인 없이 시도하지 마십시오.

    계속하기 전에 WordPress와 사이버 보안의 공동 여정을 순조롭게 진행하는 데 도움이 되도록 분명히 하고 싶은 중요한 메모가 하나 더 있습니다!

    WordPress 버전을 최신 상태로 유지하는 것은 SQLi 익스플로잇에 대한 최선의 방어책 중 하나입니다. 일시적으로 몇 개의 플러그인을 중단하는 것을 의미하더라도 사이트 보안을 위해 가치가 있습니다.

    SQL 인젝션 예제

    이제 이러한 면책 조항을 제거했으므로 SQLi 예제를 살펴보겠습니다. 이것을 이해하기 위해서는 약간의 SQL 전문 용어를 알아야 합니다. SQL은 SELECT와 같은 명령을 사용하여 데이터를 가져오고, DROP TABLE은 데이터베이스 내의 테이블을 완전히 파괴하고, DELETE는 테이블에서 행을 제거하는 등의 명령을 사용합니다. 또한 '*' 문자는 SQL에서 "모두"를 의미합니다.

    SQL에서 가장 기본적인 쿼리는 SELECT * FROM TABLE_NAME입니다. 이것은 본질적으로 "TABLE_NAME"이라는 테이블의 모든 데이터를 출력한다는 의미입니다. 로그인 양식에 데이터를 제출하면 자격 증명을 사용자 테이블과 일치시키는 PHP 스크립트를 통해 실행됩니다. 이 예에서는 사이버 보안이 매우 취약하고 USER 및 PASS라는 열이 있는 완전히 암호화되지 않은 일반 텍스트 테이블이 있다고 가정합니다.

    쿼리 준비

    보안이 매우 취약한 데이터베이스에서 사용자 이름과 암호가 있는 테이블을 BADLY_DONE_TABLE이라고 합니다. 로그인하는 사용자를 인증하는 쿼리는 다음과 같습니다. SELECT * FROM BADLY_DONE_TABLE WHERE USER = '[username from form]' AND PASS = '[password from form]'.

    보시다시피, 양식에 입력된 사용자 이름과 비밀번호가 일치하는 경우 사용자의 "목록"을 가져오라는 것입니다. 이 목록은 하나만 있어야 합니다. SQL은 또한 쿼리에서 볼 수 있는 AND와 같은 조건문에서 키워드 OR을 사용할 수 있도록 합니다.

    이제, 우리의 익스플로잇을 만들 시간입니다.

    보호되지 않는 SQL 쿼리 악용

    사용자 이름과 비밀번호가 일치하면 쿼리가 사용자를 반환하도록 설정됩니다. 작은따옴표가 문자열을 끝내는 것을 염두에 두고 사용자 이름으로 "Blahblahblah"를 입력한 다음 ' OR '1'='1을 입력할 수 있습니다.

    쿼리가 동적으로 형성되고 입력이 실행되기 전에 "정리화"되지 않는다는 사실을 이용하고 있습니다. 기본적으로 숫자 '1'이 숫자 '1'과 같으면(놀랍게도 그렇습니다!) 입력한 자격 증명이 올바른지 여부에 관계없이 테이블에서 모든 것을 덤프합니다.

    1998년에는 이것이 효과가 있었을 것입니다. 이제 WordPress에 대한 작업 익스플로잇을 작성하려면 일반적으로 SQL과 SQLi 모두에서 훨씬 더 많은 기술이 필요합니다.

    SQL 주입 및 WordPress 웹사이트

    이전 예제는 사이트 관리자가 모든 보안 조치를 비활성화하지 않는 한 최신 WordPress 사이트에서 작동하지 않습니다. 그러나 동일한 원칙을 사용하여 해커는 여전히 SQLi 익스플로잇을 만들어 다른 악의적인 사용자에게 판매합니다.

    WordPress는 오픈 소스이고 그 뒤에 대규모 개발 커뮤니티가 있기 때문에 많은 보안 연구원이 해커보다 먼저 이러한 익스플로잇을 발견하는 경우가 많습니다. 그런 다음 WordPress 팀에 보고하면 익스플로잇이 패치됩니다. 일부 불행한 경우 해커가 익스플로잇을 먼저 찾아 "야생" 상태로 만들어 WordPress 팀이 가능한 한 빨리 빠른 수정을 수행하고 업데이트로 릴리스해야 합니다.

    WordPress에 대한 현재 및 이전 주입 익스플로잇에 관심이 있다면 CVE 데이터베이스를 확인할 수 있습니다. 여기에는 제품 이름, 영향을 받는 버전 및 익스플로잇 작동 방식에 대한 일반적인 설명이 포함된 보안 위협 색인이 포함됩니다. 이와 같은 목록에서 찾을 수 있는 거의 모든 익스플로잇은 이미 패치되었지만 학습 자료로 사용하기에 좋습니다.

    SQL 주입 방지

    이 글을 읽고 나면 WordPress 사이트가 SQLi 공격의 다음 희생자가 되지 않도록 하는 방법이 궁금할 것입니다. 좋은 소식은 SQLi 공격으로부터 자신을 보호하기 위해 보안 전문가가 될 필요가 없다는 것입니다!

    • 작성하거나 다른 사이트에서 가져와 설치하는 모든 PHP 파일(특히 WordPress 플러그인)에 대해 매우 주의하십시오. 필요한 것은 WordPress 사이트를 망치기 위해 사용자 입력을 삭제하지 않는 약하게 만들어진 PHP 스크립트입니다.
    • iThemes Security Pro와 같은 잘 알려진 보안 모니터링 플러그인을 사용하여 누군가가 귀하의 사이트에 대해 이 공격을 시도하는 경우 경고를 보내 사전에 차단할 수 있습니다.
    • 가장 중요한 것은 WordPress 사이트를 항상 최신 버전으로 업데이트해야 한다는 것입니다. 많은 사이트 소유자가 이런저런 이유로 업데이트를 미루며, 이것이 대다수의 데이터 유출 원인입니다.
    • WordPress 플러그인과 테마를 최신 상태로 유지하세요. 우리는 그것을 충분히 말할 수 없습니다. 취약한 테마와 플러그인은 WordPress 사이트가 해킹되는 #1 이유입니다.
    받은 편지함으로 바로 전달되는 주간 WordPress 취약점 보고서를 받으십시오.
    지금 등록하세요

    WordPress SQL 주입을 방지하는 5단계

    1. iThemes Security Pro 플러그인 다운로드 및 설치

    사이트 보안 및 보호를 시작하려면 iThemes Security Pro 플러그인을 다운로드하여 설치하세요.

    지금 iThemes Security Pro 받기

    2. 버전 관리를 활성화하여 워드프레스 코어, 플러그인 및 테마를 최신 상태로 유지

    간단히 말해서: 웹사이트에서 오래된 버전의 WordPress, 플러그인 및 테마를 실행하는 경우 공격을 받을 위험이 있습니다. 버전 업데이트에는 SQL 삽입 및 원격 코드 실행(RCE) 취약점을 포함하여 코드의 보안 문제에 대한 패치가 포함되는 경우가 많으므로 항상 WordPress 웹사이트에 설치된 모든 소프트웨어의 최신 버전을 실행하는 것이 중요합니다.

    업데이트가 제공되는 즉시 WordPress 대시보드에 업데이트가 표시됩니다. 백업을 실행한 다음 WordPress 사이트에 로그인할 때마다 사용 가능한 모든 업데이트를 실행하는 연습을 하십시오. 업데이트를 실행하는 작업이 불편하거나 지루해 보일 수 있지만 중요한 WordPress 보안 모범 사례입니다.

    워드프레스 플러그인 업데이트

    공개된 모든 WordPress 취약점을 추적하고 WordPress 취약점 라운드업에서 추적하고 공유하고 해당 목록을 웹사이트에 설치한 플러그인 및 테마 버전과 비교하는 것은 어렵습니다. 그러나 이것이 WordPress 해커가 알려진 취약점이 있는 플러그인과 테마를 대상으로 삼는 것을 막지는 못합니다. 사이트에 알려진 취약점이 있는 소프트웨어를 설치하면 해커가 웹사이트를 인수하는 데 필요한 청사진을 얻을 수 있습니다.

    주간 WordPress 취약점 보고서 받기
    지금 등록하세요

    iThemes Security Pro 플러그인의 버전 관리 기능을 사용하면 WordPress, 플러그인 및 테마를 자동으로 업데이트할 수 있습니다. 그 외에도 버전 관리에는 오래된 소프트웨어를 실행할 때 웹사이트를 강화하고 오래된 웹사이트를 검색하는 옵션도 있습니다.

    버전 관리를 시작하려면 보안 설정의 기본 페이지에서 모듈을 활성화하십시오.

    이제 설정 구성 버튼을 클릭하여 사이트를 보호하도록 설계된 설정을 자세히 살펴보십시오.

    • WordPress 업데이트 – 최신 WordPress 릴리스를 자동으로 설치합니다.
    • 플러그인 업데이트 – 최신 플러그인 업데이트를 자동으로 설치합니다. 이 설정을 활성화하면 충돌을 방지하기 위해 WordPress 자동 업데이트 플러그인 기능이 비활성화됩니다.
    • 테마 업데이트 – 최신 테마 업데이트를 자동으로 설치합니다. 이 설정을 활성화하면 충돌을 방지하기 위해 WordPress 자동 업데이트 테마 기능이 비활성화됩니다.
    • 오래된 소프트웨어 실행 시 사이트 강화 – 사용 가능한 업데이트가 한 달 동안 설치되지 않은 경우 사이트에 추가 보호 기능을 자동으로 추가합니다.
    • 오래된 WordPress 사이트 검색 – 공격자가 서버를 손상시킬 수 있는 오래된 WordPress 사이트에 대한 호스팅 계정의 일일 검색을 실행합니다. 취약점이 있는 오래된 WordPress 사이트 하나는 공격자가 동일한 호스팅 계정의 다른 모든 사이트를 손상시킬 수 있습니다.
    • 취약점 수정 시 자동 업데이트 – 이 옵션은 iThemes Security Pro 사이트 스캔과 함께 작동하여 웹사이트에서 알려진 WordPress, 플러그인 및 테마 취약점을 확인하고 패치가 있을 때 적용합니다.

    3. 취약한 플러그인 및 테마에 대한 사이트 스캔

    iThemes Security Pro Site Scanner는 모든 소프트웨어 해킹의 가장 큰 원인인 오래된 플러그인과 알려진 취약점이 있는 테마로부터 WordPress 웹사이트를 보호하고 보호하는 또 다른 방법입니다. Site Scanner는 사이트에서 알려진 취약점을 확인하고 사용 가능한 경우 패치를 자동으로 적용합니다.

    3가지 유형의 WordPress 취약점 확인

    1. 워드프레스 취약점
    2. 플러그인 취약점
    3. 테마 취약점

    새로 설치할 때 사이트 스캔을 활성화하려면 iThemes Security Pro 설정으로 이동하여 사이트 스캔 설정 모듈에서 활성화 버튼을 클릭하십시오.

    수동 사이트 스캔을 실행하려면 보안 설정의 오른쪽 사이드 바에 있는 사이트 스캔 위젯 에서 지금 스캔 버튼을 클릭하십시오.

    사이트 스캔 결과가 위젯에 표시됩니다.

    사이트 스캔이 취약점을 감지하면 취약점 링크를 클릭하여 세부 정보 페이지를 봅니다.

    사이트 스캔 취약점 페이지에서 해당 취약점에 대한 수정 사항이 있는지 확인할 수 있습니다. 사용 가능한 패치가 있는 경우 플러그인 업데이트 버튼을 클릭하여 웹 사이트에 수정 사항을 적용할 수 있습니다.

    패치를 사용할 수 있는 시점과 수정 사항을 반영하기 위해 iThemes 보안 취약성 데이터베이스가 업데이트되는 사이에는 지연이 있을 수 있습니다. 이 경우 취약점과 관련된 경고를 더 이상 받지 않도록 알림을 음소거할 수 있습니다.

    중요: 현재 버전에 보안 수정 사항이 포함되어 있거나 취약점이 사이트에 영향을 미치지 않음을 확인할 때까지 취약점 알림을 음소거하면 안 됩니다.

    4. 파일 변경 감지 활성화

    보안 침해를 신속하게 감지하는 핵심은 웹사이트의 파일 변경 사항을 모니터링하는 것입니다. iThemes Security Pro의 파일 변경 감지 기능은 웹사이트의 파일을 스캔하고 웹사이트에 변경 사항이 발생하면 알려줍니다.

    로그에 새 파일 변경 활동이 표시되는 몇 가지 정당한 이유가 있지만 변경 내용이 예기치 않은 경우 시간을 들여 변경 내용이 악의적이지 않은지 확인해야 합니다. 예를 들어 플러그인을 업데이트한 날짜와 시간에 플러그인이 변경된 경우 조사할 이유가 없습니다.

    파일 변경 모니터링을 시작하려면 보안 설정의 기본 페이지에서 파일 변경 감지 를 활성화 하십시오 .

    파일 변경 감지가 활성화되면 iThemes Security Pro는 웹사이트의 모든 파일을 청크로 스캔하기 시작 합니다 . 파일을 청크로 스캔하면 파일 변경 사항을 모니터링하는 데 필요한 리소스를 줄이는 데 도움이 됩니다.

    초기 파일 변경 스캔은 웹사이트 파일 및 해당 파일 해시의 색인을 생성합니다. 파일 해시는 사람이 읽을 수 없는 파일 콘텐츠의 단축 버전입니다.

    초기 스캔이 완료된 후 iThemes Security Pro는 계속해서 파일을 청크로 스캔합니다. 후속 스캔 중 하나에서 파일 해시가 변경되면 파일 내용이 변경되었음을 의미합니다.

    파일 변경 감지 설정에서 지금 파일 스캔 버튼을 클릭하여 수동 파일 변경을 실행할 수도 있습니다.

    파일 변경 사항은 항상 발생하며 모든 변경 사항에 대한 이메일 알림을 받는 것은 순식간에 압도적입니다. 그리고 자신도 모르게 울부짖는 소년이 되어버린 상황, 그리고 당신은 파일 변경 알림을 아예 무시하기 시작합니다.

    좋은 소식은 iThemes Security Pro가 적법한 변경 사항을 지능적으로 식별하여 알림을 줄이고 자주 업데이트될 것으로 예상되는 파일에 대한 알림을 음소거하는 방법입니다. iThemes 보안 플러그인 내의 알림 센터 에서 모든 iThemes 보안 알림을 관리할 수 있습니다. WordPress 관리자 대시보드에서 보안 > 설정으로 이동 하여 알림 센터 모듈을 찾습니다.

    5. 웹사이트를 변경하는 사용자에 대해 이중 인증을 켭니다.

    이중 인증은 두 가지 별도의 인증 방법을 요구하여 개인의 신원을 확인하는 프로세스입니다. Google은 블로그에서 이중 인증을 사용하면 자동화된 봇 공격을 100% 막을 수 있다고 공유했습니다. 나쁘지 않은 확률!

    iThemes 보안 플러그인을 사용하면 WordPress 사이트에 대한 이중 인증을 활성화할 수 있으므로 사용자가 로그인하려면 보조 코드를 입력해야 합니다.

    iThemes Security Pro에서 제공하는 3가지 2단계 인증 방법은 다음과 같습니다.

    1. 모바일 앱 – 모바일 앱 방식은 iThemes Security Pro에서 제공하는 이중 인증 중 가장 안전한 방식입니다. 이 방법을 사용하려면 Authy 또는 Google Authenticator와 같은 무료 2단계 모바일 앱을 사용해야 합니다.
    2. 이메일 – 이중 요소의 이메일 방식은 시간에 민감한 코드를 사용자의 이메일 주소로 보냅니다.
    3. 백업 코드 – 기본 2단계 방법이 손실된 경우 로그인하는 데 사용할 수 있는 일회성 사용 코드 세트입니다.

    웹사이트에서 이중 인증을 사용하려면 iThemes Security Pro 설정의 메인 페이지에서 이 기능을 활성화하세요.

    WordPress 사이트에 대한 이중 인증 설정을 계속하려면 여기의 단계를 따르십시오. 권장 사항을 따르고 권한 있는 사용자에 대한 강제 요구 사항을 활성화한 경우 다음으로 보게 될 것은 2단계 토큰을 입력하는 위치입니다.

    이중 인증

    마무리: 더 안전한 웹으로, 함께

    WordPress 사이트를 찾는 잠재적인 보안 위협을 모두 발견했을 때 약간 압도당했다고 생각하지 마십시오. 위협은 많지만 해결책은 간단할 수 있습니다.

    이 가이드가 WordPress 사이트에서 SQL 주입 공격의 위험을 이해하는 데 도움이 되었기를 바랍니다. 위의 5단계와 함께 몇 가지 WordPress 보안 모범 사례를 구현하면 더 나은 방어선을 갖게 됩니다.

    보너스 콘텐츠 받기: WordPress 보안 가이드
    여기를 클릭하십시오
    SQL 주입