iThemes Security Pro를 설치한 후 해야 할 일 10가지

게시 됨: 2020-09-17

iThemes Security Pro는 WordPress 웹사이트를 보호하고 보호하기 위한 50개 이상의 보안 방법으로 가득 차 있습니다. 그것은 옵션의 톤입니다!

iThemes Security Pro를 설치한 후 어디서부터 시작해야 할지 모르겠다면 걱정하지 마세요. 저희가 해결해 드리겠습니다. 이 게시물에서는 iThemes Security Pro를 설치한 후 해야 할 10가지 주요 작업을 다룹니다.

목차

    1. 보안 검사 실행

    iThemes Security Pro 보안 검사 를 실행하려는 몇 가지 이유가 있습니다. 보안 검사는 리소스가 제한된 환경을 포함하여 모든 환경에서 원활하게 작동하는 모든 iThemes Security Pro 설정을 활성화합니다.

    보안 검사에 의해 활성화된 설정에 대해 이야기해 보겠습니다.

    • 로컬 무차별 대입 방지 – 로컬 무차별 대입 방지 기능은 IP 및 사용자 이름의 잘못된 로그인 시도를 추적합니다. 공격자가 연속적으로 잘못된 로그인 시도를 너무 많이 시도하면 잠깁니다.
    • 금지된 사용자 – 금지된 사용자 기능은 IP 잠금을 추적합니다. IP가 반복 위반자가 되면 iThemes Security Pro는 IP를 금지된 호스트 목록에 추가하고 로그인 시도는 고사하고 해당 IP가 웹사이트를 볼 수 없도록 합니다.
    • 데이터베이스 백업 – 데이터베이스 백업 기능은 사이트 데이터베이스의 백업을 생성합니다.
    • Magic Links – Magic Links 기능을 사용하면 사용자 이름이 잠겨 있을 때 고유한 로그인 링크가 포함된 이메일을 요청할 수 있습니다. 이메일로 전송된 링크를 사용하면 잠금을 우회할 수 있으며 무차별 대입 공격자는 잠금 상태를 유지합니다.
    • 암호 없는 로그인 – 암호 없는 로그인 기능은 실제로 로그인할 때 암호를 요구하지 않고 사용자의 신원을 확인하는 새로운 방법입니다.
    • 사이트 스캔 – 사이트 스캔은 알려진 취약점이 있는지 사이트를 확인하고 사용 가능한 경우 패치를 자동으로 적용합니다.
    • 2단계 인증 – 2단계 인증은 두 가지 별도의 확인 방법을 요구하여 개인의 신원을 확인하는 프로세스입니다.
    • 사용자 로깅 – 사용자 로깅 기능은 사용자가 생각하는 것과 정확히 일치합니다. 로그인 및 콘텐츠 저장과 같은 사용자 작업을 기록합니다.
    • WordPress Tweaks – 보안 검사에서 모든 WordPress Tweaks 옵션을 사용할 수 있는 것은 아닙니다. 파일 편집기 비활성화 , XML-RPC 요청당 여러 인증 시도 차단 , REST API 액세스 제한첨부 파일 순회 공격 완화 와 같은 필수 보안 방법이 활성화됩니다.

    보안 검사를 실행하면 웹사이트의 서버 및 루프백 IP를 식별하여 의도하지 않은 서버 잠금을 방지하는 데도 도움이 됩니다. 보안 검사는 또한 IP 스푸핑으로부터 보호하기 위해 웹 사이트에 도달하는 원격 IP를 확인합니다.

    또한 보안 검사... 서버에 SSL 인증서가 활성화되어 있는지와 HTTP 페이지 요청이 HTTP로 리디렉션되는지 확인합니다. HTTPS를 사용하여 로드된 페이지는 SSL 암호화로 방문자를 보호합니다. 보안 검사 메뉴에서 HTTPS 리디렉션을 강제 실행합니다.

    마지막으로 보안 검사에서 네트워크 무차별 대입 방지 라이선스를 활성화하라는 메시지가 표시됩니다. Brute Force Network는 iThemes Security 사용자가 서로를 보호하도록 도와줍니다. iThemes Security에 의해 보호되는 다른 웹사이트의 차단된 IP와 함께 귀하의 웹사이트 공격을 위해 차단된 IP는 Brute Force Network에 보고됩니다. IP가 Brute Force Network에 있으면 네트워크의 모든 사이트에서 차단됩니다.

    2. 자동 취약점 패치 활성화

    보안 검사는 알려진 WordPress, 플러그인 및 테마 취약점에 대해 웹사이트를 자동으로 검사하는 사이트 스캔을 활성화합니다. 이것은 훌륭하지만 iThemes Security Pro는 한 걸음 더 나아갈 수 있습니다. 웹사이트에서 취약점이 발견되면 iThemes Security Pro는 패치가 있는 경우 자동으로 패치를 적용할 수 있습니다.

    버전 관리 설정에서 취약점 수정 시 자동 업데이트 옵션을 활성화하기만 하면 됩니다.

    3. Google reCAPTCHA v3로 악성 봇 차단

    iThemes Security Pro의 Google reCAPTCHA 기능은 악성 봇으로부터 사이트를 보호합니다. 이러한 봇은 손상된 비밀번호를 사용하여 웹사이트에 침입하거나 스팸을 게시하거나 콘텐츠를 스크랩하려고 합니다. reCAPTCHA는 고급 위험 분석 기술을 사용하여 인간과 봇을 구분합니다.

    reCAPTCHA 버전 3의 장점은 사용자 상호 작용 없이 웹사이트에서 악성 봇 트래픽을 감지하는 데 도움이 된다는 것입니다. CAPTCHA 챌린지를 표시하는 대신 reCAPTCHA v3은 사이트에서 이루어진 다양한 요청을 모니터링하고 각 요청에 대한 점수를 반환합니다. 점수 범위는 0.01에서 1까지입니다. reCAPTCHA에서 반환하는 점수가 높을수록 사람이 요청했다는 확신이 더 큽니다. reCAPTCHA에서 반환하는 이 점수가 낮을수록 봇이 요청을 했다는 확신이 더 큽니다.

    iThemes Security Pro를 사용하면 reCAPTCHA 점수를 사용하여 차단 임계값 을 설정할 수 있습니다. 0.5를 기본값으로 사용하는 것이 좋습니다. 임계값을 너무 높게 설정하면 합법적인 사용자를 실수로 잠글 수 있다는 점에 유의하십시오.

    WordPress 사용자 등록, 비밀번호 재설정, 로그인 및 댓글에서 reCAPTCHA를 활성화할 수 있습니다. iThemes Security Pro를 사용하면 모든 페이지에서 Google reCAPTCHA 스크립트를 실행하여 봇 대 인간 점수의 정확도를 높일 수 있습니다.

    4. 2FA 앱으로 사용자 계정 보호

    iThemes Security Pro는 WordPress 사용자를 보호하기 위해 세 가지 2단계 인증 방법을 제공합니다.

    1. 모바일 앱 – 이 방법을 사용하려면 Authy와 같은 무료 2단계 모바일 앱을 사용해야 합니다.
    2. 이메일 – 이중 요소의 이메일 방식은 시간에 민감한 코드를 사용자의 이메일 주소로 보냅니다.
    3. 백업 코드 – 기본 2단계 방법이 손실된 경우 로그인하는 데 사용할 수 있는 일회성 사용 코드 세트입니다.

    모바일 앱 방식이 가장 안전하므로 이 수준의 보안을 사용자에게 추가하는 방법을 살펴보겠습니다.

    가장 먼저 해야 할 일은 Authy와 같은 2fa 앱을 다운로드한 다음 WordPress 사용자 프로필 페이지로 이동하는 것입니다. WordPress 프로필에 들어가면 2단계 인증 옵션 제목이 표시될 때까지 아래로 스크롤합니다. 모바일 앱 방법을 활성화하고 2fa의 기본 형식으로 설정하려면 확인란을 선택하십시오. 이제 QR 코드 및 비밀 키 보기 버튼을 클릭합니다.

    휴대폰에서 QR 코드를 스캔하여 모바일 앱에 계속해서 비밀을 연결합니다.

    이제 휴대전화의 6자리 코드를 웹 브라우저에 입력하고 확인 을 클릭하여 설정을 완료합니다.

    참고: 프로필 페이지를 떠나기 전에 프로필 업데이트 버튼을 클릭하십시오.

    5. 보안 대시보드 생성

    iThemes 보안 대시보드는 웹사이트의 모든 보안 활동 통계를 한 곳에서 볼 수 있는 동적 대시보드입니다. Security Dashboard는 관련 항목을 모아서 사용자와 관련된 방식으로 표시하여 보안 로그에 생명을 불어넣습니다.

    대시보드는 웹사이트의 보안 활동을 보안 카드 로 분류합니다. 야구 카드처럼 생각하십시오. 야구 카드는 MLB의 모든 선수에 대한 정보를 제공하지 않습니다. 카드는 앞면에 그려진 사람에게만 관심이 있습니다. 마찬가지로 보안 카드는 로그의 모든 항목을 표시하지 않습니다. 대신 해당 카드와 관련된 정보만 제공합니다.

    11 보안 카드

    1. 사이트 스캔

    iThemes Security Pro 사이트 스캔 내역을 확인하세요.

    2. 사용자 보안 프로필

    사이트의 모든 관리자 목록을 확인하세요. 보안 개요를 보려면 사용자 이름을 클릭하십시오.

    3. 사용자 보안 프로필

    단일 사용자의 프로필을 대시보드에 고정하고 이중 요소 활성화 여부와 사이트에 마지막으로 있었던 시간 등 사용자 역할, 암호 강도 및 연령을 확인합니다.

    4. 활성 잠금

    모든 활성 잠금을 표시합니다. 클라이언트가 잠긴 경우 이 카드에서 잠금을 빠르게 해제할 수 있습니다.

    5. 잠금

    당사 사이트에서 잠금 기록을 확인하십시오.

    6. 금지 개요

    iThemes Security에서 IP를 금지한 경우 기록을 봅니다.

    7. 무차별 대입 공격

    무차별 대입 활동을 차트로 표시하는 그래프를 표시합니다.

    8. 신뢰할 수 있는 장치

    승인, 자동 승인 및 차단된 장치를 그래프로 표시합니다.

    9. 404s

    지난 30일 동안의 404에 대한 개요를 확인하세요.

    10. 데이터베이스 백업

    30일 간의 백업 기록을 보고 새 데이터베이스 백업을 만듭니다.

    11. 업데이트 요약

    특정 시간 동안의 WordPress, 플러그인 및 테마 업데이트 수를 표시합니다.

    12. 금지된 사용자

    웹사이트의 금지된 호스트 목록을 관리합니다.

    ithemes Security Pro에서 보안 대시보드를 만드는 방법

    Security Dashboard 사용을 시작하려면 보안 설정의 기본 페이지에서 활성화되어 있는지 확인하십시오.

    활성화되면 WordPress 관리 메뉴관리 대시보드 메뉴보안 설정에서 첫 번째 보안 대시보드를 만들 수 있습니다.

    다음으로 iThemes Security 기본 대시보드를 사용하여 새 대시보드를 만들 거나 처음부터 새로 만들 수 있습니다. 게시판 이름을 입력하고 게시판 만들기 버튼을 클릭합니다.

    대시보드 생성 페이지

    Security Dashboard의 목표는 원하는 정보를 의미 있는 방식으로 제공하는 것입니다. 빈 캔버스로 시작하여 중요한 카드만 추가할 수 있습니다.

    동적 보안 대시보드는 완전히 사용자 지정할 수 있습니다. 보고 싶은 카드, 화면에 나타나는 순서, 각 카드의 크거나 작은 크기를 선택합니다. 이것은 귀하가 귀하를 위해 만든 대시보드입니다.

    6. 암호 요구 사항으로 암호 게임 향상

    비밀번호는 WordPress 로그인에 대한 공격으로부터 첫 번째 방어선입니다. iThemes Security Pro의 비밀번호 요구 사항 기능은 비밀번호 정책일 뿐만 아니라 시행 도구이기도 합니다.

    사용자 그룹의 구성원이 강력한 암호 를 사용하도록 하고, 암호 만료 시간을 선택하고, 손상된 암호를 거부 하고, 사이트 전체의 암호를 강제로 변경 하여 모든 사람이 강력한 새 암호 정책을 준수하도록 할 수 있습니다.

    • 강력한 암호 강제 - 사용자 집합이 강력한 암호를 사용하도록 합니다.
    • 비밀번호 만료 – 비밀번호가 만료되기 전에 사용할 수 있는 최대 일수를 설정합니다.
    • 훼손된 비밀번호 거부 – 사용자가 Have I Been Pwned에 의해 추적된 비밀번호 위반에 나타나지 않은 비밀번호를 사용하도록 강제합니다.
    • 강제 비밀번호 변경 – 모든 사용자가 다음에 로그인할 때 비밀번호를 변경하도록 합니다.

    7. 보안 알림 이메일 미세 조정

    알림 센터 에는 iThemes Security Pro에서 생성한 이메일 알림을 관리하는 데 필요한 모든 도구가 있습니다.

    알림 센터 모듈은 보안 설정의 기본 페이지에 있습니다. 설정 구성 버튼을 클릭하여 이메일 알림 사용자 지정을 시작합니다.

    알림 센터에서 설정하려는 처음 두 가지는 이메일에서기본 수신자 목록입니다.

    From Email은 iThemes Security Pro가 알림을 보내는 데 사용할 이메일 주소입니다. 기본 수신자는 달리 지정되지 않는 한 이메일 알림을 받을 사람들의 목록입니다.

    iThemes Security Pro에서 보낸 각 이메일 알림의 수신자를 사용자 지정할 수도 있습니다. 클라이언트에게 보여주고 싶은 유일한 이메일 알림이 Security Digest라고 가정해 보겠습니다. 이렇게 하려면 Security Digest 이메일 설정까지 아래로 스크롤하고 받는 사람 토글을 클릭하고 사용자 지정 을 선택합니다.

    클라이언트의 사용자 이름 옆에 있는 확인란을 선택하여 Security Digest 이메일 목록에 추가합니다.

    제목 및 메시지는 알림 센터에 있는 대부분의 이메일에 대해 사용자 지정할 수 있습니다. 다양한 이메일 태그 를 활용하여 이메일을 개인화할 수 있습니다. 예를 들어 username 태그를 사용하여 이메일에 수신자 사용자 이름을 포함할 수 있습니다.

    8. 신뢰할 수 있는 장치로 WP 대시보드 보호

    iThemes Security Pro 신뢰할 수 있는 장치 기능은 WordPress 대시보드에 대한 액세스를 승인된 장치 목록으로 제한합니다.

    iThemes Security Pro에 어떤 장치가 귀하의 것인지 알려주면 신뢰할 수 있는 장치가 2가지 방법으로 사이트를 보호할 수 있습니다.

    1. 인식되지 않는 장치의 기능 제한 – 누군가가 인식되지 않는 장치를 사용하여 로그인하는 경우 관리자 수준의 기능을 제한하고 로그인 세부 정보를 편집하지 못하도록 할 수 있습니다. iThemes Security Pro는 WordPress 사용자 프로필에 설정된 주소로 이메일을 보냅니다.

    인식할 수 없는 로그인 이메일에는 장치를 확인하거나 차단할 수 있는 옵션이 있습니다. 장치 확인 버튼을 클릭하면 사용자의 관리 기능이 복원됩니다. This Was Not Me 버튼을 클릭하면 iThemes Security Pro는 불법 사용자를 로그아웃하고 장치는 WordPress 프로필의 거부된 장치 목록입니다.

    2. 세션 하이재킹 방지 – 세션 하이재킹은 공격자가 사용자 세션을 탈취하는 공격입니다. 예를 들어 WordPress는 웹사이트에 로그인할 때마다 세션 쿠키를 생성합니다. 해커가 브라우저 쿠키를 가로챌 수 있는 취약점이 있는 브라우저 확장 프로그램이 있다고 가정해 보겠습니다. 세션을 가로채고 나면 해커가 웹사이트를 악의적으로 변경할 수 있습니다.

    세션 중에 사용자의 장치가 변경되면 iThemes Security는 사용자의 이메일 주소 변경 또는 악성 플러그인 업로드와 같은 사용자 계정의 무단 활동을 방지하기 위해 자동으로 사용자를 로그아웃합니다.

    9. 사용자 그룹을 활용하여 사용자 보안 관리

    iThemes Security Pro의 사용자 그룹 모듈을 사용하면 사용자 경험에 영향을 미치는 설정을 빠르게 확인하고 단일 위치에서 수정할 수 있습니다.

    사이트에서 사용자 보안을 더 쉽게 관리할 수 있도록 iThemes Security Pro는 모든 사용자를 서로 다른 그룹으로 분류합니다. 기본적으로 사용자는 WordPress 기능별로 그룹화됩니다. WordPress 기능을 기준으로 정렬하면 WordPress와 사용자 지정 사용자 역할을 동일한 그룹으로 쉽게 결합할 수 있습니다. 예를 들어 WooCommerce 사이트를 실행하는 경우 사이트 관리자와 상점 관리자는 관리자 사용자 그룹에 속하고 구독자와 고객은 구독자 사용자 그룹에 속합니다.

    사용자 그룹 설정에서 모든 사용자 그룹과 각 그룹에 대해 활성화된 모든 보안 설정을 볼 수 있으며 설정을 빠르게 켜고 끌 수 있습니다. 사용자 그룹은 올바른 사용자에게 적절한 수준의 보안을 적용하고 있다는 확신을 줍니다.

    10. 범용 지원 사용자 생성

    iThemes Security Pro에서 가장 활용도가 낮은 기능은 권한 상승 입니다. 이 기능을 사용하면 사용자의 권한을 일시적으로 상승시킬 수 있습니다.

    새 사용자, 특히 관리 사용자를 만들 때마다 해커가 악용할 수 있는 또 다른 진입점을 추가하게 됩니다. 그러나 지원을 구할 때와 같이 웹사이트에 대한 외부의 도움이 필요할 수 있습니다.

    새 사용자를 만들고 이름을 Support로 지정하고 구독자 사용자 역할을 부여할 수 있습니다. 다음에 웹사이트에 대한 임시 액세스를 제공해야 하는 경우 지원 사용자의 프로필 페이지로 이동합니다.

    외부 지원 담당자가 새 비밀번호를 요청할 수 있도록 이메일 주소를 업데이트하십시오. 그런 다음 임시 권한 상승 설정이 표시될 때까지 아래로 스크롤합니다. 임시 역할 설정 토글을 클릭하고 관리자 를 선택합니다. 이제 사용자는 앞으로 24시간 동안 관리자 액세스 권한을 갖게 됩니다.

    24시간 전체가 필요하지 않은 경우 사용자 프로필 페이지에서 권한 상승을 취소할 수 있습니다.

    마무리

    iThemes Security Pro에는 웹사이트를 보호하고 보호하는 데 사용할 수 있는 다양한 도구가 있습니다. 다음은 iThemes Security Pro를 설치한 후 WordPress 웹사이트 보안을 시작하는 데 도움이 되는 체크리스트입니다.

    • 1. 보안 검사 실행
    • 2. 자동 취약점 패치 활성화
    • 3. Google reCAPTCHA v3로 악성 봇 차단
    • 4. 2FA 앱으로 WP 사용자 잠금
    • 5. 보안 대시보드 생성
    • 6. 비밀번호 찾기 게임
    • 7. 보안 이메일 미세 조정
    • 8. 신뢰할 수 있는 장치로 WP 대시보드 보호
    • 9. 사용자 그룹에 익숙해지기
    • 10. 범용 지원 사용자 생성