5가지 일반적인 WordPress 보안 문제

게시 됨: 2021-01-27

WordPress 기반 웹사이트를 소유하고 있거나 WordPress를 CMS로 사용하려는 경우 잠재적인 WordPress 보안 문제에 대해 우려할 수 있습니다. 이 게시물에서는 WordPress 사이트를 보호하고 보호하기 위해 취할 수 있는 단계와 함께 가장 일반적인 WordPress 보안 취약점 몇 가지를 간략하게 설명합니다.

워드프레스는 안전한가요?

"WordPress는 안전한가요?"라는 질문에 대한 답변입니다. 그것은 달려 있습니다. WordPress 보안 모범 사례를 따르는 한 WordPress 자체는 매우 안전합니다.

W3Techs의 최신 콘텐츠 관리 시스템 데이터 사용에 따르면 WordPress는 모든 웹사이트에서 34% 할인을 제공합니다. 따라서 모든 사용자가 웹 사이트에 대해 신중하고 철저하거나 보안 의식이 있는 것은 아니기 때문에 WordPress 보안 취약점은 불가피합니다. 해커가 웹에 있는 수억 개의 WordPress 웹사이트 중 하나에 접근할 수 있는 방법을 찾을 수 있다면, 이전 버전 또는 안전하지 않은 버전의 WordPress의 안전하지 않은 설정을 실행하는 다른 웹사이트도 검색하여 해킹할 수 있습니다.

WordPress는 오픈 소스 코드에서 실행되며 핵심 코드에서 발생하는 WordPress 보안 문제를 찾고 식별하고 수정하는 데 특별히 전담하는 팀이 있습니다. 보안 취약점이 공개되면 WordPress에서 발견된 새로운 보안 문제를 패치하기 위해 수정 사항이 즉시 푸시됩니다. 그렇기 때문에 WordPress를 최신 버전으로 업데이트하는 것이 웹사이트의 전반적인 보안에 매우 중요합니다.

WordPress 보안 취약성은 WordPress 핵심을 넘어 사이트에 설치하는 테마나 플러그인까지 확장된다는 점에 유의하는 것이 중요합니다. wpvulndb.com의 최근 보고서에 따르면 데이터베이스에 있는 알려진 WordPress 보안 취약점 2,837개 중:

75%는 WordPress 플러그인에서 가져온 것입니다.
14%는 핵심 WordPress에서 가져온 것입니다.
11%는 WordPress 테마에서 가져온 것입니다.

워드프레스 보안 문제

5가지 일반적인 WordPress 보안 문제

가장 일반적인 WordPress 보안 문제는 사이트가 손상되기 전이나 직후에 발생합니다. 해킹의 목표는 프론트엔드(WordPress 대시보드) 또는 서버 측(스크립트 또는 악성 파일 삽입)에서 관리자 수준의 WordPress 사이트에 대한 무단 액세스를 얻는 것입니다.

다음은 알아야 할 가장 일반적인 5가지 WordPress 보안 문제입니다.

1. 무차별 대입 공격

WordPress 무차별 대입 공격은 성공적인 조합이 발견될 때까지 여러 사용자 이름과 비밀번호 조합을 반복해서 입력하는 시행착오 방법을 나타냅니다. 무차별 대입 공격 방법은 웹 사이트에 액세스하는 가장 간단한 방법인 WordPress 로그인 페이지를 이용합니다.

WordPress는 기본적으로 로그인 시도를 제한하지 않으므로 봇이 무차별 대입 공격 방법을 사용하여 WordPress 로그인 페이지를 공격할 수 있습니다. 무차별 대입 공격이 실패하더라도 로그인 시도가 시스템에 과부하를 일으키고 사이트 속도를 늦출 수 있으므로 여전히 서버에 큰 피해를 줄 수 있습니다. 무차별 대입 공격을 받는 동안 일부 호스트는 특히 시스템 과부하로 인해 공유 호스팅 계획을 사용하는 경우 계정을 일시 중지할 수 있습니다.

2. 파일 포함 익스플로잇

무차별 대입 공격 후 WordPress 웹 사이트의 PHP 코드에 있는 취약점은 공격자가 악용할 수 있는 다음으로 가장 일반적인 보안 문제입니다. (PHP는 플러그인 및 테마와 함께 WordPress 웹사이트를 실행하는 코드입니다.)

파일 포함 익스플로잇은 공격자가 웹 사이트에 액세스할 수 있도록 하는 원격 파일을 로드하는 데 취약한 코드가 사용될 때 발생합니다. 파일 포함 익스플로잇은 공격자가 WordPress 설치에서 가장 중요한 파일 중 하나인 WordPress 웹 사이트의 wp-config.php 파일에 액세스할 수 있는 가장 일반적인 방법 중 하나입니다.

3. SQL 주입

WordPress 웹 사이트는 MySQL 데이터베이스를 사용하여 작동합니다. SQL 인젝션은 공격자가 WordPress 데이터베이스와 모든 웹사이트 데이터에 액세스할 때 발생합니다.

SQL 주입을 통해 공격자는 새로운 관리자 수준 사용자 계정을 생성하여 WordPress 웹사이트에 로그인하고 전체 액세스 권한을 얻을 수 있습니다. SQL 인젝션은 악성 또는 스팸 웹사이트에 대한 링크를 포함하여 데이터베이스에 새로운 데이터를 삽입하는 데에도 사용할 수 있습니다.

4. 교차 사이트 스크립팅(XSS)

전체 인터넷에 있는 모든 보안 취약점의 84%를 Cross-Site Scripting 또는 XSS 공격이라고 합니다. Cross-Site Scripting 취약점은 WordPress 플러그인에서 발견되는 가장 일반적인 취약점입니다.

Cross-Site Scripting의 기본 메커니즘은 다음과 같이 작동합니다. 공격자는 피해자가 안전하지 않은 javascript 스크립트로 웹 페이지를 로드하도록 하는 방법을 찾습니다. 이러한 스크립트는 방문자가 알지 못하는 사이에 로드된 다음 브라우저에서 데이터를 훔치는 데 사용됩니다. Cross-Site Scripting 공격의 예로는 귀하의 웹사이트에 상주하는 것으로 보이는 하이재킹된 양식이 있습니다. 사용자가 해당 양식에 데이터를 입력하면 해당 데이터가 도난당합니다.

5. 악성코드

악성 소프트웨어의 줄임말인 맬웨어는 웹사이트에 무단으로 액세스하여 민감한 데이터를 수집하는 데 사용되는 코드입니다. 해킹된 WordPress 사이트는 일반적으로 웹사이트 파일에 멀웨어가 주입되었음을 의미하므로 사이트에서 멀웨어가 의심되는 경우 최근에 변경된 파일을 살펴보세요.

웹에는 수천 가지 유형의 맬웨어 감염이 있지만 WordPress는 모든 유형에 취약하지 않습니다. 가장 일반적인 4가지 WordPress 맬웨어 감염은 다음과 같습니다.

백도어
드라이브 바이 다운로드
제약 해킹
악성 리디렉션

이러한 유형의 각각의 맬웨어는 수동으로 악성 파일을 제거하거나 WordPress의 새 버전을 설치하거나 감염되지 않은 이전 백업에서 WordPress 사이트를 복원하여 쉽게 식별하고 정리할 수 있습니다.

WordPress 사이트가 WordPress 보안 문제에 취약한 이유는 무엇입니까?

몇 가지 요인으로 인해 WordPress 사이트가 성공적인 공격에 더 취약해질 수 있습니다.

1. 약한 비밀번호

약한 암호를 사용하는 것은 쉽게 피할 수 있는 가장 큰 보안 취약점 중 하나입니다. WordPress 관리자 비밀번호는 강력해야 하며 여러 유형의 문자, 기호 또는 숫자를 포함해야 합니다. 또한 비밀번호는 WordPress 사이트에 고유해야 하며 다른 곳에서는 사용되지 않아야 합니다.

비밀번호가 유출되었는지 궁금하십니까? iThemes 보안 플러그인은 귀하의 비밀번호가 데이터 유출로 나타났는지 확인합니다. 데이터 침해는 일반적으로 사이트가 손상된 후 노출된 사용자 이름, 비밀번호 및 기타 개인 데이터의 목록입니다. Refuse Compromised Passwords 설정을 사용하면 손상된 암호를 거부하고 사용자가 Have I Been Pwned API에서 추적한 암호 위반에 나타나지 않는 암호를 사용하도록 강제할 수 있습니다.

2. WordPress, 플러그인 또는 테마를 업데이트하지 않음

간단히 말해서: 웹사이트에서 오래된 버전의 WordPress, 플러그인 및 테마를 실행하는 경우 공격을 받을 위험이 있습니다. 버전 업데이트에는 종종 코드의 보안 문제에 대한 패치가 포함되므로 WordPress 웹사이트에 설치된 모든 소프트웨어의 최신 버전을 항상 실행하는 것이 중요합니다.

업데이트가 제공되는 즉시 WordPress 대시보드에 업데이트가 표시됩니다. 백업을 실행한 다음 WordPress 사이트에 로그인할 때마다 사용 가능한 모든 업데이트를 실행하는 연습을 하십시오. 업데이트를 실행하는 작업이 불편하거나 지루해 보일 수 있지만 중요한 WordPress 보안 모범 사례입니다.

워드프레스 플러그인 업데이트

둘 이상의 WordPress 웹 사이트를 관리하는 경우 iThemes Sync Pro와 같은 시간 절약 도구를 사용하여 업데이트를 더 잘 관리할 수 있습니다. 각 개별 사이트에 로그인하는 대신 한 곳에서 여러 WordPress 사이트에 대한 업데이트를 관리할 수 있는 하나의 대시보드를 제공합니다.

3. 신뢰할 수 없는 출처의 플러그인 및 테마 사용

잘못 작성되거나 안전하지 않거나 오래된 코드는 공격자가 WordPress 웹사이트를 악용할 수 있는 가장 일반적인 방법 중 하나입니다. 플러그인과 테마는 보안 취약점의 잠재적인 소스이므로 보안 모범 사례로 WordPress.org 저장소와 같은 평판이 좋은 소스 또는 한동안 사업을 해온 프리미엄 회사에서만 WordPress 플러그인과 테마를 다운로드하여 설치하십시오. . 또한 파일이 맬웨어를 포함하도록 변경되었을 수 있으므로 프리미엄 테마 및 플러그인의 불법 복제 또는 토렌트 "무료" 버전을 피하십시오. 이러한 "무료" 플러그인 및 테마 비용은 사이트 보안을 희생시킬 수 있습니다.

4. 저품질 또는 공유 호스팅 사용

WordPress 웹 사이트가 있는 서버는 공격자의 대상이기 때문에 품질이 좋지 않거나 공유 호스팅을 사용하면 사이트가 손상될 수 있습니다. 모든 호스트가 서버를 보호하기 위해 예방 조치를 취하지만 모든 호스트가 서버 수준에서 웹 사이트를 보호하기 위해 경계하거나 최신 보안 조치를 구현하는 것은 아닙니다.

여러 웹 사이트가 단일 서버에 저장되기 때문에 공유 호스팅도 문제가 될 수 있습니다. 한 웹 사이트가 해킹되면 공격자는 다른 웹 사이트 및 해당 데이터에 액세스할 수도 있습니다. VPS 또는 가상 사설 서버를 사용하는 것은 더 비싸지만 웹 사이트가 자체 서버에 저장되도록 합니다.

10가지 핵심 팁으로 WordPress 보안에 대해 자세히 알아보세요. 지금 eBook 다운로드: WordPress 보안 가이드

지금 다운로드

WordPress 사이트를 보호하기 위해 오늘 할 수 있는 8가지 조치

1. 모든 온라인 계정에 강력한 암호를 사용하십시오.

현재 6자 미만의 비밀번호를 사용하고 있다면 지금 변경하십시오. 현재 둘 이상의 로그인에 암호를 사용하고 있다면 지금 변경하십시오. 같은 비밀번호를 6개월 이상 사용했다면 지금 변경하세요. 여러 온라인 계정에 대해 암호를 재사용하는 경우 지금 변경하십시오.

특히 관리 사용자인 경우 우수한 WordPress 비밀번호 보안 연습을 시작하세요. 암호 관리를 더 쉽게 하려면 LastPass와 같은 암호 관리자를 사용하십시오.

2. WordPress 보안 플러그인을 설치합니다.

WordPress 보안 플러그인을 사용하는 것은 WordPress 웹사이트에서 추가 보안 조치를 관리하는 좋은 방법입니다. iThemes Security는 가장 중요하고 권장되는 WordPress 보안 설정을 활성화하는 원 클릭 WordPress 보안 검사를 제공합니다. 좋은 WordPress 보안 플러그인은 사이트 보안의 보다 기술적인 측면을 처리할 수 있으므로 보안 전문가가 아니어도 사용할 수 있습니다.

iThemes Security에서 사용하기 쉬운 플러그인 하나로 사이트를 보호하는 30가지 이상의 방법을 확인하세요. iThemes Security를 사용하면 실시간 WordPress 보안 대시보드로 사이트의 보안 활동을 모니터링할 수도 있습니다.

3. WordPress 이중 인증을 활성화합니다.

이중 인증은 WordPress 로그인에 추가 보호 계층을 추가합니다. 로그인하려면 비밀번호 외에도 스마트폰과 같은 다른 장치에서 시간에 민감한 코드가 추가로 필요합니다. 이중 인증은 WordPress 로그인을 잠그는 가장 좋은 방법 중 하나이며 성공적인 무차별 대입 공격의 가능성을 거의 완전히 최소화합니다.

iThemes Security Pro 플러그인을 사용하여 WordPress 2단계 인증을 활성화하세요.

4. WordPress 사이트를 최신 상태로 유지하십시오.

다시 말하지만 WordPress 사이트를 최신 상태로 유지하는 것은 잠재적인 WordPress 보안 문제를 피할 수 있는 가장 좋은 방법 중 하나입니다. 지금 WordPress 사이트에 로그인하고 WordPress 코어, 테마 또는 플러그인에 대해 사용 가능한 업데이트를 실행하십시오. 프리미엄 WordPress 플러그인 또는 테마를 사용하는 경우 최신 라이선스가 있는지 확인하여 업데이트를 받고 오래된 버전을 실행하지 않도록 하십시오.

iThemes Sync Pro를 사용하여 하나의 중앙 대시보드에서 여러 WordPress 사이트를 관리하세요. 여기에서 30일 동안 무료로 사용해 보세요.

5. 서버에 적절한 권한을 설정합니다.

서버의 모든 디렉토리에 적절한 권한이 설정되어 있는지 확인하십시오. 적절한 권한은 파일 읽기, 파일 생성 및 편집 권한이 있는 사람을 지정합니다.

iThemes Security Pro로 WordPress 파일 권한 상태를 확인하세요.

6. 예약된 맬웨어 검사를 실행합니다.

예약된 맬웨어 검사를 통해 잠재적인 맬웨어 감염을 감시합니다. iThemes Security Pro 플러그인에서 제공되는 맬웨어 검사와 같은 대부분의 서비스는 다른 여러 블랙리스트 상태와 함께 웹사이트의 맬웨어 상태에 대한 보고서를 제공합니다.

iThemes Security Pro에서 WordPress 악성코드 검사 기능을 사용하세요.

7. 안정적인 WordPress 백업 계획이 있습니다.

WordPress 백업 계획을 갖는 것은 WordPress 보안 전략의 중요한 구성 요소입니다. 예약된 백업이 실행되도록 설정하고 백업을 안전한 원격 WordPress 백업 위치로 안전하게 오프사이트로 보내고 있는지 확인하십시오. 또한 깨끗한 백업에서 사이트를 복원해야 하는 경우에 대비하여 백업 전략에 복원 구성 요소가 있는지 확인하십시오.

실시간 WordPress 백업을 위해 WordPress 백업 플러그인 BackupBuddy를 사용하십시오.

8. WordPress Brute Force Protection을 활성화합니다.

무차별 대입 공격으로부터 자신을 보호하는 것은 잠재적인 취약점이나 서버 과부하를 줄이는 또 다른 방법입니다. 로컬 및 네트워크 무차별 대입 보호를 모두 포함하는 서비스를 사용하여 다른 사이트에 침입하려는 사용자가 귀하의 사이트에도 침입하는 것을 금지합니다.

팁: iThemes Security Pro의 WordPress 무차별 대입 보호를 사용하세요.

지금 iThemes Security Pro를 구입하고 25% 할인을 받으세요 !

WordPress에 대한 보안 문제가 존재하지만 WordPress 보안 모범 사례와 잠재적인 보안 위험에 대한 인식으로 대부분을 피할 수 있습니다. WordPress 사이트를 보호하기 위한 지식과 전략으로 무장하면 해킹에 대한 취약성을 크게 최소화하고 WordPress 사이트를 안전하고 안전하게 유지할 수 있습니다.

iThemes Security Pro와 같은 신뢰할 수 있는 WordPress 보안 플러그인을 사용하면 WordPress 웹사이트를 안전하게 보호할 수 있습니다. 사이트를 잠그는 30가지 이상의 방법을 통해 iThemes Security는 WordPress를 잠그고 일반적인 허점을 수정하며 자동화된 공격을 막고 사용자 자격 증명을 강화합니다.

쿠폰 코드 PROTECTWP5를 사용하여 25% 할인
iThemes 보안 프로 계획.

iThemes 보안 프로 받기

크리스틴 라이트

Kristen은 2011년부터 WordPress 사용자를 돕기 위해 튜토리얼을 작성해 왔습니다. 일반적으로 그녀가 iThemes 블로그의 새 기사를 작성하거나 #WPprosper를 위한 리소스를 개발하는 것을 볼 수 있습니다. 직장 밖에서 Kristen은 일기 쓰기(그녀는 두 권의 책을 썼습니다!), 하이킹과 캠핑, 요리, 가족과 함께 하는 일상적인 모험을 즐깁니다.