WordPress 보안: 위협을 식별하고 제거하는 방법

게시 됨: 2018-05-11

"우리는 공격을 받기에는 너무 작습니다" 또는 "재무 보고서와 같은 민감한 데이터는 처리하지 않습니다"와 같은 변명은 더 이상 적합하지 않습니다. 크기에 관계없이 모든 웹 사이트는 취약하며 해커의 함정에 빠질 수 있다는 것이 반복적으로 입증되었습니다.

웹사이트에 전문적으로 접근하는 경우 WordPress 보안 모범 사례에 주의를 기울여야 합니다. 해커와 맬웨어로부터 WordPress 사이트를 보호하기 위한 전체 팁 목록을 공유합니다.

웹 사이트 소유자는 코딩 방법을 모르고 복잡한 문제의 미로에 들어가고 싶지 않더라도 WordPress의 보안을 향상시킬 수 있습니다.

자료를 걷다보면 어려움이 없으시도록 단계별 안내를 준비하고 네비게이션을 만들었습니다. 텍스트의 올바른 부분에 신속하게 도달할 수 있으며 읽기가 끝나면 웹 사이트는 웹에 있는 대부분의 리소스보다 훨씬 더 안전합니다.

보안이 왜 중요한가요?

해킹된 WordPress 사이트는 비즈니스와 평판에 심각한 손상을 줄 수 있습니다. 해커는 사용자 정보, 암호를 도용하고 맬웨어를 설치하고 사용자 간에 트로이 목마를 배포할 수 있습니다.

2017년에 Google은 5,500만 명이 넘는 사용자가 멀웨어가 있는 웹사이트를 방문하는 것에 대해 경고를 받았다고 보고했습니다. Google은 매주 20,000개 이상의 악성 프로그램 목록을 작성합니다.

귀하의 사이트가 귀하의 비즈니스인 경우 보안에 더 많은 주의를 기울여야 합니다. 침입자로부터 리소스를 보호할 책임은 귀하에게만 있습니다. 워드프레스 보안 코덱스(WordPress Security Codex)에 명시된 바와 같이 “ 기본적으로 보안은 완벽하게 안전한 시스템에 관한 것이 아닙니다. 그러한 것은 비실용적이거나 찾기 및/또는 유지 관리가 불가능할 수 있습니다. 보안이란 위험 제거가 아니라 위험 감소입니다. 자신이 표적이 된 후 해킹을 당할 확률을 줄여 전반적인 자세를 개선할 수 있는 합리적인 범위 내에서 사용할 수 있는 모든 적절한 컨트롤을 사용하는 것입니다.”

시간을 내서 다음 모범 사례를 살펴보고 최신 WordPress 소프트웨어 사용, 강력한 자격 증명 정책 및 보안 중심 시스템 관리와 ​​같이 업계에서 입증된 WordPress 보안 전략을 확인하십시오.

취약점 유형

WordPress의 일반적인 취약점은 테마의 낮은 보안, 서버, 데이터베이스, 파일 권한, FTP 및 wp-admin, wp-config 및 wp-includes와 같은 특정 파일 구성 요소의 취약점입니다. 그들은 공격에 가장 취약합니다.

수많은 해킹 사건을 통해 침입자가 WordPress 보안 서비스에서 보호되지 않은 링크를 사용하는 것이 얼마나 쉬운지 보여주었습니다. 하나의 취약점으로 인해 웹사이트가 수천 건의 공격에 노출될 수 있습니다. 예를 들어, 2월 초에 사이버 범죄자들은 ​​손상된 WordPress 사이트가 일련의 악용 을 통해 방문자를 도메인으로 리디렉션하는 대규모 캠페인을 시작했습니다 .

Exploit 은 WordPress 사이트의 허점을 사용하여 해커가 시스템을 해킹할 수 있도록 하는 코드입니다. 즉, 웹사이트에서 보호되지 않는 요소를 찾아 공격하는 소프트웨어입니다.

익스플로잇은 리소스 보안에 적절한 주의를 기울이지 않는 프로그래머의 오류로 인해 형성됩니다. 익스플로잇이 발견되면 이 취약점을 제거하는 패치를 만들어야 합니다.

또 다른 일련의 공격에서 해커는 XML-RPC 파일의 취약점을 악용했습니다.

XML-RPC 는 XML을 사용하여 호출을 인코딩하고 HTTP를 사용하여 웹 사이트에 원격으로 요청이나 주문을 보내는 RPC(원격 프로시저 호출) 프로토콜입니다. 해커가 리소스를 해킹할 수 있는 추가 기회를 제공하지 않으려면 간단히 삭제할 수 있습니다. 필요할 때 복원할 수 있습니다.

SQL 인젝션 은 해커가 웹사이트에 특별한 SQL 요청을 보낼 때 방화벽을 우회하여 데이터베이스를 공격하는 가장 일반적인 방법입니다. 이러한 코드 삽입은 리소스에서 악성 또는 사기 사이트에 연결할 수 있는 새 관리자 계정을 만들 수 있습니다.

SQL 인젝션을 방지하는 방법은 무엇입니까?

오류 메시지는 주로 웹사이트에 대한 민감한 정보를 검색하는 데 사용됩니다. 따라서 비활성화하거나 사용자 지정 오류 메시지를 만들어야 합니다. WordPress 개발 서비스의 사이버 보안 전문가는 모든 기밀 정보와 암호에 SHA1 또는 SHA 암호화를 사용해야 한다고 말합니다. 부여된 권한의 수를 제한하면 그러한 악의적인 공격의 가능성이 줄어듭니다.

무차별 대입 공격

무차별 대입 공격은 시행 착오 방법으로 로그인과 암호의 올바른 조합을 얻으려는 시도로 구성됩니다. 해커가 로그인에 액세스하려고 시도하는 가장 쉬운 방법입니다. 이러한 종류의 공격은 다양한 방식으로 실행될 수 있으며 각 방법은 로그인과 비밀번호의 조합을 반복적으로 추측하려고 시도합니다. WordPress 로그인 시도 횟수에 제한이 없기 때문에 봇이 사용하는 일반적인 전술입니다. 공격이 성공하면 웹사이트와 비즈니스의 민감한 정보가 위험에 처할 수 있습니다. 실패하더라도 시스템에 과부하가 걸릴 수 있습니다.

무차별 대입 공격에 대처하는 방법?

가장 좋은 방법은 무제한 로그인 시도를 제거하는 잠금 정책을 활성화하는 것입니다. 특정 기간 동안 계정이 잠긴 경우에도 점진적 지연을 사용할 수 있습니다. Captcha와 같은 도구가 도움이 되지만 웹사이트의 유용성에 영향을 미칩니다. 이러한 유형의 공격에 대처하기 위해 복잡한 암호를 만드는 것도 도움이 될 수 있습니다.

사이트 간 스크립팅

WordPress의 모든 보안 침해 중 거의 84%가 Cross-Site Script 또는 XSS 공격입니다. 이러한 유형의 취약점은 WordPress 플러그인에서 가장 흔히 볼 수 있습니다. 여기에서 침입자는 웹 응용 프로그램을 사용하여 악성 스크립트와 코드를 안전하고 신뢰할 수 있는 사이트로 전송합니다. 그 결과 악성 JavaScript 파일이 웹 페이지에 다운로드되어 기밀 정보를 도용하는 데 사용됩니다.

사이트 간 스크립팅을 방지하는 방법은 무엇입니까?

XSS 공격을 방지하는 몇 가지 방법이 있습니다.

  1. 신뢰할 수 없는 데이터가 HTML 문서에 액세스하는 것을 허용하지 마십시오.
  2. Sanitization API WordPress 및 Escaping API WordPress(기밀 정보를 보호하고 공개적으로 표시하지 않는 코드 정리 기능(예: 브라우저 링크 주소 표시줄))를 사용합니다.
  3. URL 요청 문자열에 신뢰할 수 없는 데이터를 입력하기 전에 URL에 인코딩되어 있는지 확인하십시오.
  4. HTML 페이지에 신뢰할 수 없는 데이터를 배치하기 전에 코드 구문을 교체하여 HTML로 인코딩되었는지 확인하십시오.

웹 서버 및 OS 공격

또한 웹 서버 및 운영 체제에 특정 보안 취약점이 있습니다. 이러한 보안 위협은 OpenSSL에 오류가 기록될 때 생성되며, 이를 통해 해커가 데이터베이스 및 기밀 정보에 액세스할 수 있습니다. 이 심각한 취약점은 모든 웹사이트의 거의 2/3에 영향을 미칩니다.

웹 서버에 대한 공격을 방지하는 방법은 무엇입니까?

  1. OpenSSL 소프트웨어에 대한 정기적인 보안 검사를 수행합니다.
  2. 서버 측 유효성 검사를 수행합니다.
  3. 외부의 입력을 신뢰하지 마십시오.
  4. IPS 및 방화벽 서명을 업데이트하고 Heartbleed 서명을 활성화합니다.
  5. 기존 SSL 인증서를 취소하고 새 인증서를 만듭니다.
  6. 이전 키로 새 인증서를 만들지 마십시오.

악성 프로그램 은 시스템을 파괴 및 손상시키거나 데이터베이스에 액세스하도록 설계되었습니다. 이러한 소프트웨어는 사용자의 동의 없이 시스템에 침투하는 실행 코드 및 스크립트의 한 형태입니다.

워드프레스 사이트가 해킹당할 때마다 최근에 수정된 파일을 살펴보세요. 가장 일반적인 맬웨어 감염에는 백도어, 다운로드 가능한 디스크 및 악성 리디렉션이 포함됩니다.

악의적인 공격에 대처하는 방법?

  1. 악성 파일을 수동으로 제거하십시오.
  2. 백업에서 WordPress 사이트를 복원합니다.
  3. 항상 WordPress 및 플러그인을 업데이트하십시오.
  4. "admin" 계정을 삭제하고 다른 고유한 사용자 이름을 사용하십시오.

해킹 탐지

탐지하기 매우 어려운 해킹 시도의 비율은 낮지만 일반적으로 성공 여부를 식별할 수 있습니다.

취약점 감지 지표:

  • 특히 해외에서 갑자기 예상치 못한 트래픽 급증
  • 도메인은 자동으로 타사 사이트로 리디렉션됩니다(종종 스팸).
  • 홈페이지 및 내부 페이지가 갑자기 변경되거나 콘텐츠가 사라집니다.
  • 발신 대역폭의 버스트는 서버가 캡처되어 DDoS 공격에 사용되었음을 나타낼 수 있습니다.
  • Google, Yandex, Bing 및 브라우저(Firefox 및 Chrome)와 같은 검색 엔진이 사용자의 사이트 방문 위험에 대해 경고하기 때문에 직접적이고 유기적인 트래픽이 감소합니다.

웹 사이트에서 나열된 활동 중 하나를 발견하면 여기에서 WordPress 웹 사이트의 보안 진단을 신속하게 수행 하십시오 . 주소 표시줄에서 www.example.com을 웹사이트 도메인으로 바꾸면 됩니다. 서비스의 대안은 무료 URLVoid 도구 를 사용하여 사이트의 평판을 확인하는 것 입니다.

보안 침해 제거

해킹 시도에 대해 리소스를 신중하고 객관적으로 모니터링합니다. 보안 문제가 있는 경우 위반 사항을 제거하기 시작해야 합니다.

귀하의 사이트가 사이버 범죄자의 표적이 되었다고 확신하는 경우 방문자에게 이에 대해 알리는 것이 옳습니다. 해커에게 취약할 수 있으므로 사용자에게 이메일을 자동 배포하도록 구성합니다. 귀하의 사이트가 보안 침해의 피해자일 수 있으며 귀하의 사이트 방문을 잠시 중단하는 것이 더 낫다고 알리십시오. 문제가 수정될 날짜를 지정합니다.

공격이 확산되면 문제를 찾아 해결할 때까지 사이트를 끄고 오프라인 모드에서 작업하는 것이 좋습니다. 작업 기간 동안 "재건 중인 사이트" 페이지를 두는 것이 좋습니다. 그것은 문제가 일시적이며 영원히 두려워하지 않을 것임을 사용자에게 분명히 할 것입니다.

웹 호스팅에 문의

웹 호스팅 회사는 매일 수천 개의 웹 사이트와 작업하며 인터넷에서 모든 종류의 보안 문제에 직면합니다. 사이트 보안이 위험하다는 것을 알게 되면 호스팅 회사에 연락하여 문제를 설명하십시오.

대부분의 웹 호스팅 회사에는 IT, 보안 전문가가 있습니다. 악의적인 공격을 식별하고 수정하는 데 도움이 될 수 있습니다. 호스팅 회사가 도움을 제공하지 않더라도 해당 전문가는 유사한 문제에 직면한 다른 웹사이트 소유자에게 연락할 수 있습니다. 문제를 해결하기 위해 무엇을 해야 하는지 이해하는 데 도움이 됩니다.

우수한 호스팅 제공업체는 일반적인 위협으로부터 서버를 보호하기 위해 추가 조치를 취합니다. 그러나 공유 호스팅에서는 다른 웹사이트 소유자와 리소스를 공유합니다. 해커가 이웃 웹 사이트를 사용하여 귀하를 공격할 수 있는 경우 교차 사이트 스크립팅 공격의 위험이 높아집니다.

WordPress 관리 호스팅을 사용하면 자동 백업, 업데이트 및 리소스를 보호하기 위한 보다 복잡한 보안 구성과 같은 추가 기능으로 인해 웹 사이트를 보다 안전하게 운영할 수 있습니다.

웹 보안 전문가의 도움 받기

일반적으로 가장 취약한 웹 사이트 파일은 미디어 파일, .php 파일 및 안전하지 않은 장소에 저장된 파일입니다. 해커는 이러한 파일에 악성 코드를 삽입하고 백도어 공격을 사용하여 웹사이트를 손상시킵니다. 이들은 전형적인 위험 구역이므로 먼저 점검한 후 현장의 다른 구역으로 이동하여 청소 프로세스를 시작해야 합니다.

감염된 파일에서 악성 코드를 제거하려면 서버에서 악성 코드를 다운로드하고 영향을 받는 코드를 제거한 다음 깨끗한 파일을 서버에 다시 업로드해야 합니다.

때로는 감염된 파일을 정리하는 것만으로는 충분하지 않습니다. 아마도 해커는 파일에 액세스할 수 있으며 계속해서 파일을 변경하고 코드 조각을 삭제할 것입니다. 올바른 방법은 감염된 파일의 치료된 버전을 웹 개발자의 소스 파일과 비교하여 중요한 코드 조각이 손실되었는지 확인하는 것입니다.

일반적으로 해커는 감염된 파일을 모두 제거한 후에도 사이트를 해킹할 수 있는 백엔드 셸을 설치합니다. 이러한 쉘은 종종 일반 파일로 위장합니다. 사이트가 손상된 경우 백업으로 돌아갈 때 보안 서비스에 작업을 아웃소싱하여 웹 사이트가 완전히 안전하고 더 잘 작동할 수 있는지 확인하십시오.

비밀번호 변경

감염된 파일을 정리하는 것은 취약점을 제거하는 작업의 일부일 뿐입니다. 해커가 데이터에 다시 액세스하지 못하도록 해야 합니다. 가장 쉽고 효과적인 방법은 비밀번호를 변경하는 것입니다. 모든 비밀번호:

  • 이메일;
  • FTP 계정;
  • 호스팅 계정;
  • 워드프레스 관리자 패널.

새 암호가 신뢰할 수 있고 무차별 대입 방법을 사용하여 해독할 수 없는지 확인해야 합니다. 암호 도용은 WordPress 웹 사이트를 해킹하는 가장 일반적인 유형입니다. 따라서 이전에 사용한 적이 없는 보다 복잡한 암호를 생성하는 것이 좋습니다.

초보자가 강력한 암호 사용을 선호하지 않는 주된 이유는 기억하기 어렵기 때문입니다. 이제 이 문제에 대한 해결책이 있습니다. 암호 관리자를 사용하기만 하면 됩니다.

위험을 줄이는 효과적인 방법은 WordPress 계정에 액세스하기 위해 여러 역할을 갖는 것입니다. 게스트 작성자가 있는 경우 웹 사이트에 새 사용자를 추가하기 전에 모든 사람의 역할과 기능을 이해해야 합니다.

WordPress 사이트를 보호하는 방법

일반적으로 웹 사이트 보안을 유지 관리하는 것은 복잡한 작업으로 간주되며 높은 급여를 받는 전문가의 직원이 필요합니다. WordPress의 경우 상황이 그렇게 무섭지 않습니다. 심층적인 기술 지식 없이 WordPress 사이트를 보호하는 방법을 보여드리겠습니다. 코딩하는 방법, 복잡한 작업 수행 방법, 머리 위로 일어서거나 비밀 부두 의식 수행 방법을 알 필요가 없습니다.

시작하자!

1단계. 백업 옵션 설정

백업은 WordPress 공격으로부터 보호합니다. 어떤 웹사이트도 100% 안전할 수 없음을 기억하십시오. 정부 웹사이트도 때때로 해킹을 당합니다. 따라서 리소스도 대상이 될 수 있습니다.

백업은 취약한 웹 사이트를 빠르게 복원하도록 설계되었습니다. 따라서 이를 위해 기성품 WordPress 플러그인을 사용하는 것이 좋습니다. 유료 및 무료 옵션이 많이 있습니다.

여기서 가장 중요한 것은 백업을 정기적으로 수행해야 한다는 것입니다. 한 가지 중요한 규칙이 있습니다. 호스팅 계정이 아니라 타사 스토리지 서비스(예: Dropbox 클라우드, Amazon)에서 생성해야 합니다.

웹 사이트를 더 자주 업데이트할수록 더 자주 백업 복사본을 만들어야 합니다. 블로그를 매일 업데이트하는 경우 하루에 한 번 이상 백업을 수행하는 것이 좋습니다.

그것을 하는 방법?

VaultPress 또는 BackupBuddy 와 같은 플러그인을 다운로드 합니다 . 그들은 신뢰할 수 있고 가장 중요한 것은 사용하기 쉽고 설정하기 쉽고 주요 백업 기능에 완벽하게 대처할 수 있다는 것입니다.

WordPress 보안 플러그인 및 서비스 사용

기본 보안 인프라를 갖추는 것은 규모에 관계없이 모든 웹사이트에 필수입니다. 예를 들어, WordPress 사용자를 위한 간단한 도구인 Login Lockdown 은 무차별 대입을 사용한 로그인 시도의 원시 공격을 방지하는 데 유용합니다.

따라서 귀하의 사이트를 보호하는 방화벽이나 보안 시스템이 아직 없다면 지체 없이 활성화하십시오. 우리의 목표는 공격을 방지하고 피해가 발생한 후 복원하지 않는 것이므로 솔루션으로 웹 응용 프로그램 방화벽(WAF)을 사용하는 것이 좋습니다.

방화벽 은 추가 보호 수준을 추가하고 웹 사이트로 들어오는 모든 트래픽을 제어하여 광범위한 악성 위협을 차단 하는 기성 소프트웨어 솔루션입니다.

Open Web Application Security Project, SQL Injection, Cross-Site Scripting, Invalidated Redirects를 포함하여 가장 일반적이고 공격적인 위협에 대항합니다. 방화벽이나 방화벽은 종종 최신 운영 체제에 내장되거나 유료 안티바이러스 시스템에 포함됩니다.

WAF(웹 응용 프로그램 방화벽)는 사이트를 보호하고 보안을 확인하는 가장 쉬운 방법입니다. 리소스를 추월하기 전에 모든 악성 트래픽을 차단합니다.

우수한 호스팅 제공업체는 오픈 소스와 함께 mod_security Apache 서버 모듈을 사용하여 내장된 WAF 보호 기능을 제공하지만 최근에 탐지된 위협을 차단하는 것만으로는 충분하지 않다는 것을 알고 있습니다. 모듈은 빠르게 진화하는 위협 환경을 추적하기에 충분한 리소스가 없는 웹 호스팅에 의해 거의 업데이트되지 않습니다.

따라서 사용자는 클라우드 보안 공급자가 제공하는 방화벽을 사용하여 자신의 손으로 작업을 수행해야 합니다. 이러한 클라우드 기반 WAF는 들어오는 모든 트래픽을 제어하고 전체 위협 탐지 및 제거 프로세스를 자율적으로 처리하여 신규 및 기존 위협에 신속하게 대응하는 플러그 앤 플레이 솔루션입니다.

또한 이러한 클라우드 서비스에는 일반적으로 CDN 콘텐츠 전송 네트워크, DDoS 장애 조치 서비스 및 성능, 보안 및 가용성을 개선하기 위한 로드 밸런싱 솔루션이 함께 제공됩니다.

WordPress용 웹 애플리케이션을 위한 최고의 방화벽으로 Sucuri 를 권장합니다 . Sucuri 방화벽의 장점은 맬웨어 제거가 보장된다는 것입니다. 개발자는 웹사이트 수정을 보장합니다(페이지 수에 관계없이). 보안 전문가는 일반적으로 시간당 $250의 작업을 예상하지만 Sucuri의 전체 보안 범위는 연간 $199에 사용할 수 있습니다.

Sucuri는 유일한 방화벽 공급업체가 아닙니다. 이미 발을 딛고 있는 그의 유명한 경쟁자는 Cloudflare 입니다.

Sucuri와 Cloudflare의 차이점은 무엇입니까?

두 서비스 모두 서로 다른 기능 세트와 함께 제공되는 서로 다른 요금제를 제공합니다.

클라우드플레어 기능

Cloudflare는 무료 CDN 서비스로 명성을 얻었습니다. DDoS 공격 방지에 특화되어 있습니다. Cloudflare는 공격 중이거나 서버가 응답하지 않을 때 트래픽이 많은 사용자가 사이트에 액세스할 수 있도록 합니다.

방화벽은 또한 양식을 덮고 스팸 댓글 및 스팸 등록으로부터 웹사이트를 보호합니다. Cloudflare는 또한 모든 유료 플랜에서 무료 SSL 인증서를 제공합니다. 무료 플랜에서는 Cloudflare 인증서만 사용할 수 있습니다. 사용자 지정 인증서를 얻으려면 비즈니스 또는 기업 요금제로 업그레이드해야 합니다.

Cloudflare에는 무료 CDN을 제공하는 무료 버전이 있지만 웹 애플리케이션 방화벽을 포함한 대부분의 다른 기능은 유료 플랜으로 전환해야 합니다.

Cloudflare는 맬웨어를 감지하기 위해 서버를 스캔하는 서비스를 제공하지 않습니다. 또한 맬웨어 제거를 보장하지 않습니다.

스쿠리 기능

Sucuri는 웹사이트 모니터링을 위한 가장 안정적인 보안 서비스 중 하나입니다. 맬웨어에 대한 포괄적인 모니터링 및 검사, DDoS로부터 보호, 악성 소프트웨어 제거를 제공합니다.

Sucuri는 웹사이트 방화벽인 CloudProxy와 부하 분산 서비스를 제공합니다. 의심스러운 트래픽, 감염된 코드, 봇 및 기타 위협을 차단합니다. Sucuri는 정기적으로 귀하의 웹사이트를 스캔합니다.

무엇을 선택할 것인가?

Sucuri는 도구와 서비스의 최상의 조합(방화벽 사이트 + 로드 밸런싱 + 맬웨어 제거/해킹 복구)을 제공하기 때문에 분명히 더 많은 이점이 있습니다.

가격

Cloudflare 는 모든 사람에게 무료 CDN 서비스를 제공합니다. 그들은 대역폭에 대해 요금을 부과하지 않습니다. 즉, 트래픽 양에 관계없이 무료 CDN을 사용할 수 있습니다.

그러나 무료 플랜에는 웹 애플리케이션용 방화벽이 제공되지 않습니다. 귀하의 웹사이트는 CDN을 사용할 수 있지만 DDoS 공격, 스팸 등으로부터 제대로 보호되지 않습니다.

방화벽을 사용하려면 한 달에 $20의 비용이 드는 Pro 계획이 필요하지만 이 계획에는 DDoS 공격 및 사용자 지정 SSL의 고급 감소가 포함되어 있지 않습니다. 이러한 기능을 사용하려면 한 달에 200달러의 비용이 드는 비즈니스 플랜을 구입해야 합니다.

Sucuri 는 무료 플랜을 제공하지 않습니다. 그들의 보안 계획은 연간 $199부터 시작하며, 이는 CloudFlare의 Pro 계획보다 더 저렴한 것으로 판명되었습니다. 이 기본 계획에는 전체 사이트 모니터링, 웹 애플리케이션 방화벽, DDoS 보호, 맬웨어 제거 및 무료 SSL 인증서가 포함됩니다.

Sucuri는 낮은 수준의 계획에서 중요한 기능을 제외하는 대신 더 비싼 계획에 대한 인센티브로 시간 우선 순위를 사용합니다. 예를 들어 기본 요금제에서 멀웨어 제거 시간은 12시간, 프로페셔널 요금제는 6시간, 비즈니스 요금제는 4시간입니다. 동시에 실제 청소 시간은 계획에 표시된 것보다 빠릅니다.

Sucuri는 모든 계획에 대해 24시간 지원을 제공합니다. 그들의 사업 계획 가입자는 또한 채팅 지원을 사용할 수 있습니다.

무엇을 선택할 것인가?

Sucuri는 가격면에서 중소기업에게 확실한 선택입니다. Cloudflare Pro는 연간 240달러이며 Sucuri는 다양한 기능으로 연간 199달러를 청구합니다. 동일한 기능을 사용하려면 연간 $2,400의 Cloudflare 요금제로 이동해야 합니다. 가장 비싼 Sucuri 계획은 연간 $499입니다.

맬웨어 제거

맬웨어 및 감염된 코드는 웹사이트 소유자가 직면하는 가장 일반적인 위협입니다.

Sucuri와 Cloudflare는 이러한 일반적인 위협으로부터 사이트를 어떻게 보호합니까?

Cloudflare의 무료 버전은 일반적으로 사이트를 더 빠르게 다운로드할 수 있도록 하는 콘텐츠 전송 네트워크로 적합합니다.

웹사이트에 대한 방화벽 보안(유료 버전에서 사용 가능)에는 악성 코드로부터 사이트 보호, XSS JavaScript 및 양식의 익스플로잇이 포함됩니다. 파일 변경 감지, 맬웨어 검사, 블랙리스트 모니터링 및 기타 보안 기능은 제공하지 않습니다. 맬웨어를 검사하기 위해 타사 응용 프로그램을 추가할 수 있지만 이러한 서비스에는 추가 비용이 듭니다.

Sucuri는 사이트를 모니터링하고 악성 소프트웨어 및 기타 공격으로부터 사이트를 보호하는 것을 전문으로 합니다. Sucuri 방화벽은 DDoS, SQL 주입, XSS JavaScript 주입, 댓글 및 스팸 문의 양식으로부터 사용자를 보호합니다.

그러나 공격자가 이러한 장벽을 깨뜨릴 경우 Sucuri는 귀하의 사이트를 무료로 정리할 것을 제안합니다. 이제 악성 소프트웨어의 영향을 받는 웹사이트가 있는 경우 Sucuri도 해당 웹사이트를 치료할 수 있습니다.

무엇을 선택할 것인가?

모니터링, 안티 멀웨어 보호 및 청소 서비스와 함께 웹 응용 프로그램 방화벽을 활용하려면 Sucuri가 가장 적합합니다. 그러나 콘텐츠 전달 분야에서는 Cloudflare를 사용하는 것이 좋습니다.

2단계. 아직 HTTPS로 전송하지 않은 경우 HTTPS로 전송

Google이 공식적으로 발표한 최신 순위 요소 중 하나는 HTTPS로의 전환 요구 사항입니다. 웹사이트 보안에 대한 이러한 강조는 Google이 신뢰할 수 없거나 해킹된 웹사이트가 검색 엔진 순위에서 다운그레이드된다는 사실에 대해 진지하다는 것을 보여줍니다. Google 자체에 따르면 이것은 인터넷을 보다 안전하게 만들기 위한 시도입니다.

HTTPS 는 사용자와 웹사이트 간의 데이터 교환의 기밀성을 확보하기 위한 프로토콜입니다. 기존 HTTP 프로토콜과 달리 사이트와 서버 간에 중요한 정보를 전송하는 보안을 보장합니다.

HTTPS는 이전에 전자 상거래 사이트의 금융 거래에 널리 사용되어 사서함을 보호했습니다. 즉, 보안과 신뢰성이 요구되는 모든 거래에 적용되었습니다.

사이트를 HTTPS 프로토콜로 전송하면 보안이 강화될 뿐만 아니라 또한 Google 및 Bing 주제 쿼리의 검색 결과에서 높은 순위를 차지할 가능성이 높아집니다.

3단계: WordPress 보안 플러그인 설치

사이트에서 발생하는 모든 활동을 추적하는 감사 및 모니터링 시스템을 설정하는 것이 중요합니다.

다음을 수행하려면 보안 플러그인이 필요합니다.

  • 파일의 무결성을 모니터링합니다.
  • 실패한 로그인 시도를 추적합니다.
  • 사이트에서 맬웨어를 검사합니다.
  • 모든 위협을 제거합니다.
  • 위협으로부터 사이트를 보호합니다.
  • 모든 종류의 취약점과의 싸움에서 보편적인 조수가 있어야 합니다.

무료 플러그인인 Sucuri Scanner는 이러한 작업을 처리할 수 있습니다.

Sucuri 스캐너를 구성하는 방법은 무엇입니까?

  1. 무료 API 키를 만듭니다. 추적 기록을 유지하고, 웹사이트의 무결성을 확인하고, 위협이 발생하면 이메일로 알리는 데 도움이 됩니다.
  2. WordPress 대시보드의 Sucuri 메뉴에서 강화 탭으로 이동합니다. 각 옵션을 표시하고 "강화" 버튼을 클릭합니다.

이러한 설정은 해커가 공격에 자주 사용하는 위험 영역을 차단하는 데 도움이 됩니다.

  1. 전자 메일로 위협 경고를 구성합니다. 이메일이 메일을 복잡하게 하지 않도록 하려면 새 사용자 등록, 플러그인 변경과 같은 중요한 작업에 대해서만 이메일 수신을 설정하는 것이 좋습니다.

Wordfence Security 는 2백만 개 이상의 활성 설치와 방화벽이 내장된 가장 유명한 보안 플러그인 중 하나입니다. 모든 면에서 웹사이트를 포괄적으로 보호합니다.

  • 보편적인 사이트 보호;
  • 새로운 위협에 대한 보호
  • 무차별 대입 공격으로부터 보호
  • 악성 트래픽 탐지
  • 침입자가 사이트에 도달하기 전에 차단
  • 봇으로부터 보호
  • 악성 네트워크 차단
  • 무차별 암호 대입, DDoS 공격으로부터 입력 보호
  • 위협 탐지를 위해 사이트를 스캔합니다.
  • 백도어 스캔;
  • 트로이 목마, 의심스러운 코드 검색
  • 메시지 및 댓글을 검색합니다.

보다 안정적인 방화벽을 얻으려면 프리미엄 버전(연간 99달러부터)을 구입해야 합니다. 기본 플러그인 기능은 무료 버전에서 사용할 수 있습니다.

Google, Bing 등에 요청을 보냅니다.

해킹의 부정적인 결과는 많은 검색 엔진, 브라우저 및 보안 소프트웨어가 리소스를 문제가 있는 것으로 식별하고 사이트를 방문하려는 사용자에게 경고를 보내는 것입니다. 따라서 그들은 사용자의 안전을 보장하고 위험으로부터 보호하려고 노력합니다.

귀하의 사이트가 가능한 한 빨리 정상화되도록 하려면 Google, Bing, Yahoo, Mozilla 및 기타 서비스에 연락하여 귀하의 사이트를 블랙리스트에서 제거하십시오.

결론적으로

갑자기 잘못 된 대부분의 다른 일과 마찬가지로 조심하고 WordPress 사이트를 공격으로부터 보호하기 위해 가능한 모든 예방 조치를 취했는지 확인하십시오. 불가피하고 이미 해킹을 당했다면 낙담하지 마십시오.

부정적인 경험(보통 피할 수 있음)을 알람 벨로 사용하고 위에 설명된 단계를 따르고 보안 조치를 사용하여 앞으로 이러한 사건을 피하십시오.