WordPress 보안: WordPress 사이트 보안을 위한 궁극적인 가이드

사이버 범죄는 광대한 온라인 환경에서 해커와 맬웨어가 횡행하면서 사상 최고치를 기록하고 있습니다. Google은 맬웨어가 있는 20,000개 이상의 웹사이트와 잠재적인 피싱 웹사이트로 50,000개 이상의 웹사이트를 매주 블랙리스트에 추가합니다. 잠시 숫자가 줄어들게 두십시오. 따라서 이 읽기의 목적을 위해 WordPress 보안을 개선하는 데 도움이 되는 포괄적인 가이드를 마련했습니다.

귀하의 웹사이트가 최상의 보안 관행을 준수하지 못하면 귀하의 사이트와 모든 콘텐츠가 해킹당할 수 있습니다. 그러나 보안되지 않은 웹 사이트도 Google의 검색 알고리즘에 의해 불이익을 받기 때문에 귀하의 콘텐츠만 문제가 되는 것은 아닙니다.

해커와 맬웨어는 웹사이트 콘텐츠에 위험할 뿐만 아니라 웹사이트를 방문하는 사람들에게도 위협이 됩니다. 따라서 매우 간단한 기본 보안 지침을 준수하지 않으면 Google은 SERP(검색 엔진 결과 페이지)에서 귀하를 강등시킵니다.

운 좋게도 WordPress 사용자는 전용 플러그인과 매우 직관적인 인터페이스에 액세스할 수 있어 WordPress 보안을 크게 향상시킬 수 있습니다. 따라서 더 이상 기다리지 않고 WordPress 보안을 개선하는 10가지 이상의 방법을 소개합니다.

WordPress 보안을 향상시키는 10가지 이상의 방법

1. 백업 플러그인 설치

여기서의 개념은 매우 간단합니다. 나중에 후회하는 것보다 지금 안전한 것이 좋습니다!

온라인 콘텐츠와 데이터베이스를 백업하면 해커와 맬웨어의 희생양이 되는 불행한 상황에서도 모든 것이 안전하고 안전하게 유지됩니다. 이렇게 하면 백업 플러그인 설치가 WordPress 보안 101의 첫 번째 장으로 만들어지고 우선 순위 목록의 맨 위에 놓입니다.

WPvivid 백업 플러그인과 같은 백업 플러그인은 데이터베이스를 포함하여 전체 WordPress 웹사이트를 자동으로 일상적으로 백업할 수 있습니다. 매주 또는 매일 백업을 예약하도록 구성할 수 있습니다. 백업된 데이터는 일반적으로 플러그인 자체에서 제공하거나 Google Drive, Amazon S3, Dropbox 등과 같은 기존 플랫폼 간에 별도의 클라우드 스토리지 플랫폼에 저장됩니다.

이제 나중에 맬웨어나 해커로 인해 사이트가 중단되더라도 모든 데이터에 계속 액세스할 수 있으며 웹 사이트에 백업을 복원하여 이전 작업 상태로 되돌릴 수 있습니다. 해커나 맬웨어가 웹사이트에 침입하는 데 사용한 보안 취약점을 덮어 다시는 이러한 일이 발생하지 않도록 하십시오.

이 모든 것을 말하면서 WordPress 보안을 개선하기 위해 WPvivid 백업 플러그인 외에 어떤 백업 플러그인을 사용할지에 대한 권장 사항을 찾고 있다면 다음과 같은 옵션이 있습니다.

• 업드래프트플러스
• BackWPup

2. WordPress 사이트를 모니터링하기 위해 방화벽 플러그인 설치

데스크탑/노트북에 설정한 방화벽 소프트웨어와 유사하게 방화벽 플러그인은 들어오는 트래픽을 모니터링하고 일반적인 보안 위협이 WordPress 웹사이트에 도달하는 것을 차단합니다.

플러그인은 일반적으로 악성 서명과 블랙리스트에 등록된 IP 주소로 구성된 데이터베이스를 참조하여 웹사이트에 들어오는 잠재적인 위협을 검사하고 즉시 차단합니다.

보시다시피 WordPress 플러그인을 설치하는 것만 큼 간단하지만 해커, 맬웨어, 웜 및 바이러스가 웹 사이트에 침입하는 것을 방지하여 WordPress 보안을 향상시킵니다.

3. 관리자 로그인을 위한 강력한 비밀번호 설정

생각해 보면 WordPress 백엔드 대시보드에 액세스하는 것은 그리 큰 문제가 아닙니다. WordPress 사이트 URL 끝에 "/wp-admin"을 추가하면 사용자가 관리자 로그인 페이지로 이동한다는 것은 상식입니다. 여기에서 웹사이트 백엔드에 대한 액세스를 제한하는 유일한 방법은 단순히 사용자 이름과 비밀번호를 추측하는 것입니다.

이제 사용자 이름 "admin"은 거의 항상 WordPress 웹사이트와 연결되어 있으므로 해커가 해야 할 일은 비밀번호를 추측하는 것뿐입니다. 그러면 모든 웹사이트 콘텐츠와 데이터에 직접 액세스할 수 있습니다. 상상만 해도 무서운 일이죠?

이 모든 것을 고려하여 사용할 수 있는 가장 분명한 WordPress 보안 향상 기능은 암호를 극도로 복잡하고 무차별 대입으로도 해독하기 어렵게 만드는 것입니다. 여기에는 최소 10-12자로 된 더 긴 암호를 만드는 것이 포함됩니다. 또한 비밀번호에 대문자, 소문자, 숫자 및 특수 문자를 사용하는 것을 잊지 마십시오.

그리고 스스로 잊어버리지 않도록 안전하고 안전한 곳에 기록해 두십시오.

4. 관리자 사용자 이름 사용자 지정

WordPress 관리자 로그인의 비밀번호를 변경하는 것과 유사하게 쉽게 예측할 수 있는 기본 사용자 이름인 admin을 변경하는 것도 고려해야 합니다. 따라서 이제 해커는 올바른 사용자 이름과 함께 비밀번호를 해독하여 사이트 백엔드에 들어가야 하므로 WordPress 보안이 기하급수적으로 향상됩니다.

그러나 기본 관리자 사용자 이름을 변경하는 것은 다소 어렵습니다. 먼저 WordPress 백엔드 > 사용자 > 새 사용자 추가 에 로그인한 다음 사용자 역할 이 – Administrator 로 설정된 새 사용자를 생성해야 합니다. 완료되면 새 사용자 계정으로 로그인하고 기본 "admin" 사용자 계정을 삭제하여 해커가 올바른 암호뿐만 아니라 새 사용자 이름도 해독하도록 합니다. 또는 사용자 역할 편집기 플러그인을 사용하여 사용자 역할을 관리하고 편집할 수 있습니다.

5. 로그인 URL 사용자 지정

지금까지 해커가 WordPress 백엔드 로그인 자격 증명을 추측하기 어렵게 만드는 방법에 대해 이야기했습니다. 그러나 더 나은 WordPress 보안 전술은 로그인 화면에 대한 해커의 액세스를 완전히 거부하는 것입니다.

앞서 언급했듯이 웹사이트의 백엔드 로그인 페이지에 대한 기본 URL에는 웹사이트 URL 뒤에 "/wp-admin"이 포함됩니다. 그러나 웹사이트 로그인 URL의 마지막 부분을 "/zero-hackers-allowed"와 같이 상상할 수 있는 다른 영숫자 문자열로 사용자 지정할 수 있다는 것을 알고 계셨습니까?

그러나 이것은 CMS(콘텐츠 관리 시스템)의 기본 기능이 아니며 WPS 로그인 숨기기 와 같은 WordPress 플러그인을 설치해야 도움이 됩니다. 플러그인을 설치하고 활성화하면 해커가 wp-login.php 페이지와 wp-admin 디렉토리에 쉽게 액세스할 수 없도록 로그인 URL을 변경할 수 있습니다.

지금까지 우리는 해커가 우리 사이트에 액세스하기 위해 올바른 비밀번호와 사용자 이름 조합을 추측하는 것을 어렵게 만들었을 뿐만 아니라 로그인 페이지를 엿보는 눈으로부터 효과적으로 숨겼습니다. 상상할 수 있듯이 이것은 WordPress 보안을 크게 향상시키고 무차별 대입 공격을 사실상 불가능하게 만듭니다.

6. 데이터베이스 사용자에 대한 강력한 암호 설정

웹사이트에 여러 사용자가 있고 그 중 일부는 데이터베이스 또는 기타 민감한 정보에 직접 액세스할 수 있는 경우 계정에 강력한 암호를 설정했는지 확인하십시오. 해커는 귀하의 웹사이트에 있는 다른 사용자를 이용하여 귀하의 웹사이트에 침입하려고 시도할 가능성이 동일합니다. 이를 염두에 두고 모든 느슨한 끝은 잠재적인 취약성과 보안 위협입니다.

앞에서 언급한 단계에 따라 사용자가 자신의 계정에 강력한 암호를 할당하도록 의무화할 수 있습니다. 또는 타사 플러그인을 사용하여 사용자가 계정 생성 프로세스를 완료하기 위해 강력한 암호를 생성하도록 할 수 있습니다.

7. SSL 활성화(HTTP에서 HTTPS로)

SSL(Secure Sockets Layer)은 클라이언트와 서버 간에 암호화된 연결을 생성하는 인터넷의 표준 보안 프로토콜입니다. 활성화되면 URL 시작 부분의 HTTP 텍스트가 HTTPS 또는 HTTP 보안으로 대체됩니다. SSL 인증서를 활성화하면 서버와 클라이언트 간에 데이터가 전송되는 동안 해커가 데이터를 빼내기가 더 어려워집니다.

Google은 SSL 인증도 매우 중요하게 생각합니다. 예를 들어, 여전히 HTTP에 있는 웹사이트는 Google 크롬 브라우저에서 "안전하지 않음"으로 표시됩니다. 또한 검색 엔진 알고리즘에 의해 불이익을 받습니다. 반면 SSL 인증 웹사이트의 HTTPS는 검색 엔진에 의해 수여됩니다. 따라서 새로운 WordPress 블로그를 검색하기 위한 첫 번째 단계로 SSL 설치를 설정했습니다.

이 두 가지 사항은 웹사이트에 SSL 인증서를 설치해야 하는 충분한 이유입니다. 특히 번거롭지 않다고 생각할 때 그렇습니다. 우선, 대부분의 인기 있는 웹 호스팅 서비스에는 SSL 인증서가 무료로 포함되어 있습니다. 무료로 받지 못한 경우 Let's Encrypt 를 사용하여 쉽게 받을 수 있습니다.

전용 WordPress SSL 플러그인에 액세스할 수도 있습니다. – 정말 간단한 SSL로 HTTP를 HTTPS로 변환하고 WordPress 보안을 향상시킵니다.

8. wp-config를 루트 디렉토리보다 높은 수준으로 이동

기본적으로 wp-config.php는 WordPress 블로그/웹사이트와 동일한 폴더에 있습니다. 파일에 MySQL 데이터베이스 사용자 이름, 비밀번호, WordPress 인증 키 및 기타 민감한 데이터가 포함되어 있기 때문에 이는 보안상의 악몽이 될 수 있습니다.

누군가 이 파일을 가지고 있으면 기본적으로 웹사이트의 모든 핵심을 완벽하게 제어할 수 있습니다. 이것이 WordPress 코덱스 에서도 사용자가 wp-config.php를 기본 루트 디렉토리에서 공용 액세스 권한이 없는 상위 폴더로 이동하도록 권장하는 이유입니다.

이는 .htaccess 폴더에 다음 코드 조각을 포함하여 쉽게 달성할 수 있습니다.

 <파일 wp-config.php>

주문 허용, 거부

모두를 부정하다

</파일>

보시다시피 WordPress 웹 사이트의 핵심 파일을 엉망으로 만드는 작업이 포함되므로 이 단계를 진행하기 전에 백업을 수행하는 것이 좋습니다.

9. 폴더에 index.php 파일이 없을 때 .htaccess를 사용하여 디렉토리 나열 방지

디렉토리 검색이라고도 하는 디렉토리 목록을 사용하면 모든 사용자가 웹사이트에 있는 개별 폴더(디렉토리)의 내용을 볼 수 있습니다. 상상할 수 있듯이 해커가 다양한 파일을 손쉽게 검색하고 웹 사이트에 침입할 잠재적인 취약점을 찾을 수 있으므로 보안 문제가 크게 대두됩니다.

이제 WordPress CMS를 보호하기 위해 특정 디렉토리에는 누군가가 폴더에 들어갈 때 서버가 즉시 실행/로드하는 index.php 파일이 포함되어 있습니다. 이것은 구경꾼이 귀하의 디렉토리를 탐색하고 귀하의 사이트 구조에 액세스하는 것을 방지합니다.

하지만 index.php 파일이 없으면 어떻게 될까요?

그런 경우에도 .htaccess 파일을 약간 수정하면 문제를 쉽게 해결할 수 있습니다. .htaccess 끝에 다음 줄을 추가하고 저장하기만 하면 됩니다.

 옵션 전체 - 인덱스

완료되면 사용자가 index.php 파일이 없는 디렉토리에 액세스하려고 하면 사용자에게 403 액세스 금지 또는 404 페이지를 찾을 수 없음 오류가 표시됩니다.

10. WordPress를 정기적으로 업데이트

WordPress는 World Wide Web에 있는 모든 웹사이트의 30% 이상을 차지하는 엄청난 인기를 누리고 있습니다. 이로 인해 CMS는 해커와 악의적인 행위자의 주요 표적이 됩니다. 그들은 항상 사이트의 데이터에 액세스하기 위해 악용할 수 있는 코드에서 보안 취약점과 허점을 찾기 위해 바쁩니다.

마찬가지로 워드프레스 개발팀은 해커가 악용하기 전에 패치할 수 있도록 버그와 보안 결함을 적극적으로 찾고 있습니다. 따라서 최신 버전의 WordPress로 업그레이드하는 것은 단순히 새로운 기능에 액세스하는 것이 아니라 코드에 해커가 악용할 수 있는 결함이 없는지 확인하는 것입니다.

이제 새로운 WordPress 업데이트가 출시되면 해커를 포함한 전 세계가 이전 버전에 존재했던 보안 취약점에 대해 배울 수 있습니다. 사이트를 최신 버전으로 빠르게 업그레이드하는 것을 미루면 해커가 사이트의 현재 알려진 보안 취약점을 이용하여 WordPress 보안을 이전보다 훨씬 더 취약하게 만들 수 있습니다. 게다가 워드프레스는 PHP로 구축되어 있기 때문에 웹사이트 성능과 보안을 향상시키기 위해 워드프레스 사이트를 최신 PHP 버전으로 업그레이드하는 것도 중요합니다. 업데이트를 수행하기 전에 사이트의 전체 백업을 만드는 것을 잊지 마십시오!

11. WordPress 버전 번호 제거

새 CMS 업데이트가 릴리스되는 즉시 WordPress 웹사이트를 업그레이드해야 하지만 때로는 이것이 최선의 결정이 아닌 경우가 있습니다. 사이트 업그레이드가 지연되는 몇 가지 가능한 이유는 버그 업데이트, 현재 플러그인 및 테마와의 호환성 문제 등일 수 있습니다.

그러나 방금 논의한 것처럼 업그레이드를 연기하면 수많은 보안 위협과 해킹 시도에 노출될 수 있습니다. 그러나 웹 사이트에서 WordPress 버전 번호를 제거할 수 있다면 이것은 피할 수 있습니다. 이것이 바로 해커가 귀하의 사이트가 새로 발견된 보안 결함에 의해 악용될 가능성을 줄이는 이전 버전에서 실행되고 있다는 것을 즉시 알지 못하는 이유입니다.

이제 웹사이트에서 WordPress 버전 번호를 제거하려면 functions.php 파일로 이동하여 다음 코드 스니펫을 입력해야 합니다.

 기능 제거_wordpress_version() {
반품 '';
}
add_filter('the_generator', 'remove_wordpress_version');

이렇게 하면 헤드 파일과 RSS 피드에서 WordPress 버전 번호가 제거되어 해커가 사용 중인 WordPress 버전을 추측할 수 없습니다.

결론적으로

이것이 WordPress 보안을 개선하기 위해 권장되는 몇 가지 팁과 트릭입니다. 이 글이 도움이 되었기를 바라며 사이트를 보다 안전하고 안전하게 만드는 데 유용한 리소스가 되었기를 바랍니다.

보시다시피, 몇 가지 기본적인 한두 단계를 따르고 몇 가지 보안 플러그인을 설치하면 대부분의 개선 사항을 만들 수 있습니다. 이제 몇 가지 기술적인 측면도 처리해야 합니다. 그러나 WordPress 블로그/웹사이트를 이제 막 시작하는 경우에는 그렇게 걱정할 필요가 없습니다.

그러나 사이트가 계속 성장함에 따라 해커가 침입하여 문제를 일으키기 위해 더 열심히 노력할 것임을 인식하십시오. 따라서 데이터베이스를 보호하는 wp-config 파일 및 암호 이동과 같이 위에서 설명한 모든 기술 단계를 다루는 것은 말할 것도 없고 항상 최신 보안 동향을 유지하십시오.

이 모든 상황에서 숙련된 사용자는 대화에 참여하고 사이트에 해커와 맬웨어가 없는지 확인하기 위한 개인 전술을 추가하는 것이 좋습니다. 동료 독자는 귀하의 통찰력으로 큰 이점을 얻을 것이며 잠재적인 사이버 위협으로부터 사이트를 보호하는 데 도움이 될 수 있습니다.

관심이 있는 경우 블로그에서 수익을 창출하는 방법에 대한 종합 가이드가 있습니다.