사실과 통계에 기반한 워드프레스 보안

게시 됨: 2022-12-12

WordPress는 사용하는 사람의 수가 많기 때문에 악의적인 해커의 일반적인 표적입니다. 일부 추산에 따르면 인터넷에 있는 WordPress 웹사이트의 총 수는 4억 5,500만 개입니다. 이것은 워드프레스가 인터넷에 있는 모든 웹사이트의 43.1%를 실행한다는 것을 의미합니다.

흥미로운 통계

얼마나 많은 웹사이트가 해킹당했는지 알아내는 것은 까다롭습니다. 이에 대한 몇 가지 이유가 있습니다. 해킹 사건은 잘 알려져 있지 않습니다. 법에 의해 사건을 공개하도록 강요받지 않는 한, 많은 관리자와 웹사이트 소유자는 이를 꺼려합니다. 많은 사람들이 자신이 해킹당했다는 사실을 모르기 때문에 신고가 불가능합니다.

사이버 위험 및 개인정보 관리 솔루션 제공업체인 IT 거버넌스(IT Governance)는 이러한 주의 사항을 무시하고 2021년 한 해에만 약 51억 건(B 포함)의 침해가 발생했다고 보고했습니다. 이 수치에는 모든 침해가 포함됩니다. 또 다른 보고서인 Sophos의 이번에는 매일 평균 30,000개의 웹사이트가 해킹당하고 있습니다. 이는 연간 1,100만 개의 웹사이트가 해킹당하는 것과 같습니다. 우리는 모든 웹사이트의 43%가 WordPress를 실행한다는 것을 알고 있으며, 이를 통해 연간 470만 개의 WordPress 웹사이트가 해킹당하고 있다고 추측할 수 있습니다. 매일 약 13,000개의 WordPress 웹사이트가 해킹당하고 있습니다.

그것은 매우 큰 숫자입니다. WordPress가 왜 그렇게 많이 해킹당합니까? 이것이 바로 이 기사에서 사실과 통계를 기반으로 살펴볼 것입니다.

워드프레스 – 정말 얼마나 안전한가요?

WordPress는 전 세계적으로 많은 사람들이 적극적으로 작업하는 오픈 소스 프로젝트입니다. WordPress 커뮤니티는 매우 강력하며 귀하가 만나게 될 가장 똑똑하고 헌신적인 사람들로 구성됩니다. 너무 많은 사람들이 참여하고 개발 프로세스를 간과하기 때문에 WordPress는 매우 안전한 경향이 있습니다.

WordPress 웹 사이트가 해킹되는 방식을 더 깊이 파헤칠 때 통계가 표시되므로 WordPress의 강점은 몰락할 수도 있습니다.

WordPress의 가장 큰 강점과 약점

완벽한 시스템은 없으며 이것은 WordPress 코어에도 적용됩니다. WordPress 코어는 플러그인, 테마 및 구성과 같은 변경 사항이 적용되기 전의 코어 파일을 나타냅니다. 실제로 WordPress Core는 Sucuri의 WordPress 해킹 통계 보고서에 따르면 2021년 전체 취약점의 0.58%를 차지했습니다. 이는 전체 사고의 1%에 불과합니다.

다음은 테마와 플러그인 순서입니다. 실제로 테마는 전체 취약점의 6.61%를 차지하고 플러그인은 무려 92.81%를 차지합니다.

Sucuri는 무료인지 프리미엄인지에 따라 테마와 플러그인을 더 세분화합니다. 프리미엄 테마와 플러그인이 모든 타사 취약점의 8.62%를 차지하는 반면 무료 버전은 91.38%를 차지합니다.

좋은 플러그인에 비용이 드는 이유

그 이유는 여러 가지가 있습니다. 플러그인과 테마는 평판이 좋은 개발자부터 그늘진 개발자까지 모든 모양과 크기로 제공됩니다. 문제의 진실은 올바르게 수행되면 플러그인 개발이 저렴하지 않다는 것입니다. 정규직 전문 개발자는 좋은 인프라를 유지하면서 급여를 받아야 하며 테스트 시설도 청구서를 쌓습니다.

모든 무료 플러그인이 보안 위협을 가한다는 의미는 아닙니다. 많은 개발자들이 여가 시간을 좋은 품질의 무료 플러그인을 만드는 데 바칩니다. 그러나 광범위하게 테스트되고 지원되는 플러그인을 원한다면 프리미엄 플러그인이 적합할 것입니다.

WordPress 취약점 – 수치

알려진 WordPress 취약점의 수는 매년 증가 추세입니다. 실제로 WPScan은 데이터베이스에 1,437개의 새로운 취약점을 추가했고 그 전 해에는 514개를 추가했습니다. 2022년 11월에만 64개의 새로운 취약점이 추가되었습니다.

앞에서 논의한 취약성 분포를 고려할 때 이 숫자는 사용 가능한 WordPress 플러그인 수를 볼 때 유지됩니다. WordPress.org 리포지토리에는 작성 당시 사용 가능한 60,000개 이상의 플러그인이 나열되어 있으며 매일 추가됩니다. 플러그인은 개발자로부터 직접 구매하거나 비공식 소스에서 다운로드할 수도 있습니다.

끊임없이 변화하는 WordPress 취약성 환경으로 인해 표적 공격은 규칙이 아닌 예외입니다. 오래된 취약점이 패치되고 새로운 취약점이 도입됨에 따라 해커가 따라잡기가 어려울 수 있습니다. 또한 표적 공격에 시간이 많이 걸리므로 대부분의 공격이 자동화됩니다.

자동화된 공격은 도구를 사용하여 많은 웹사이트를 자동으로 스캔하여 취약성이 발견될 때마다 경고를 발생시킵니다. 이 때문에 대부분의 공격은 원한의 결과라기보다는 무차별적이다. 그러나 해커는 이러한 자동 공격에 어떤 도구를 사용합니까? 알아 보자.

WordPress 웹 사이트가 해킹되는 방법

WordPress는 다양한 방법으로 해킹될 수 있습니다. 해커는 대상을 추적하는 데 매우 창의적일 수 있습니다. 이로 인해 잘못된 보안 감각을 제공할 수 있으므로 WordPress 웹 사이트가 해킹될 수 있는 모든 방법을 나열하는 것이 불가능하고 위험합니다. 그러나 해커가 WordPress 웹 사이트를 해킹하기 위해 일반적으로 수행할 수 있는 프로세스를 보여주는 한 가지 예를 볼 수 있습니다.

WPScan – WordPress 취약점 스캐너

wpscan
WPScan 인터페이스: WordPress 보안 스캔

해커가 자주 사용하는 일반적인 도구 중 하나는 WPScan입니다. 온라인에서 쉽게 구할 수 있는 무료 도구입니다. WordPress 웹 사이트를 스캔하고 알려진 문제 및 안전하지 않은 구성을 식별하는 취약성 스캐너입니다. WPScan으로 기본 WordPress 보안 스캔을 실행하면 다음을 즉시 알 수 있습니다.

  • 워드프레스 버전
  • 설치된 플러그인, 해당 버전 및 설치된 경로
  • 설치된 테마, 해당 버전 및 설치된 경로

WPScan에는 WordPress 사용자 열거 스캔과 같은 다른 기능이 포함되어 있습니다. 이러한 스캔은 WordPress 웹사이트에 등록된 모든 사용자를 식별하고 열거하여 해커에게 WordPress 작동 방식에 대한 통찰력을 제공합니다. 이 정보로 무장한 해커는 WordPress 암호 무차별 대입 공격과 같은 2차 공격을 시작하여 시스템에 대한 액세스 권한을 얻을 수 있습니다.

여기에서 WordPress 암호 보안이 WordPress 웹 사이트의 전반적인 보안에 왜 중요한지 주목하는 것이 중요합니다. 비밀번호가 약하면 무차별 대입 공격이 비교적 쉽게 뚫릴 수 있습니다. 마찬가지로 모든 계정이 강력한 암호를 사용하는지 확인하는 것이 중요합니다. 손상된 기여자 계정은 많은 피해를 입힐 수 없지만 공격자는 손상된 웹 사이트에 대한 권한 에스컬레이션을 통해 관리 권한을 얻어 대혼란을 일으킬 수 있습니다.

해커가 해킹하는 이유

악의적인 행위자가 WordPress 웹사이트에 액세스할 수 있게 되면 다음과 같은 몇 가지 조치를 취할 수 있습니다.

  • 관리자 권한으로 새 계정 만들기
  • 다른 사용자가 WordPress에 다시 액세스할 수 없도록 기존 계정의 비밀번호를 재설정합니다.
  • 기존 휴면계정 역할 변경
  • 악성코드를 주입하도록 내용을 변경
  • WordPress 소스 코드 파일을 변조하여 백도어와 같은 악성 코드 추가
  • htaccess 파일에 리디렉션 추가

공격으로부터 워드프레스 보호

우리가 본 것처럼 나쁜 행위자는 WordPress 웹 사이트를 위반하기 위해 여러 가지 접근 방식을 취할 수 있습니다. 따라서 WordPress 웹 사이트를 보호하려면 단순히 사용자에게 암호가 있는지 확인하는 것보다 더 전체적인 접근 방식이 필요합니다.

  • 조사 – WordPress 호스팅 공급자를 찾고 있든 새로운 플러그인을 찾고 있든 시간을 내어 사전에 확인하십시오. 포럼은 고객이 제품이나 서비스에 대해 어떻게 느끼는지 빠르게 살펴보는 데 도움이 될 수 있으며 플러그인은 자주 업데이트되고 훌륭한 고객 지원이 있어야 합니다.
  • 테스트 – WordPress에 가장 적합한 플러그인을 선택하는 것이 추측 게임일 필요는 없습니다. 평판이 좋은 대부분의 플러그인 제공업체는 프리미엄 플러그인의 무료 평가판을 제공합니다. 이렇게 하면 커밋하기 전에 테스트할 수 있습니다.

설정을 파악한 후에는 최대 보안을 위해 올바르게 구성되었는지 확인해야 합니다. 보안 WordPress 구성은 일회성 작업이 아니라 다음을 포함하는 지속적인 프로세스입니다.

  • 강력한 암호 – 강력한 WordPress 암호 정책을 사용하면 무차별 대입 공격이 성공하기 전에 시간이 초과되도록 할 수 있습니다. 대문자와 소문자, 숫자 및 특수 문자를 적절하게 혼합하여 사용하십시오. 또한 암호가 자주 변경되도록 암호 만료 정책을 설정하십시오.
  • 2FA – 2단계 인증의 줄임말인 2FA는 WordPress 로그인에 추가 인증 계층을 추가합니다. 2FA를 사용하면 무차별 대입 공격이 성공하더라도 스마트폰에 액세스하지 않으면 해커가 로그인할 수 없습니다.
  • 업데이트 – WordPress, 플러그인 및 테마를 항상 최신 상태로 유지합니다. 이 최근 설문 조사에서 알 수 있듯이 WordPress 업데이트 구현은 다양한 방식으로 수행될 수 있습니다. 이를 통해 땀을 흘리지 않고 관리 및 보안 요구 사항의 균형을 맞출 수 있습니다.
  • 모니터 – WP 활동 로그와 같은 보안 플러그인으로 사용자 및 시스템 활동을 면밀히 주시하십시오. 이를 통해 의심스러운 행동을 조기에 식별하고 피해가 발생하기 전에 차단할 수 있습니다.

이것은 완전한 목록은 아니지만 좋은 출발점입니다. WordPress 보안은 지속적인 유지가 필요한 진화하는 주제입니다. WordPress 보안 블로그를 팔로우하는 것은 최신 상태를 유지하는 한 가지 방법이며 모닝 커피를 마시면서 읽을 수 있는 것입니다.

워드프레스 보안 유지

워드프레스 보안은 시작과 끝이 있는 프로세스가 아니라 주기입니다. 진화하는 위협에 대응하려면 지속적인 관심과 조정이 필요합니다. 너무 많은 작업처럼 들릴 수 있지만 종종 그렇듯이 유지 관리가 수리보다 낫습니다. 매달 몇 시간을 할애하면 보안 위험을 크게 줄이고 웹 사이트가 계속 성장할 수 있습니다.