WordPress 보안 가이드: WordPress 보안 2022 만들기

게시 됨: 2022-02-17

이것을 그림:

당신은 워드프레스 사이트를 열고, 눈이 밝고, 꼬리가 무성하며, 최신 블로그 게시물을 업로드할 준비가 되었습니다. 사람들이 스케치 웹사이트에서 약을 사도록 지시하는 이상한 콘텐츠 무리를 만났습니다.

대부분의 웹마스터에게는 최악의 악몽이지만, 올바른 보안 모범 사례를 마련하지 않으면 WordPress 사이트에 발생할 수 있는 일입니다.

우리는 당신을 놀라게 하려는 것이 아닙니다. WordPress 안전합니다. 전담 보안 팀과 지식이 풍부한 기여자 및 개발자 군대가 이러한 방식을 유지하도록 돕습니다.

그러나 WordPress 보안 모범 사례를 따라 안전한 기반을 구축하지 않으면 악의적인 행위자가 자신의 웹사이트에 송곳니를 넣을 수 있는 기회가 생길 수 있습니다.

이 게시물에서 우리는 그 악몽 같은 시나리오가 현실이 되는 것을 막을 수 있도록 모범 사례가 무엇인지 배울 수 있도록 돕기 위해 왔습니다.

이를 위해 다음 섹션을 다룰 것입니다.

  • 워드프레스는 안전한가요?
  • 보안이 정상화될 때까지 기다리면 안 되는 이유
  • 보안에 대해 지금 할 수 있는 21가지
  • 보안 침해의 위험
  • 사이트가 해킹되었는지 확인하는 방법
  • 세 가지 최고 수준의 WordPress 보안 플러그인
  • 구현해야 할 세 가지 가장 중요한 보안 전술
  • WordPress 보안 침해 모니터링 및 수정

이 게시물의 모범 사례를 살펴보는 데 몇 시간이 걸릴 수 있지만 지금의 작은 투자는 안전한 방탄 WordPress 사이트의 형태로 미래에 배당금을 지불할 것입니다.

워드프레스는 안전한가요?

WordPress는 인터넷에 있는 모든 웹사이트의 43% 이상을 장악하고 있습니다.

WordPress가 매우 유명하다는 사실은 지식 수준이 매우 다른 사람들을 포함하여 다양한 사람들이 사용한다는 의미이기도 합니다. 경험 많은 개발자와 이제 막 첫 블로그를 시작한 사람을 생각해 보십시오. 그리고 그 사이에 있는 모든 사람.

여기에 좋은 소식과 나쁜 소식이 있습니다...

좋은 소식:

워드프레스 안전합니다. 그래서 많은 일반 사람들은 물론이고 미국 백악관이나 페이스북과 같은 큰 조직에서도 사용하고 있습니다.

WordPress는 보안을 중시하는 대기업에서 사용합니다.

Facebook과 백악관은 웹사이트를 안전하지 않은 플랫폼에 신뢰하지 않을 것입니다. 게다가 인터넷 웹사이트의 43%는 워드프레스가 안전하지 않다면 실행되지 않을 것입니다.

나쁜 소식 :

많은 WordPress 사이트 해킹당합니다. Sucuri의 해킹된 웹사이트 보고서에서 WordPress는 일상적으로 가장 많이 해킹된 플랫폼입니다( 기억하십시오 – 매우 유명 합니다).

그렇다면 WordPress는 어떻게 안전 하고 사이트가 해킹될 수 있습니까? 서로 배타적인 것들이 아닌가?

글쎄요, 대답은 전적으로 사람들이 WordPress를 사용 하는 방법 에 있습니다.

이 게시물에서 다룰 것과 같은 보안 모범 사례를 따르는 데 적극적이라면 WordPress 사이트를 안전하게 유지 하고 문제를 피할 수 있습니다.

WordPress에는 50명 이상의 공식 보안 팀과 보안 확장을 구축하고 잠재적인 문제에 플래그를 지정하는 경험 많은 개발자를 포함하여 대규모 보안 장치가 있습니다.

그 사람들은 WordPress를 안전하게 만드는 일을 훌륭하게 수행하지만 그렇게 유지하려면 여전히 자신의 역할을 해야 합니다 .

WordPress 기여자들의 노력을 기반으로 구축하지 않고 모범 사례를 따르지 않으면 취약한 비밀번호를 사용하든 취약한 플러그인을 설치하든 또는 다른 무엇이든 WordPress 소프트웨어에 구멍을 뚫는 실수를 할 수 있습니다.

WordPress 보안에 대해 진지해질 때까지 기다리면 안 되는 이유

WordPress 보안은 별 문제가 아닌 것처럼 느껴지는 것 중 하나입니다. 정말 큰 문제가 될 때까지는 .

마케팅 및 사이트 성장 측면에서 많은 일을 해야 하므로 트래픽이나 수익과 같은 성장 메트릭에 보안 개선을 연결하기가 어렵기 때문에 보안을 뒤로 미루기 쉽습니다.

우리는 여기에서 약간 무뚝뚝하지만 그 사고 방식은 믿을 수 없을 정도로 근시안적입니다. 아래의 WordPress 보안 체크리스트를 구현하는 데는 시간이 걸리고 잠재적으로 약간의 비용이 소요되지만 사이트가 침해된 경우 "지불"하는 비용에 비하면 그 비용은 미미합니다.

한 번의 보안 침해는 시간, 수익, SEO 트래픽 손실, 방문자에 대한 신뢰 측면에서 쉽게 더 많은 "비용"을 초래합니다.

기본적으로 사이트의 보안을 놓고 도박을 하고 싶지는 않습니다. 나중에 엄청난 비용을 치르지 않도록 지금 시간을 투자하십시오.

WordPress 보안에 대해 지금 당장 할 수 있는 20가지

지금까지 이론에 대해 이야기했습니다. 이제 사이트를 보호하기 위해 구현할 수 있는 WordPress 보안 체크리스트부터 시작하여 사이트를 잠그기 위한 실행 가능한 몇 가지 전술을 살펴보겠습니다 .

1. 기본 WordPress 보안 테마 이해

사이트에서 무엇이든 변경하기 전에 WordPress 보안의 기본 테마를 이해하고 싶을 것입니다.

  • 액세스 제한 – 의도한 방법(사용자 계정)과 의도하지 않은 방법(취약점)을 통해 사이트에 대한 액세스를 제한합니다.
  • 문제 포함 – 악의적인 행위자가 액세스 권한을 얻은 경우 해당 행위자가 입힐 수 있는 피해를 제한해야 합니다.
  • 신뢰할 수 있는 타사만 사용 하십시오. WordPress 코어는 안전하지만 사이트에 추가하는 모든 확장 프로그램은 잠재적인 취약점입니다.

2. WordPress 업데이트를 즉시 적용

새로운 보안 취약점으로부터 사이트를 보호하려면 WordPress 핵심 업데이트, 플러그인 업데이트 및 테마 업데이트를 즉시 적용하는 것이 중요합니다. 즉시 적용해야 하는 보안 업데이트의 경우 특히 그렇습니다*.

*보안 업데이트는 버전 번호에 두 개의 점이 있습니다(예: 5.9.1). 단일 점이 있는 주요 기능 업데이트(예: 5.9)를 적용하기 위해 기다릴 수 있습니다.

3. 모든 것에 강력한 암호 사용

WordPress 관리자 계정, 호스팅 계정 및 기타 도구(예: SFTP 자격 증명)에 강력하고 고유한 암호를 사용하면 무차별 대입 공격 및 기타 유형의 로그인 기반 공격을 방지할 수 있습니다.

비밀번호를 안전하게 저장하기 위해 Bitwarden 또는 LastPass와 같은 비밀번호 관리자를 사용할 수 있습니다. 이러한 암호 관리자는 고유한 암호를 생성하는 데도 도움이 됩니다.

4. 신뢰할 수 있는 플러그인 사용

새로운 WordPress 릴리스 및 새로 발견된 취약점을 설명하기 위해 여전히 플러그인을 적극적으로 유지 관리하는 신뢰할 수 있는 개발자의 플러그인만 설치하십시오.

5. 컴퓨터 보안

WordPress 사이트에 액세스하는 데 사용하는 컴퓨터가 깨끗한지 확인하세요. 고품질 안티바이러스 소프트웨어를 사용하고 정기적인 맬웨어 검사를 수행하십시오.

6. 로그인 페이지 잠금

강력한 암호를 사용하는 것 외에도 로그인 시도 제한 및 이중 인증과 같은 전술을 사용하여 로그인 페이지를 보호할 수 있습니다. 로그인 시도 다시 로드 제한 및 2단계 인증과 같은 무료 기능별 플러그인을 사용하여 이를 수행할 수 있습니다. 또는 이 게시물의 뒷부분에서 논의할 광범위한 WordPress 보안 플러그인을 사용할 수 있습니다.

WordPress 로그인 URL을 변경할 수도 있습니다. 위의 팁을 구현하는 경우 추가 로그인 보안이 추가되지는 않지만 봇 트래픽을 줄일 수 있습니다.

7. 정기적인 백업 수행

정기적인 백업을 수행하고 긴 장소에 저장하는 것은 WordPress 보안의 중요한 요소입니다. 최근 백업이 있는 경우 사이트 데이터와 관련하여 최악의 보안 침해는 재앙이 아니라 불편입니다.

요즘 대부분의 관리형 WordPress 호스트는 자동 오프사이트 백업을 제공합니다. 그렇지 않은 경우 UpdraftPlus와 같은 플러그인을 사용할 수 있습니다.

8. 보안 호스팅 사용

방화벽 및 맬웨어 검사와 같은 견고한 보안 프로토콜을 구현하는 고품질 WordPress 호스트를 사용하십시오. 호스트에만 의존해서는 안 되지만 고품질 WordPress 호스트는 WordPress 사이트를 보호하는 데 큰 도움이 될 수 있습니다.

9. SSL 인증서 설치 및 HTTPS 사용

SSL 인증서를 설치했는지 확인하고 모든 트래픽을 보안 HTTPS 버전으로 강제 전송하도록 사이트를 설정하십시오. 이렇게 하면 방문자의 웹 브라우저와 사이트 서버 간에 전달되는 모든 데이터가 암호화됩니다.

SSL 인증서를 설치하는 방법을 배우려면 호스트의 지원 팀이나 문서를 참조할 수 있으며,Really Simple SSL과 같은 플러그인은 사이트에서 HTTPS 트래픽을 강제 실행하는 데 도움이 될 수 있습니다.

10. SFTP를 사용하고 암호를 저장하지 마십시오

사이트 서버에 연결할 때 암호화되지 않은 일반 FTP가 아닌 SFTP를 사용해야 합니다. 또한 암호화되고 암호로 보호되지 않는 한 SFTP 암호를 FTP 클라이언트에 저장하지 마십시오.

11. XML-RPC 비활성화

XML-RPC는 iPhone 앱과 같은 일부 앱이 WordPress 사이트에 연결하는 데 도움이 됩니다. 대부분의 사람들은 이러한 앱을 사용하여 연결하지 않을 것입니다. 즉, XML-RPC는 무차별 대입 공격 또는 DDoS 공격에 대한 불필요한 취약성 벡터일 뿐입니다.

이러한 이유로 대부분의 사람들은 XML-RPC 비활성화와 같은 플러그인이나 나중에 논의할 일반 보안 플러그인으로 수행할 수 있는 XML-RPC를 비활성화합니다.

12. 파일 편집 비활성화

기본적으로 WordPress를 사용하면 관리 사용자가 WordPress 대시보드에서 테마 및 플러그인 파일을 직접 편집할 수 있습니다. 이는 악의적인 행위자가 대시보드에 액세스하는 경우 큰 취약점입니다.

wp-config.php 파일에 라인을 추가하여 비활성화할 수 있습니다.

13. 보안 문제 모니터링

정기적인 보안 모니터링 정책을 시행하면 더 큰 문제가 되기 전에 문제를 파악하는 데 도움이 될 수 있습니다. 이 게시물의 뒷부분에서 적절한 모니터링 방법에 대해 이야기하겠습니다.

14. 보안 키 WordPress 파일 및 폴더

일부 WordPress 파일 및 폴더는 특히 취약하므로 wp-config.php 파일과 wp-adminwp-includes 폴더를 보호하는 데 특별한 주의를 기울여야 합니다.

15. 적절한 파일 권한 구현

파일 권한은 호스팅 서버의 파일 및 폴더에 대한 사용자 및 프로그램의 액세스 권한을 제어합니다. 부적절하게 구성되면 악의적인 행위자가 wp-config.php 파일 또는 .htaccess 파일과 같은 중요한 파일에 액세스할 수 있습니다.

WordPress에 대한 적절한 권한을 알아보려면 이 WordPress.org 페이지를 읽어보세요.

16. 활동 로깅 고려

활동 로깅을 사용하면 사이트에서 일어나는 일을 추적할 수 있으므로 의심스러운 행동이 주요 문제가 되기 전에 포착하는 데 도움이 됩니다.

활동 로깅을 설정하려면 WP 활동 로그와 같은 특수 플러그인을 사용할 수 있습니다. 또는 일부 다목적 WordPress 보안 플러그인에는 로깅 기능도 포함되어 있습니다.

17. 최신 보안 헤더 추가

HTTP 보안 헤더는 웹 브라우저가 사이트 콘텐츠에 참여하는 방식을 제어하여 사이트를 보호하는 데 도움이 될 수 있습니다. 일반적으로 서버 수준에서 구성합니다. KeyCDN에는 가장 중요한 보안 헤더를 설명하는 훌륭한 게시물이 있습니다.

18. 데이터베이스 보안

고유한 데이터베이스 테이블 접두사와 고유한 데이터베이스 이름을 사용하면 악의적인 행위자가 데이터베이스에 악성 콘텐츠를 삽입하는 것이 약간 더 어려워질 수 있지만 일부 전문가는 그 유용성에 대해 논쟁을 벌입니다. 이 변경 사항을 적용하기 쉽다는 점을 감안할 때, 비록 그것이 약간의 "은폐에 의한 보안"일지라도 여전히 가치가 있습니다.

19. 핫링크 비활성화

다른 사이트에서 이미지를 핫링크하는 것은 직접적인 보안 위험이 아닐 수 있지만 리소스 낭비라는 측면에서 서버에 부정적인 영향을 미칠 수 있으므로 핫링크를 비활성화하는 것이 좋은 보안 관행입니다.

20. 사전에 DDoS 방어 설정

분산 서비스 거부 공격을 처리하기 위한 계획을 세웁니다. 호스트에게 어떤 보호 기능이 있는지 문의하거나 Cloudflare에 사이트를 추가하여 필요한 경우 Cloudflare의 "I'm Under Attack" 모드를 빠르게 활성화할 수 있습니다.

사이트가 침해되면 어떤 위험이 있습니까?

사이트가 침해당할 경우 세 가지 주요 유형의 위험이 있습니다.

웹 방문자에 대한 위험

방문자에 대한 데이터를 저장하면 악의적인 행위자가 해당 정보에 모두 액세스할 수 있으므로 저장하는 데이터에 따라 신분 도용 또는 금융 도용 문제가 발생할 수 있습니다.

악의적인 행위자는 사용자를 속여 악성 파일을 다운로드하고 컴퓨터를 감염시키려고 할 수도 있습니다.

사이트 소유자에 대한 위험

보안 침해는 데이터 손실, 시간 낭비, 사이트 이용 불가 등의 직접적인 문제를 일으킬 수 있습니다. 정기적인 백업을 유지하지 않으면( 이 가이드를 읽은 후에는 그렇지 않기를 바랍니다 ) 전체 사이트를 잃어버리고 처음부터 다시 빌드해야 할 수도 있습니다.

위반은 방문자와의 신뢰 상실 또는 일반적인 평판 손상과 같은 덜 유형적인 문제를 일으킬 수도 있습니다.

다른 사이트에 대한 위험

공유 호스팅을 사용하거나 동일한 호스팅 계정에서 다른 사이트 중 일부를 호스팅하는 경우 사이트가 서로 밀접하게 격리되어 있지 않으면 침해된 한 사이트가 다른 사이트로 빠르게 확산될 수 있습니다. 이런 식으로 한 사이트가 감염되면 다른 사이트가 안전하더라도 다른 사이트를 제거하는 도미노처럼 작동할 수 있습니다.

WordPress 사이트가 해킹되었는지 확인하는 방법

사이트가 해킹되었음을 알 수 있는 두 가지 방법이 있습니다.

  • 반응적 징후 – 사이트에서 문제를 보았기 때문에 문제를 발견했습니다.
  • 사전 예방적 신호 – 보안 모니터링 프로토콜은 문제가 사이트에 나타나기 전에 경고합니다.

이상적으로는 문제가 문제가 될 때까지 기다리지 않고 문제를 사전에 해결할 수 있는 도구를 사용하는 것이 좋습니다. 그렇게 하면 사이트의 손상을 최소화할 수 있습니다.

해킹의 반응적 징후

  • 브라우저 경고 – 감염된 페이지를 방문하면 대부분의 브라우저에 경고가 표시됩니다. 자신의 사이트를 방문할 때 그런 일이 발생하면 문제가 있는 것입니다.
  • 검색 엔진 알림 – Google은 방문자가 감염된 사이트로 연결되는 링크를 클릭하는 경우에도 알림을 보냅니다. "이 사이트는 해킹당했을 수 있습니다"와 같은 메시지가 표시됩니다.
  • 웹마스터 서비스 – Google Search Console을 사용하는 경우 보안 및 직접 조치 → 보안 문제 로 이동하면 Google에서 보안 문제에 대해 경고합니다.
  • 웹 방문자 – 웹 방문자가 악성 콘텐츠를 발견하면 직접 알려줄 수 있습니다.
사이트가 맬웨어에 감염되면 Chrome에 경고가 표시됩니다.

해킹의 사전 징후

  • 맬웨어 스캐너 – 맬웨어 스캐너는 사이트 프론트엔드에 영향을 미치기 시작하지 않은 경우에도 서버에서 악성 코드를 감지할 수 있습니다.
  • 파일 무결성 검사 – 핵심 WordPress 파일이 공식 버전과 일치하지 않으면 사이트에 문제가 있다는 신호입니다. 대부분의 보안 플러그인은 코어 파일이 수정된 경우 자동으로 경고합니다.
  • 트래픽 모니터 – WordPress 사이트의 트래픽을 모니터링하면 발생하는 불규칙성을 감지하는 데 도움이 됩니다.
Wordfence 플러그인은 WordPress 보안 검사를 제공합니다.

세 가지 최고의 WordPress 보안 플러그인 및 도구

WordPress 보안과 관련하여 좀 더 마음의 평화를 원한다면 전용 WordPress 보안 플러그인 또는 서비스 사용을 고려할 수 있습니다.

이러한 도구가 경계할 필요를 완전히 없애지는 않지만 대부분의 WordPress 보안 모범 사례를 처리할 수 있습니다.

다음은 최고의 세 가지입니다.

1. 워드펜스

Wordfence는 최고의 WordPress 보안 플러그인 중 하나입니다.

Wordfence는 WordPress.org에서 가장 인기 있는 WordPress 보안 플러그인입니다. 사이트 보안의 모든 영역을 보호하고 모니터링할 수 있는 포괄적인 기능 세트가 있습니다.

  • 웹 애플리케이션 방화벽(WAF) 은 위협이 사이트에 해를 끼치기 전에 사전에 차단합니다. 새로운 위협을 차단하기 위해 지속적으로 업데이트되는 정의 세트를 포함합니다.
  • 감염 또는 보안 취약점을 탐지하기 위한 악성코드 및 보안 스캐닝 .
  • 로그인 시도 제한, 2단계 인증, 유출된 비밀번호 보호, XML-RPC 비활성화/강화 등을 포함한 로그인 보안 기능 .
  • 악의적인 행위자를 탐지하기 위한 실시간 로깅 .
  • 사이트의 잠재적인 문제를 즉시 알려주는 알림 .
  • 파일 변경 감지를 포함한 다른 많은 소규모 강화 전술 .
  • 한 곳에서 여러 사이트의 보안을 관리할 수 있는 중앙 보안 대시보드 .

WordPress.org에는 무료 버전이 있으며 Wordfence Premium은 $99부터 시작합니다.

2. 스쿠리

Sucuri는 플러그인 및 방화벽입니다.

Sucuri는 두 가지입니다.

  1. 기본 보안 강화 사례를 구현하는 WordPress.org의 무료 플러그인입니다.
  2. 서버 앞에 위치하여 악성 트래픽이 사이트에 도달하기 전에 차단하는 유료 방화벽 서비스입니다.

최상의 보호를 위해 두 도구를 모두 사용하는 것이 좋습니다.

무료 Sucuri 플러그인은 다음과 같은 보안 강화 기능을 구현합니다.

  • 파일 무결성 모니터링
  • 감사 로그
  • 자동 블랙리스트 모니터링
  • 파일 편집 비활성화 및 특정 PHP 파일 차단과 같은 기본 강화 옵션
  • 무차별 대입 공격을 감지하기 위한 로그인 모니터링 실패
  • 이메일을 통한 자동 보안 경고

방화벽 서비스를 사용하려면 도메인의 네임서버를 Sucuri로 변경하고 Sucuri의 방화벽은 네트워크 수준에서 사이트를 보호합니다.

Sucuri 플러그인은 무료이지만 방화벽은 월 $10부터 시작합니다. 맬웨어 청소 및 제거가 포함된 전체 웹 사이트 보안 계획에 대해 비용을 지불할 수도 있습니다. 이러한 계획은 연간 $200부터 시작합니다.

3. iThemes 보안

WordPress용 iThemes 보안 프로

iThemes Security는 사이트를 강화하고 보안 문제를 모니터링하는 데 도움이 되는 또 다른 인기 있는 도구입니다.

도움이 될 수 있는 사항은 다음과 같습니다.

  • 사이트 스캐너 는 사이트에서 알려진 취약점을 자동으로 감지합니다.
  • 이중 인증, 로그인 시도 제한, 신뢰할 수 있는 장치, 강력한 암호 요구 사항 등을 포함한 로그인 보호 .
  • 보안 이벤트 로깅 및 사용자 활동 로깅을 포함한 보안 로그.
  • 코어 파일이 수정되었는지 확인하기 위한 파일 변경 감지 .
  • 잠재적인 보안 문제에 대해 즉시 경고하는 이메일 알림 .
  • XML-RPC 비활성화, 파일 편집 비활성화, 파일 권한 검사 등을 포함한 일반 WordPress 강화 .

iThemes Security가 제공하지 않는 한 가지 기능은 방화벽입니다. 개발자는 방화벽을 원할 경우 이를 Sucuri의 방화벽 서비스와 페어링할 것을 권장합니다.

WordPress.org에는 제한된 무료 버전의 iThemes Security가 있지만 최상의 보호를 위해서는 iThemes Security Pro가 필요합니다. $80부터 시작합니다.

가장 큰 WordPress 보안 ROI를 위해 다음 세 가지에 집중하십시오.

삶의 많은 것들과 마찬가지로 WordPress 보안은 80/20 파레토 원칙을 따릅니다. 즉, 몇 가지 기본적인 WordPress 보안 전술에 초점을 맞추면 안전한 사이트를 확보할 수 있습니다 .

따라서 위에서 공유한 WordPress 보안 체크리스트를 따르는 것이 중요하다고 생각하지만 세 가지 영역에만 집중하면 WordPress 보안과 관련된 대부분의 문제로부터 사용자를 보호할 수 있습니다.

그들을 통해 가자…

1. 플러그인

WordPress 핵심 소프트웨어는 안전하지만( 업데이트를 유지하는 한 ) 플러그인은 핵심 팀이 제어할 수 없는 변수를 도입하여 악의적인 행위자에게 가장 큰 공격 벡터 중 하나가 됩니다.

그러나 플러그인도 WordPress의 필수 부분이므로 사용하지 않는 것은 현실적인 옵션이 아닙니다.

다음은 위험을 크게 최소화하면서 플러그인을 계속 활용하는 세 가지 방법입니다.

  • 버려진 플러그인 피하기 – 플러그인이 더 이상 유지 관리되지 않으면 새로 발견된 문제를 수정하고 최신 버전의 WordPress와 호환되도록 유지할 사람이 없다는 의미입니다.
  • 평판이 좋은 개발자에게서만 구매 하세요. WordPress 보안 모범 사례를 따르고 새로운 위협에 대처하는 HeroThemes와 같은 신뢰할 수 있는 개발자를 사용하십시오.
  • 정기적으로 업데이트 하십시오. 최고의 개발자가 만든 최고의 플러그인이라도 때때로 새로 발견된 취약점이 있을 수 있습니다. 품질 개발자는 이러한 취약점이 문제가 되기 전에 패치할 것입니다.

2. 무차별 대입 공격

무차별 대입 공격은 로그인 페이지를 통해 사이트에 침입하는 일반적인 공격 벡터입니다. 사이트의 나머지 부분이 얼마나 안전한지는 중요하지 않습니다. 악의적인 행위자가 사용자 이름과 비밀번호를 추측할 수 있다면 정문 열쇠를 가지고 있습니다.

자신을 보호하는 방법은 다음과 같습니다.

  • 강력하고 고유한 암호 사용 – 모든 계정에 대해 강력한 암호를 선택하고 동일한 암호를 여러 위치에서 재사용하지 마십시오.
  • 로그인 시도 제한 – 로그인 시도 실패를 제한하거나 보안 문자를 추가하여 사람들이 로그인 페이지를 무차별 대입하는 것을 막습니다.
  • 2단계 인증을 고려하십시오 . 보안을 더욱 강화하기 위해 SMS 또는 이상적으로는 스마트폰 앱 또는 하드웨어 키를 통한 2단계 인증 사용을 고려할 수 있습니다.
  • 고유한 사용자 이름 - "admin"을 사용자 이름으로 사용하지 말고 사용자 이름을 추측하기 어렵게 만드십시오.
WordPress에서 로그인 시도를 제한하는 예

3. 호스팅 계정

귀하의 WordPress 사이트는 완벽하게 잠겨 있을 수 있습니다. 그러나 악의적인 행위자가 귀하의 호스팅 계정에 액세스하면 귀하의 사이트에서 원하는 모든 작업을 수행할 수 있습니다.

이를 중지하려면 호스팅 계정과 서버도 잠그는 것이 중요합니다.

  • 강력한 암호 사용 – WordPress 계정과 마찬가지로 호스팅 및 SFTP 계정에 강력하고 고유한 암호를 사용하십시오.
  • 2단계 인증을 활성화합니다 . 대부분의 호스팅 제공업체는 2단계 인증을 지원하므로 이를 활용하십시오.
  • SFTP 사용 – 암호화되지 않은 FTP가 아닌 항상 SFTP를 통해 연결합니다.
  • SFTP 암호를 저장하지 마십시오 – 암호화되지 않은 SFTP 암호를 FTP 클라이언트에 저장하지 마십시오.

WordPress 보안 침해 모니터링, 식별 및 수정

위의 모든 WordPress 보안 전술을 구현하는 경우 보안 위반을 처리할 필요가 없기를 바랍니다.

그러나 틈 사이로 무언가가 빠져나갈 수 있기 때문에 보안 문제를 감지하고 수정할 계획을 세우는 것이 중요합니다.

취약점 모니터링

  • 사이트 스캔 – Sucuri SiteCheck와 같은 도구를 사용하여 블랙리스트 문제를 포착하고 보안 플러그인으로 서버를 스캔하십시오.
  • Google Search Console – 보안 문제 섹션의 경고에 주의하세요.
  • 검색에서 Google 사이트 명령 사용 - site:yoursite.com을 검색하여 Google이 악성으로 보이는 콘텐츠를 색인화했는지 확인합니다. 이것은 당신이 만들지 않은 콘텐츠이거나 이상한 제목/메타 설명이 있는 콘텐츠일 수 있습니다.
  • 활동 로그 – 사이트의 활동 로그를 탐색하여 의심스러운 활동을 포착합니다.
  • 분석 확인 – 트래픽 분석에서 설명할 수 없는 급락 또는 ​​최고치를 찾습니다.
  • .htaccess 파일 – .htaccess 파일의 변경 사항에 주의하십시오. 많은 행위자가 악성 리디렉션을 배치하거나 사용자 에이전트 규칙을 설정하여 방문자로부터 SEO 스팸을 숨길 수 있습니다.
Sucuri SiteCheck의 블랙리스트 확인 예

문제 식별

모니터링 작업에서 문제가 감지되면 사이트의 특정 문제를 식별하여 문제를 수정하고 사이트를 작동할 수 있습니다. 이를 위해 보안 플러그인을 사용하여 사이트를 스캔하고 악성 파일과 백도어를 식별할 수 있습니다.

사이트 수정

특정 문제를 식별했다면 이제 사이트를 수정할 차례입니다.

감염의 심각성과 지식 수준에 따라 여기에서 선택할 수 있는 몇 가지 다른 경로가 있습니다.

  • 보안 플러그인 사용 – 많은 보안 플러그인은 파일을 정리하거나 사이트를 깨끗한 버전으로 롤백하여 원클릭 수정을 제공합니다.
  • 전문가 고용 – 부담스럽다면 Sucuri의 웹사이트 보안 또는 Wordfence 사이트 청소 서비스와 같은 전문가 서비스에 비용을 지불할 수 있습니다.
  • 수동 정리 수행 - 기술 지식이 있는 경우 사이트를 수동으로 정리할 수 있습니다. MalCare에는 수동 청소 수행 방법에 대한 자세한 가이드가 있습니다.

사이트가 Google에 의해 블랙리스트에 등록된 경우 사이트를 정리한 후 검토를 요청하는 것도 좋습니다. Google Search Console의 보안 문제 섹션에서 이 작업을 수행할 수 있습니다.

WordPress 사이트를 안전하게 유지

WordPress 안전하지만 사람들이 WordPress를 사용하는 방식이 항상 안전한 것은 아닙니다.

지금 잠시 시간을 내어 WordPress 보안에 대한 사전 예방적 계획을 세우면 보안 사이트의 형태로 배당금을 지불하고 향후 위반에 대처할 필요가 없습니다.

이 게시물의 팁을 구현하고 Wordfence의 체크리스트와 같은 WordPress 보안 체크리스트를 따를 수 있습니다. 도움이 필요하면 개발자의 도움을 받거나 WordPress 유지 관리 서비스를 고용할 수도 있습니다.

WordPress 보안은 혼자만의 문제가 아닙니다. 사이트에 전체 WordPress 커뮤니티가 있어 더 안전한 사이트를 만들 수 있습니다.

여기 HeroThemes에서는 WordPress 사이트를 안전하게 유지하면서 확장할 수 있는 안전하고 안정적인 플러그인과 테마를 만드는 데 중점을 둡니다. 같은 작업을 수행하는 다른 개발자의 힙이 있습니다.

이러한 확장 프로그램을 고수하고 다른 보안 모범 사례를 따르면 안전한 WordPress 사이트의 이점을 누릴 수 있습니다.