WordPress 웹사이트를 보호하는 방법 [당신에게 필요한 유일한 가이드]
게시 됨: 2021-08-05
WordPress 사용자는 웹사이트 디자인, 콘텐츠 및 최적화에 많은 시간을 할애하는 경향이 있지만 웹사이트 보안이라는 한 가지 필수 요소를 종종 잊습니다. 개발자가 아닌 사람들에게는 지루한 문제처럼 보일 수 있지만 WordPress를 안전하게 유지하는 것은 비즈니스를 운영하는 데 중요한 부분입니다.
왜 물어볼 수 있습니까?
이 질문을 함께 살펴보겠습니다.
많은 사람들이 해킹된 웹사이트를 다루지 않았기 때문에 이 정보를 무시하고 문제를 해결하는 데 따르는 번거로움, 시간 및 노력을 상상할 수 없습니다.
먼저, 온라인 비즈니스를 운영하거나 최소한 웹사이트를 통해 비즈니스의 일부를 관리하는 경우 해커 공격으로 인해 업무 프로세스가 불가피하게 중단됩니다. 온라인 상점을 소유하고 있다면 판매할 수 없습니다. 웹사이트를 통해 약속을 예약하면 그렇게 할 수 없습니다.
대량 온라인 상점의 경우 이것은 특히 나쁩니다. 잠시 동안 판매할 수 없을 뿐만 아니라 주문을 잃을 수도 있습니다. 웹사이트 백업은 일반적으로 하루에 한 번 생성되며, 백업이 완료된 후 몇 시간 후에 해킹을 당하면 그 동안의 모든 주문이 손실됩니다.
웹사이트가 작동 중이라면 해킹이 계속 발생했을 수 있습니다. 예를 들어 링크가 코드에 삽입되어 다른 웹사이트를 가리킬 수 있습니다.
광고를 통해 웹사이트에서 수익을 창출하는 경우 귀하의 광고가 다른 사람의 광고로 대체될 수 있습니다(따라서 수익을 얻지 못하는 광고가 표시됨).
웹 사이트가 손상될 수 있는 경우가 많이 있으며 이를 깨닫는 데 몇 주가 아니라 며칠이 걸립니다. 스팸 링크 삽입이 있는 시나리오에서 이는 SEO에 영향을 줄 수 있습니다(Google은 스팸 링크를 매우 싫어하기 때문에). 결과적으로 Google 순위가 저하될 수 있으며 이러한 손상을 복구하는 데 오랜 시간이 걸릴 수 있습니다.
고객 신뢰 문제도 있습니다. 사람들은 자신이 사용하는 웹사이트가 해킹당했다는 소식을 듣고 매우 걱정합니다.
SSL 인증서를 사용하면 신용 카드 번호 유출과 같은 심각한 결과를 방지할 수 있지만 일부 데이터는 여전히 얻을 수 있습니다. 사용자는 웹사이트에 대한 해커 공격을 보안이 취약한 것과 연관시키고 서비스 사용을 완전히 중단하기로 결정할 수 있습니다.
전반적으로 웹 사이트가 해킹당하면 복구할 수 있지만 처음부터 WordPress를 보호하는 것은 훨씬 쉬운 방법입니다.
공격이 이미 발생한 경우 플러그인을 사용하여 웹사이트를 스캔할 수 있지만 사용 가능한 대부분의 플러그인은 최근에 수정된 파일을 가리킬 뿐이므로 여전히 모든 것을 수동으로 정리해야 합니다.
이것을 시도하고 해결할 수 있는 또 다른 방법은 웹사이트의 백업을 복원하는 것입니다. 그러나 이것은 100% 보장되는 수정이 아닙니다. 특히 WordPress가 언제 해킹되었는지 확실하지 않은 경우(따라서 어떤 백업 사본이 깨끗한지 확실하지 않은 경우) 특히 그렇습니다.
맬웨어 제거 및 기술 지원을 제공하는 전문 기관에 문의할 수도 있습니다. 그들은 상대적으로 빠르게 행동하고 WordPress를 청소하지만 물론 비용이 듭니다.
손상을 복구하는 데 성공했더라도 적절한 보호를 설정하지 않으면 이러한 상황이 다시 발생할 수 있다는 점을 명심해야 합니다.
여기에서 최선의 방법은 선제적으로 행동하고 보호에 대해 자세하고 포괄적인 접근 방식을 취하여 웹사이트를 보호하는 것입니다.
그러나 이것은 무엇을 의미합니까?
그렇다면 WordPress 웹 사이트를 어떻게 보호 합니까? 어떤 조치를 취할 수 있습니까? 문의해 주셔서 감사합니다! 계속 읽으세요.
웹 호스팅을 선택하는 방법은 일반적으로 친구의 추천, 웹 사이트 구축 기관 또는 온라인 조사를 통한 것입니다.
경험이 없는 사용자가 자주 찾는 것은 가장 저렴한 가격입니다. 하지만 삶의 대부분의 일과 마찬가지로 안정적인 고품질 호스팅은 더 많은 비용이 들며 더 많은 것을 제공합니다. 좋은 호스팅 제공업체는 해킹된 웹사이트를 처리해야 하는지 여부를 결정짓는 다양한 보안 기능을 제공합니다.
반면에 저렴한 호스팅 제공업체는 차이를 커버하기 위해 가능한 한 모퉁이를 잘라낼 것이며 불행히도 보안은 많은 어려움을 겪는 영역입니다.
고객에게 제공되는 몇 가지 기능의 예를 들어 보겠습니다. DDoS 보호, SSL 인증서 및 웹 애플리케이션 방화벽과 같은 기존 옵션 외에도 웹사이트 보안 게임의 수준을 높여줄 몇 가지 옵션이 있습니다.
그 중 하나는 WordPress를 자동으로 업데이트하지 않는 사용자에게 매우 유용할 수 있는 응용 프로그램인 Patchman입니다. Patchman은 설치를 검사하고 WordPress 코어 파일 및 수많은 인기 플러그인에서 알려진 취약점을 수정합니다. Patchman은 사이트 중단 종속성 문제를 일으킬 수 있는 취약점을 수정하기 위해 소프트웨어를 자동으로 업데이트하는 대신 현재 설치된 버전에 보안 수정 사항을 적용합니다.
적용된 패치가 웹 사이트를 손상시키지 않고 안전하게 수행될 것이라는 완전한 확신을 가질 수 있습니다.
공유 호스팅을 사용하려는 경우 고성능의 안전한 호스팅을 선택하는 것이 필수적입니다. 많은 회사에서 WordPress용으로 특별히 구성된 WordPress 호스팅을 제공하며 일반적으로 사이트의 성능이 훨씬 더 좋습니다.
대용량 웹 사이트가 있고 호스팅 계정을 업그레이드하기로 선택한 경우 완전 관리형 전용 서버로 이동하면 더 저렴한(관리되지 않는) 서버와 달리 더 높은 수준의 보안이 보장됩니다.
대체로 웹 호스팅에 대한 철저한 조사를 수행하고 가격이 귀하의 선택을 안내하지 않도록 하십시오.
이런 일이 일어나는 이유는 해커가 발견한 취약점 때문입니다. 이 주제에 대해 더 읽고 싶다면 이 기사를 추천하지만 요약하자면 취약점은 사용 중인 애플리케이션 코드의 "구멍"입니다. 해커와 소프트웨어 개발자 사이에는 끊임없는 전투가 있습니다. 해커는 보안 취약점을 찾아 악용하고 개발자는 신속하게 패치를 시도합니다.
다른 CMS 응용 프로그램과 마찬가지로 WordPress는 새로운 기능이 추가되고 개발자가 알려진 취약점을 수정하기 위해 작업하는 업데이트 주기를 거칩니다. 매년 일반적으로 1-3개의 주요 업데이트와 많은 마이너 업데이트가 있으며 거의 항상 보안 패치가 포함되어 있기 때문에 모두 보안에 중요합니다.
하지만 잠시만요. Patchman과 같은 것이 있다면 왜 여전히 업데이트해야 합니까?
Patchman은 WordPress 핵심 파일과 가장 인기 있는 플러그인을 다루지만 많은 플러그인이 앱을 통해 패치되지 않습니다. 이는 모든 플러그인이 구식으로 남아 있으면 해커가 웹사이트에서 원하는 대로 할 수 있는 진입점이 될 수 있음을 의미합니다.
WordPress를 최신 상태로 유지하는 것은 매우 쉽습니다.
우선 5.6(2020년 12월 출시) 이후의 모든 버전에는 자동 업데이트가 활성화되어 있으므로 아무 것도 할 필요가 없습니다. 어떤 이유로든 그렇지 않은 경우(예: 개발자가 비활성화했다고 가정) 자동 업데이트를 활성화할 수 있는 몇 가지 방법이 있습니다.
하나는 cPanel 사용자가 서버에 WordPress를 설치하는 데 자주 사용하는 응용 프로그램인 Softaculous를 통한 것입니다. Softaculous의 WordPress Manager를 사용하면 자동 업그레이드를 구성할 수 있습니다. 사소한 업데이트 또는 주요 업데이트만 자동 업그레이드하도록 선택할 수 있습니다.
플러그인과 테마도 자동으로 업그레이드하도록 추가로 선택할 수 있습니다. 무엇보다도 되돌릴 필요가 있는 경우에 대비하여 자동 업그레이드 전에 백업을 수행합니다.
코드 수정에 어느 정도 숙련된 경우 WordPress의 기본 자동 업데이트 구성을 사용하는 또 다른 옵션이 있습니다. 이에 대한 자세한 내용은 WordPress의 KB에서 직접 확인하십시오.
많은 사람들이 Softaculous와 같은 소프트웨어 응용 프로그램을 사용하여 WordPress를 설치할 때 기본적으로 나타나는 사용자 이름 "admin"을 사용합니다.
해커가 쉽게 사용할 수 있도록 기본 사용자 이름을 사용하지 마십시오 . 이메일 주소와 같은 다른 사용자 이름을 선택하십시오. 이 사용자 이름으로 이미 생성된 사용자를 받은 경우 새 관리자를 만들고 기존 관리자를 삭제합니다.
비밀번호도 마찬가지입니다. 강할수록 좋습니다. 숫자와 특수 문자가 포함된 긴 암호를 선택하거나 임의의 암호를 생성하는 것이 좋습니다.
암호를 잊어버릴까 걱정된다면 기억하는 데 도움이 되는 시스템을 생각해 보십시오. 어떤 사람들은 문자 + 웹사이트 이름의 정적 조합을 차별화 요소로 사용하는 것을 좋아하고(Jack1990Apple!), 다른 사람들은 연관 암호를 사용합니다.
물론 로그인 세부 정보를 저장하기만 하면 기억할 수 있는지 여부에 대해 걱정할 필요가 없습니다. 로그인 정보를 저장하기 위해 브라우저를 사용하지 마십시오! 이것은 상당히 안전하지 않은(그리고 일반적으로 사용되는) 옵션입니다.
매번 입력할 필요가 없도록 로그인 세부 정보를 저장하려면 Lastpass와 같은 암호 관리자를 사용하세요. 무료 요금제가 있고 로그인 세부 정보가 최대한 안전합니다. 암호 관리자를 사용하면 하나의 암호(마스터 암호)만 기억하고 신용 카드 세부 정보도 저장해야 합니다.
Kualo의 공유 호스팅 서비스 고객은 무차별 암호 대입 로그인 공격으로부터 자동으로 보호됩니다. 무차별 암호 대입 시도는 제한 및 차단됩니다.
즉, 해커가 귀하의 정확한 로그인 세부 정보를 알고 있더라도 추가 인증 없이는 로그인할 수 없습니다.
WP 2FA와 같은 플러그인을 설치하고 웹사이트의 다른 사용자도 강제로 사용하도록 할 수 있습니다(특히 관리자 또는 편집자 권한이 있는 경우). 휴대전화에 액세스할 수 없는 경우에 대비하여 항상 백업 코드를 다운로드하고 안전한 위치에 저장하십시오.
어느 쪽이든 이대로 두면 해커가 백엔드의 입구를 식별하고 무차별 대입 공격을 시작하기가 훨씬 쉬워집니다.
ThemeMyLogin과 같은 플러그인을 사용하여 로그인 페이지의 URL(슬러그)을 변경하거나 나열된 여러 기능(2FA, 로그인 시도 제한 등)을 포함하는 보안 플러그인을 찾으십시오.
로그인 URL을 수동으로 변경하는 방법에 대한 WPBeginner의 훌륭한 기사도 있지만 코드 관리에 익숙하지 않다면 거기에 가지 않는 것이 가장 좋습니다.
반면에 설치하는 각 플러그인은 처리(즉, 업데이트)해야 하는 또 다른 코드 조각입니다. 많은 플러그인은 또한 비호환성 위험을 증가시킵니다. 이것은 두 개 이상의 플러그인이 함께 작동할 수 없는 경우입니다. 따라서 없이 사용할 수 있는 플러그인 설치를 피해야 합니다.
최고의 보안 플러그인 중 일부는 위에서 언급한 것처럼 여러 기능을 결합하여 우리가 말하는 모든 작업을 수행하기 위해 설치해야 하는 플러그인 수를 줄입니다. 몇 가지 좋은 예는 다음과 같습니다.
관리자 권한이 있는 여러 사용자가 웹 사이트에서 작업하는 경우 수행 중인 작업을 기록할 수 있는 훌륭한 방법입니다.
보안 관점에서 로그인 시도 실패부터 WordPress 사이트 파일 및 설정 변경에 이르기까지 매우 편리할 수 있는 다양한 정보를 표시할 수 있습니다. 자신의 웹 사이트 유지 관리를 수행하는 것을 좋아하는 사람이라면 이 기능은 필수입니다.
훌륭한(무료) 옵션은 WP 활동 로그입니다. 이 플러그인은 수년간 사용되어 왔으며 자세한 로그와 인터페이스 단순성으로도 유명합니다.
한때는 결제와 같은 특정 거래를 위해 보안이 필요한 웹사이트에 SSL이 필요했습니다. 그러나 요즘에는 웹사이트에서 결제를 처리하는지 여부가 중요하지 않습니다. SSL은 비밀번호, 이름, 주소 등과 같은 민감한 정보를 처리하는 모든 웹사이트에 필수입니다.
이에 대한 비공식적 메커니즘은 다음과 같습니다. 웹사이트에 SSL이 없으면 사용자의 웹 브라우저와 웹 서버 간에 전송되는 모든 데이터가 해커가 읽을 수 있는 일반 텍스트로 전달됩니다.
SSL을 설치하면 민감한 정보가 암호화되어 사용자의 웹 브라우저와 서버 간에 전송되기 때문에 악의적인 의도를 가진 제3자로부터 보호됩니다.
Google은 얼마 전 SSL 인증서의 중요성을 인식하고 암호화된 정보 전송을 제공할 수 있는 웹사이트를 최상위 위치에 표시하기 시작했습니다.
또한 2018년에 Google은 활성 SSL이 없는 모든 사이트가 URL에 "안전하지 않음"으로 표시될 것이라고 모든 웹사이트 소유자에게 경고했습니다. 이것은 SSL 인증서를 절대적으로 필수로 만듭니다. 좋은 소식은 구하기가 매우 쉽다는 것입니다. 게다가 일부 호스팅 회사(Kualo 포함!)에서는 SSL이 무료로 포함되어 있습니다.
많은 경우 새 테마/플러그인을 설치하거나 사이트에서 활발하게 작업할 때 문제가 발생할 수 있으므로 백업이 있어야 합니다.
대부분의 신뢰할 수 있는 호스팅 제공업체에는 이러한 일일 백업이 설정되어 있지만 수동으로 백업을 수행하는 방법을 배우거나 UpdraftPlus 또는 BackupBuddy와 같은 백업 플러그인을 사용하는 것은 나쁜 생각이 아닙니다. 둘 다 웹 사이트 백업을 Amazon과 같은 클라우드 서비스에 업로드하거나 로컬로 내보낼 수 있는 옵션이 있습니다.
cPanel에서 쉽게 액세스할 수 있는 Softaculous Backup 기능을 사용할 수도 있습니다. 좋은 소식은 최대 단순성을 제공하고 추가 비용이 들지 않는다는 것입니다. 나쁜 소식은 해당 제품과 달리 호스팅 계정에 백업을 업로드하므로 디스크 공간을 사용하고 웹사이트 자체와 같은 위치에 저장된다는 것입니다. 계정에 문제가 발생한 경우(예: 실수로 파일 삭제 또는 수동 해커 침입) 백업 복사본도 손상될 수 있습니다.
WordPress에서 작업할 계획이고 최종 결과가 확실하지 않은 경우 항상 백업 사본을 생성하는 것을 기억하십시오!
트래픽이 많은 전자 상거래 웹 사이트를 실행하는 경우 시간별 백업이 가장 적합할 수 있습니다. 앞에서 언급했듯이 많은 주문을 생성하는 웹 사이트는 몇 시간 전에 수행한 백업을 복원해야 하는 경우 상당한 손실을 입을 수 있습니다.
wp-config.php 파일에 코드를 추가하면 됩니다.
메모장과 같은 텍스트 편집기를 열고 다음 코드를 붙여넣으면 됩니다.
<파일 *.php>
모두를 부정하다
</파일>
이 파일을 .htaccess 로 저장하고 FTP 클라이언트를 사용하거나 cPanel의 파일 관리자를 통해 웹사이트의 /wp-content/uploads/ 폴더에 업로드합니다.
예를 들어 해커가 웹사이트에서 1000가지 다른 비밀번호를 시도하려는 경우 1000번의 별도 로그인 시도를 해야 하며 이 시도는 보안 플러그인이나 방화벽에 걸리게 됩니다. 그러나 XML-RPC를 활성화한 상태로 유지하면 해커가 system.multicall 기능을 사용하여 30-60개의 요청으로 1000개의 다른 암호를 시도할 수 있습니다.
그렇기 때문에 비활성화하는 것이 좋습니다. .htaccess 파일에 코드를 추가하기만 하면 비활성화할 수 있습니다.
5행에서 XML-RPC를 유지하려는 유일한 IP인 경우 자신의 IP를 삽입해야 합니다(그렇지 않으면 삭제하면 됩니다).
참고: 사용자가 LiteSpeed의 Brute Force Protection 기능으로 XMLRPC를 보호하므로 이 단계를 수행할 필요가 없습니다.
이를 처리하는 좋은 방법은 악의적인 봇이 WordPress에 액세스하는 것을 방지하는 것입니다. .htaccess 파일에 다음 코드를 삽입합니다.
웹사이트 사용자에게 가능한 한 최소한의 액세스 권한을 부여하십시오. 예를 들어 콘텐츠 작성자가 있는 경우 관리자 계정을 제공할 필요가 없습니다. 에디터 사용자는 문제가 없습니다. 절대적으로 필요한 경우가 아니면 계정을 공유하지 마십시오. 공유할 경우 - 암호를 제공한 사람이 더 이상 필요하지 않게 되는 즉시 암호를 변경하십시오.
꼭 필요한 경우가 아니면 호스팅 세부 정보를 공유하지 마십시오.
nulled(불법적으로 다운로드된) WordPress 테마 및 플러그인을 사용하지 마십시오.
어느 시점에서 돈을 절약하고 라이센스가 없는 플러그인이나 테마를 다운로드하고 싶은 유혹이 될 수 있습니다. 이 경우 다른 방식으로 비용을 지불하게 됩니다. 아마도 WordPress에 백도어를 배치하는 것입니다. 해커는 라이선스가 없는 항목에 스팸 링크나 악성 코드를 숨기고 무료 다운로드를 제공하는 경우가 많습니다.
어떤 대가를 치르더라도 이를 피하고 웹사이트나 기능을 위탁하는 경우 개발자에게 모든 것이 적절하게 라이선스가 부여되었는지 확인하십시오.
제공된 조언 중 따르기 어려운 것이 있습니까? 중요한 것을 놓쳤습니까? 의견에 핑을 보내면 여러분의 생각을 듣고 싶습니다!
또는 Kualo의 매우 안전한 WordPress 호스팅으로 전환할 준비가 되었다면 여기에서 계획을 확인하세요.
왜 물어볼 수 있습니까?
이 질문을 함께 살펴보겠습니다.
WordPress를 보호하는 것이 중요한 이유는 무엇입니까?
삶의 다른 안전 관련 일과 마찬가지로 웹사이트 보안도 필요악입니다. 일반적으로 개발자나 에이전시에 웹사이트 제작을 의뢰하면 보안이라는 주제가 떠오를 것입니다. 전문가들은 웹사이트가 해킹당하는 빈도, 특히 플랫폼의 인기로 인해 WordPress 웹사이트가 해킹되는 빈도를 직접 알고 있습니다. 그들은 일반적으로 다양한 방법으로 웹사이트를 보호하도록 조언하고 몇 가지 잘 알려진 보안 관행을 권장할 수 있습니다.많은 사람들이 해킹된 웹사이트를 다루지 않았기 때문에 이 정보를 무시하고 문제를 해결하는 데 따르는 번거로움, 시간 및 노력을 상상할 수 없습니다.
먼저, 온라인 비즈니스를 운영하거나 최소한 웹사이트를 통해 비즈니스의 일부를 관리하는 경우 해커 공격으로 인해 업무 프로세스가 불가피하게 중단됩니다. 온라인 상점을 소유하고 있다면 판매할 수 없습니다. 웹사이트를 통해 약속을 예약하면 그렇게 할 수 없습니다.
대량 온라인 상점의 경우 이것은 특히 나쁩니다. 잠시 동안 판매할 수 없을 뿐만 아니라 주문을 잃을 수도 있습니다. 웹사이트 백업은 일반적으로 하루에 한 번 생성되며, 백업이 완료된 후 몇 시간 후에 해킹을 당하면 그 동안의 모든 주문이 손실됩니다.
웹사이트가 작동 중이라면 해킹이 계속 발생했을 수 있습니다. 예를 들어 링크가 코드에 삽입되어 다른 웹사이트를 가리킬 수 있습니다.
광고를 통해 웹사이트에서 수익을 창출하는 경우 귀하의 광고가 다른 사람의 광고로 대체될 수 있습니다(따라서 수익을 얻지 못하는 광고가 표시됨).
웹 사이트가 손상될 수 있는 경우가 많이 있으며 이를 깨닫는 데 몇 주가 아니라 며칠이 걸립니다. 스팸 링크 삽입이 있는 시나리오에서 이는 SEO에 영향을 줄 수 있습니다(Google은 스팸 링크를 매우 싫어하기 때문에). 결과적으로 Google 순위가 저하될 수 있으며 이러한 손상을 복구하는 데 오랜 시간이 걸릴 수 있습니다.
고객 신뢰 문제도 있습니다. 사람들은 자신이 사용하는 웹사이트가 해킹당했다는 소식을 듣고 매우 걱정합니다.
SSL 인증서를 사용하면 신용 카드 번호 유출과 같은 심각한 결과를 방지할 수 있지만 일부 데이터는 여전히 얻을 수 있습니다. 사용자는 웹사이트에 대한 해커 공격을 보안이 취약한 것과 연관시키고 서비스 사용을 완전히 중단하기로 결정할 수 있습니다.
전반적으로 웹 사이트가 해킹당하면 복구할 수 있지만 처음부터 WordPress를 보호하는 것은 훨씬 쉬운 방법입니다.
해킹된 워드프레스를 고칠 수 있나요?
프로세스에 익숙하지 않은 경우 해킹된 WordPress 웹 사이트를 수정하는 것은 상당히 어려울 수 있습니다. 감염된 코드를 치료하려면 특정 지식이 필요합니다. 다른 많은 기술 문제와 달리 해커 공격의 다양한 특성으로 인해 Google에서 빠른 수정이 어려울 수 있습니다.공격이 이미 발생한 경우 플러그인을 사용하여 웹사이트를 스캔할 수 있지만 사용 가능한 대부분의 플러그인은 최근에 수정된 파일을 가리킬 뿐이므로 여전히 모든 것을 수동으로 정리해야 합니다.
이것을 시도하고 해결할 수 있는 또 다른 방법은 웹사이트의 백업을 복원하는 것입니다. 그러나 이것은 100% 보장되는 수정이 아닙니다. 특히 WordPress가 언제 해킹되었는지 확실하지 않은 경우(따라서 어떤 백업 사본이 깨끗한지 확실하지 않은 경우) 특히 그렇습니다.
맬웨어 제거 및 기술 지원을 제공하는 전문 기관에 문의할 수도 있습니다. 그들은 상대적으로 빠르게 행동하고 WordPress를 청소하지만 물론 비용이 듭니다.
손상을 복구하는 데 성공했더라도 적절한 보호를 설정하지 않으면 이러한 상황이 다시 발생할 수 있다는 점을 명심해야 합니다.
여기에서 최선의 방법은 선제적으로 행동하고 보호에 대해 자세하고 포괄적인 접근 방식을 취하여 웹사이트를 보호하는 것입니다.
그러나 이것은 무엇을 의미합니까?
그렇다면 WordPress 웹 사이트를 어떻게 보호 합니까? 어떤 조치를 취할 수 있습니까? 문의해 주셔서 감사합니다! 계속 읽으세요.
WordPress 웹사이트를 보호하기 위한 실행 가능한 단계
1. 좋은 호스팅 제공업체 선택
다른 보안 단계에 집중하기 전에 웹 사이트의 견고한 기반을 선택하는 것이 중요합니다. 여러 계층의 보안을 제공할 수 있는 우수한 호스팅 제공업체와 협력하는 것이 미래의 사이버 공격으로부터 웹사이트를 보호하는 가장 간단한 방법입니다. 웹 호스팅 제공업체의 선택은 특히 몇 년 동안 온라인 비즈니스를 운영하지 않은 경우 사람들이 세심하게 계획하는 경우가 드뭅니다.웹 호스팅을 선택하는 방법은 일반적으로 친구의 추천, 웹 사이트 구축 기관 또는 온라인 조사를 통한 것입니다.
경험이 없는 사용자가 자주 찾는 것은 가장 저렴한 가격입니다. 하지만 삶의 대부분의 일과 마찬가지로 안정적인 고품질 호스팅은 더 많은 비용이 들며 더 많은 것을 제공합니다. 좋은 호스팅 제공업체는 해킹된 웹사이트를 처리해야 하는지 여부를 결정짓는 다양한 보안 기능을 제공합니다.
반면에 저렴한 호스팅 제공업체는 차이를 커버하기 위해 가능한 한 모퉁이를 잘라낼 것이며 불행히도 보안은 많은 어려움을 겪는 영역입니다.
고객에게 제공되는 몇 가지 기능의 예를 들어 보겠습니다. DDoS 보호, SSL 인증서 및 웹 애플리케이션 방화벽과 같은 기존 옵션 외에도 웹사이트 보안 게임의 수준을 높여줄 몇 가지 옵션이 있습니다.
그 중 하나는 WordPress를 자동으로 업데이트하지 않는 사용자에게 매우 유용할 수 있는 응용 프로그램인 Patchman입니다. Patchman은 설치를 검사하고 WordPress 코어 파일 및 수많은 인기 플러그인에서 알려진 취약점을 수정합니다. Patchman은 사이트 중단 종속성 문제를 일으킬 수 있는 취약점을 수정하기 위해 소프트웨어를 자동으로 업데이트하는 대신 현재 설치된 버전에 보안 수정 사항을 적용합니다.
적용된 패치가 웹 사이트를 손상시키지 않고 안전하게 수행될 것이라는 완전한 확신을 가질 수 있습니다.
공유 호스팅을 사용하려는 경우 고성능의 안전한 호스팅을 선택하는 것이 필수적입니다. 많은 회사에서 WordPress용으로 특별히 구성된 WordPress 호스팅을 제공하며 일반적으로 사이트의 성능이 훨씬 더 좋습니다.
대용량 웹 사이트가 있고 호스팅 계정을 업그레이드하기로 선택한 경우 완전 관리형 전용 서버로 이동하면 더 저렴한(관리되지 않는) 서버와 달리 더 높은 수준의 보안이 보장됩니다.
대체로 웹 호스팅에 대한 철저한 조사를 수행하고 가격이 귀하의 선택을 안내하지 않도록 하십시오.
2. WordPress를 최신 상태로 유지
이것은 아마도 웹 개발자로부터 듣게 될 첫 번째 조언일 것입니다. 모든 것을 최신 상태로 유지하십시오! 많은 워드프레스 소유자는 의식적이든 아니든 이를 원칙으로 무시하고 악의적인 공격의 대상이 됩니다.이런 일이 일어나는 이유는 해커가 발견한 취약점 때문입니다. 이 주제에 대해 더 읽고 싶다면 이 기사를 추천하지만 요약하자면 취약점은 사용 중인 애플리케이션 코드의 "구멍"입니다. 해커와 소프트웨어 개발자 사이에는 끊임없는 전투가 있습니다. 해커는 보안 취약점을 찾아 악용하고 개발자는 신속하게 패치를 시도합니다.
다른 CMS 응용 프로그램과 마찬가지로 WordPress는 새로운 기능이 추가되고 개발자가 알려진 취약점을 수정하기 위해 작업하는 업데이트 주기를 거칩니다. 매년 일반적으로 1-3개의 주요 업데이트와 많은 마이너 업데이트가 있으며 거의 항상 보안 패치가 포함되어 있기 때문에 모두 보안에 중요합니다.
하지만 잠시만요. Patchman과 같은 것이 있다면 왜 여전히 업데이트해야 합니까?
Patchman은 WordPress 핵심 파일과 가장 인기 있는 플러그인을 다루지만 많은 플러그인이 앱을 통해 패치되지 않습니다. 이는 모든 플러그인이 구식으로 남아 있으면 해커가 웹사이트에서 원하는 대로 할 수 있는 진입점이 될 수 있음을 의미합니다.
WordPress를 최신 상태로 유지하는 것은 매우 쉽습니다.
우선 5.6(2020년 12월 출시) 이후의 모든 버전에는 자동 업데이트가 활성화되어 있으므로 아무 것도 할 필요가 없습니다. 어떤 이유로든 그렇지 않은 경우(예: 개발자가 비활성화했다고 가정) 자동 업데이트를 활성화할 수 있는 몇 가지 방법이 있습니다.
하나는 cPanel 사용자가 서버에 WordPress를 설치하는 데 자주 사용하는 응용 프로그램인 Softaculous를 통한 것입니다. Softaculous의 WordPress Manager를 사용하면 자동 업그레이드를 구성할 수 있습니다. 사소한 업데이트 또는 주요 업데이트만 자동 업그레이드하도록 선택할 수 있습니다.
플러그인과 테마도 자동으로 업그레이드하도록 추가로 선택할 수 있습니다. 무엇보다도 되돌릴 필요가 있는 경우에 대비하여 자동 업그레이드 전에 백업을 수행합니다.
코드 수정에 어느 정도 숙련된 경우 WordPress의 기본 자동 업데이트 구성을 사용하는 또 다른 옵션이 있습니다. 이에 대한 자세한 내용은 WordPress의 KB에서 직접 확인하십시오.
3. 강력한 사용자 이름과 암호 선택
가장 일반적인 WordPress 해킹 시도에는 도난당한 로그인 정보 사용이 포함됩니다. 우리는 소위 무차별 대입 공격(Brute Force attack)에 대해 이야기하고 있습니다. 이 공격은 해커가 컴퓨터가 올바른 사용자 이름과 암호를 찾을 때까지 다양한 조합의 사용자 이름과 암호를 시도하도록 하는 효율적이고 직접적인 유형의 사이버 공격입니다.많은 사람들이 Softaculous와 같은 소프트웨어 응용 프로그램을 사용하여 WordPress를 설치할 때 기본적으로 나타나는 사용자 이름 "admin"을 사용합니다.
해커가 쉽게 사용할 수 있도록 기본 사용자 이름을 사용하지 마십시오 . 이메일 주소와 같은 다른 사용자 이름을 선택하십시오. 이 사용자 이름으로 이미 생성된 사용자를 받은 경우 새 관리자를 만들고 기존 관리자를 삭제합니다.
비밀번호도 마찬가지입니다. 강할수록 좋습니다. 숫자와 특수 문자가 포함된 긴 암호를 선택하거나 임의의 암호를 생성하는 것이 좋습니다.
암호를 잊어버릴까 걱정된다면 기억하는 데 도움이 되는 시스템을 생각해 보십시오. 어떤 사람들은 문자 + 웹사이트 이름의 정적 조합을 차별화 요소로 사용하는 것을 좋아하고(Jack1990Apple!), 다른 사람들은 연관 암호를 사용합니다.
물론 로그인 세부 정보를 저장하기만 하면 기억할 수 있는지 여부에 대해 걱정할 필요가 없습니다. 로그인 정보를 저장하기 위해 브라우저를 사용하지 마십시오! 이것은 상당히 안전하지 않은(그리고 일반적으로 사용되는) 옵션입니다.
매번 입력할 필요가 없도록 로그인 세부 정보를 저장하려면 Lastpass와 같은 암호 관리자를 사용하세요. 무료 요금제가 있고 로그인 세부 정보가 최대한 안전합니다. 암호 관리자를 사용하면 하나의 암호(마스터 암호)만 기억하고 신용 카드 세부 정보도 저장해야 합니다.
4. 로그인 시도 제한
무차별 대입 공격을 방지하는 또 다른 방법(다시 말하지만 그들은 귀하의 세부 정보를 추측하여 침입하려고 합니다)은 로그인 시도 횟수를 제한하는 것입니다. 다행히도 이것은 하기 쉬운 일입니다. Loginizer와 같은 플러그인을 설치하거나 보안 플러그인을 사용하는 경우 기능으로 제공하지 않는지 확인하십시오.Kualo의 공유 호스팅 서비스 고객은 무차별 암호 대입 로그인 공격으로부터 자동으로 보호됩니다. 무차별 암호 대입 시도는 제한 및 차단됩니다.
5. 2FA(이중 인증) 사용
이중 인증은 지난 몇 년 동안 어느 정도 표준이 되었습니다. 사실, 많은 평판이 좋은 웹사이트는 사용자가 계정을 보호하는 가장 안정적인 방법 중 하나로 2FA를 구현하도록 강요합니다. 작동 방식은 인식되지 않는 장치에서 로그인할 때마다 추가 인증(보통 전화를 통해)이 필요하다는 것입니다.즉, 해커가 귀하의 정확한 로그인 세부 정보를 알고 있더라도 추가 인증 없이는 로그인할 수 없습니다.
WP 2FA와 같은 플러그인을 설치하고 웹사이트의 다른 사용자도 강제로 사용하도록 할 수 있습니다(특히 관리자 또는 편집자 권한이 있는 경우). 휴대전화에 액세스할 수 없는 경우에 대비하여 항상 백업 코드를 다운로드하고 안전한 위치에 저장하십시오.
6. 로그인 페이지의 URL 변경
"admin" 사용자 이름과 마찬가지로 로그인 액세스와 관련하여 WordPress의 또 다른 악명 높은 세부 정보는 로그인 페이지입니다. 기본값은 "www.yourwebsite.com/wp-login.php" 또는 "www.yourwebsite.com/wp-admin"입니다.어느 쪽이든 이대로 두면 해커가 백엔드의 입구를 식별하고 무차별 대입 공격을 시작하기가 훨씬 쉬워집니다.
ThemeMyLogin과 같은 플러그인을 사용하여 로그인 페이지의 URL(슬러그)을 변경하거나 나열된 여러 기능(2FA, 로그인 시도 제한 등)을 포함하는 보안 플러그인을 찾으십시오.
로그인 URL을 수동으로 변경하는 방법에 대한 WPBeginner의 훌륭한 기사도 있지만 코드 관리에 익숙하지 않다면 거기에 가지 않는 것이 가장 좋습니다.
7. 보안 플러그인 설치
이 기사를 작성하는 시점에서 무료 및 유료 플러그인을 모두 사용할 수 있는 5천만 개 이상의 플러그인이 있습니다. 악성 공격으로부터 설치를 보호할 수 있는 대규모 플러그인 기반을 활용하지 않는 것은 유감입니다.반면에 설치하는 각 플러그인은 처리(즉, 업데이트)해야 하는 또 다른 코드 조각입니다. 많은 플러그인은 또한 비호환성 위험을 증가시킵니다. 이것은 두 개 이상의 플러그인이 함께 작동할 수 없는 경우입니다. 따라서 없이 사용할 수 있는 플러그인 설치를 피해야 합니다.
최고의 보안 플러그인 중 일부는 위에서 언급한 것처럼 여러 기능을 결합하여 우리가 말하는 모든 작업을 수행하기 위해 설치해야 하는 플러그인 수를 줄입니다. 몇 가지 좋은 예는 다음과 같습니다.
- Wordfence 보안 - 기능으로 가득 찬 또 다른 널리 사용되는 옵션입니다. Wordfence 중앙을 통해 여러 웹사이트를 보유한 사용자에게 적합한 플러그인으로 WordPress에서 악성 코드, 스팸 주입, 심지어 잘못된 URL과 같은 여러 보안 위험을 확인합니다.
- WP Cerber Security - 옵션의 강력한 콤보를 특징으로 하는 훌륭한 플러그인이며 이 중 많은 옵션이 이 문서에서 권장됩니다. 사실 이것은 아마도 가장 포괄적인 보안 기능 목록이 있는 플러그인 중 하나일 것입니다.
- All in One WP Security - 이 플러그인은 기술 경험이 적은 사용자에게 매우 인기가 있으며 유료 버전도 없으므로 제한이 없습니다. 더 많은 수동 구성이 필요하지만 단순성으로 인해 상대적으로 평평한 학습 곡선이 보장됩니다.
8. 활동 로그 플러그인 설치
이것은 많은 경우에 유용할 수 있는 깔끔한 조언입니다. 활동 로그 플러그인은 웹사이트에서 다른 사용자가 수행한 모든 활동의 로그를 기록하고 표시합니다. 웹사이트에서 일어나는 모든 일을 감시하는 일종의 CCTV 카메라라고 생각하세요(물론 텍스트 형식으로!).관리자 권한이 있는 여러 사용자가 웹 사이트에서 작업하는 경우 수행 중인 작업을 기록할 수 있는 훌륭한 방법입니다.
보안 관점에서 로그인 시도 실패부터 WordPress 사이트 파일 및 설정 변경에 이르기까지 매우 편리할 수 있는 다양한 정보를 표시할 수 있습니다. 자신의 웹 사이트 유지 관리를 수행하는 것을 좋아하는 사람이라면 이 기능은 필수입니다.
훌륭한(무료) 옵션은 WP 활동 로그입니다. 이 플러그인은 수년간 사용되어 왔으며 자세한 로그와 인터페이스 단순성으로도 유명합니다.
9. SSL 인증서 설치
이것은 말할 필요도 없지만 안전을 위해 이 권장 사항을 포함시키도록 합시다.한때는 결제와 같은 특정 거래를 위해 보안이 필요한 웹사이트에 SSL이 필요했습니다. 그러나 요즘에는 웹사이트에서 결제를 처리하는지 여부가 중요하지 않습니다. SSL은 비밀번호, 이름, 주소 등과 같은 민감한 정보를 처리하는 모든 웹사이트에 필수입니다.
이에 대한 비공식적 메커니즘은 다음과 같습니다. 웹사이트에 SSL이 없으면 사용자의 웹 브라우저와 웹 서버 간에 전송되는 모든 데이터가 해커가 읽을 수 있는 일반 텍스트로 전달됩니다.
SSL을 설치하면 민감한 정보가 암호화되어 사용자의 웹 브라우저와 서버 간에 전송되기 때문에 악의적인 의도를 가진 제3자로부터 보호됩니다.
Google은 얼마 전 SSL 인증서의 중요성을 인식하고 암호화된 정보 전송을 제공할 수 있는 웹사이트를 최상위 위치에 표시하기 시작했습니다.
또한 2018년에 Google은 활성 SSL이 없는 모든 사이트가 URL에 "안전하지 않음"으로 표시될 것이라고 모든 웹사이트 소유자에게 경고했습니다. 이것은 SSL 인증서를 절대적으로 필수로 만듭니다. 좋은 소식은 구하기가 매우 쉽다는 것입니다. 게다가 일부 호스팅 회사(Kualo 포함!)에서는 SSL이 무료로 포함되어 있습니다.
10. 백업 설정
WordPress 문제를 해결해야 할 때 백업이 100% 작동하지 않을 수 있지만 백업은 첫 번째 방어선입니다. 웹사이트 백업은 해커 공격이 있을 때뿐만 아니라 기술적인 문제가 있을 때도 유용할 수 있습니다.많은 경우 새 테마/플러그인을 설치하거나 사이트에서 활발하게 작업할 때 문제가 발생할 수 있으므로 백업이 있어야 합니다.
대부분의 신뢰할 수 있는 호스팅 제공업체에는 이러한 일일 백업이 설정되어 있지만 수동으로 백업을 수행하는 방법을 배우거나 UpdraftPlus 또는 BackupBuddy와 같은 백업 플러그인을 사용하는 것은 나쁜 생각이 아닙니다. 둘 다 웹 사이트 백업을 Amazon과 같은 클라우드 서비스에 업로드하거나 로컬로 내보낼 수 있는 옵션이 있습니다.
cPanel에서 쉽게 액세스할 수 있는 Softaculous Backup 기능을 사용할 수도 있습니다. 좋은 소식은 최대 단순성을 제공하고 추가 비용이 들지 않는다는 것입니다. 나쁜 소식은 해당 제품과 달리 호스팅 계정에 백업을 업로드하므로 디스크 공간을 사용하고 웹사이트 자체와 같은 위치에 저장된다는 것입니다. 계정에 문제가 발생한 경우(예: 실수로 파일 삭제 또는 수동 해커 침입) 백업 복사본도 손상될 수 있습니다.
WordPress에서 작업할 계획이고 최종 결과가 확실하지 않은 경우 항상 백업 사본을 생성하는 것을 기억하십시오!
트래픽이 많은 전자 상거래 웹 사이트를 실행하는 경우 시간별 백업이 가장 적합할 수 있습니다. 앞에서 언급했듯이 많은 주문을 생성하는 웹 사이트는 몇 시간 전에 수행한 백업을 복원해야 하는 경우 상당한 손실을 입을 수 있습니다.
WordPress 웹사이트를 보호하기 위한 추가 실행 가능한 단계 [고급]
이 섹션에서 찾을 수 있는 팁에는 WordPress 관리에 대한 고급 지식과 코드에 직접 작성하는 데 대한 자신감이 필요합니다. 이 단계를 수행하는 것이 불편하면 실행을 도와줄 수 있는 WordPress 개발자에게 문의하는 것이 좋습니다.11. 파일 편집 비활성화
WordPress에는 관리자 패널에서 테마 및 플러그인 파일을 편집할 수 있는 코드 편집기가 내장되어 있습니다. 잘못된 사람이 관리자 패널에 액세스하면 보안 위험이 커질 수 있습니다. 그렇기 때문에 이 기능을 비활성화하는 것이 좋습니다.wp-config.php 파일에 코드를 추가하면 됩니다.
1 // Disallow file edit
2 define( 'DISALLOW_FILE_EDIT', true );12. 특정 WordPress 디렉토리에 대한 PHP 파일 실행 비활성화
필요하지 않은 디렉토리에서 PHP 파일 실행을 비활성화하여 또 다른 보호 계층을 추가합니다. 그렇게 하려는 이유는 해커가 백도어 액세스 파일이나 맬웨어를 WordPress 사이트에 업로드하는 기능을 자주 사용하기 때문입니다. 귀하의 사이트가 작동을 멈출 수 있으므로 귀하가 무엇을 하고 있는지 모르는 경우 이것은 위험한 단계이므로 신중하게 밟으십시오! 찾고 있는 디렉토리는 /wp-content/uploads/입니다.메모장과 같은 텍스트 편집기를 열고 다음 코드를 붙여넣으면 됩니다.
<파일 *.php>
모두를 부정하다
</파일>
이 파일을 .htaccess 로 저장하고 FTP 클라이언트를 사용하거나 cPanel의 파일 관리자를 통해 웹사이트의 /wp-content/uploads/ 폴더에 업로드합니다.
13. XML-RPC 비활성화
한때 XML-RPC를 사용하여 WordPress 사이트를 웹 및 모바일 앱과 연결했지만 WordPress가 자체 REST API를 출시한 이후로 XML-RPC는 유용한 기능이 아닌 책임이 되었습니다.예를 들어 해커가 웹사이트에서 1000가지 다른 비밀번호를 시도하려는 경우 1000번의 별도 로그인 시도를 해야 하며 이 시도는 보안 플러그인이나 방화벽에 걸리게 됩니다. 그러나 XML-RPC를 활성화한 상태로 유지하면 해커가 system.multicall 기능을 사용하여 30-60개의 요청으로 1000개의 다른 암호를 시도할 수 있습니다.
그렇기 때문에 비활성화하는 것이 좋습니다. .htaccess 파일에 코드를 추가하기만 하면 비활성화할 수 있습니다.
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx
</Files>5행에서 XML-RPC를 유지하려는 유일한 IP인 경우 자신의 IP를 삽입해야 합니다(그렇지 않으면 삭제하면 됩니다).
참고: 사용자가 LiteSpeed의 Brute Force Protection 기능으로 XMLRPC를 보호하므로 이 단계를 수행할 필요가 없습니다.
14. 봇 액세스 제한
귀하의 웹사이트는 항상 일부 봇에 의해 크롤링되지만 나쁜 봇은 성가신 방해를 유발할 수 있습니다. 워크플로가 느려지거나 WordPress 사이트의 기능이 중단되어 사용자가 손실될 수 있습니다.이를 처리하는 좋은 방법은 악의적인 봇이 WordPress에 액세스하는 것을 방지하는 것입니다. .htaccess 파일에 다음 코드를 삽입합니다.
SetEnvIfNoCase User-Agent ^$ keep_out
SetEnvIfNoCase User-Agent (pycurl|casper|cmsworldmap|diavol|dotbot) keep_out
SetEnvIfNoCase User-Agent (flicky|ia_archiver|jakarta|kmccrew) keep_out
SetEnvIfNoCase User-Agent (purebot|comodo|feedfinder|planetwork) keep_out
Order Allow,Deny
Allow from all
Deny from env=keep_outWordPress를 안전하게 유지하기 위한 비기술적 팁
최소 권한 원칙 (POLP) 사용웹사이트 사용자에게 가능한 한 최소한의 액세스 권한을 부여하십시오. 예를 들어 콘텐츠 작성자가 있는 경우 관리자 계정을 제공할 필요가 없습니다. 에디터 사용자는 문제가 없습니다. 절대적으로 필요한 경우가 아니면 계정을 공유하지 마십시오. 공유할 경우 - 암호를 제공한 사람이 더 이상 필요하지 않게 되는 즉시 암호를 변경하십시오.
꼭 필요한 경우가 아니면 호스팅 세부 정보를 공유하지 마십시오.
nulled(불법적으로 다운로드된) WordPress 테마 및 플러그인을 사용하지 마십시오.
어느 시점에서 돈을 절약하고 라이센스가 없는 플러그인이나 테마를 다운로드하고 싶은 유혹이 될 수 있습니다. 이 경우 다른 방식으로 비용을 지불하게 됩니다. 아마도 WordPress에 백도어를 배치하는 것입니다. 해커는 라이선스가 없는 항목에 스팸 링크나 악성 코드를 숨기고 무료 다운로드를 제공하는 경우가 많습니다.
어떤 대가를 치르더라도 이를 피하고 웹사이트나 기능을 위탁하는 경우 개발자에게 모든 것이 적절하게 라이선스가 부여되었는지 확인하십시오.
마지막 생각들
WordPress를 또 다른 중요한 비즈니스 투자로 확보하는 데 사용할 시간(및 자금)을 고려하십시오. 해킹된 웹 사이트를 수정하면 훨씬 더 많은 비용이 들게 됩니다. 가장 불행한 경우에는 비즈니스에 손실을 입힐 수도 있습니다. 이 가이드를 따른다고 해서 악의적인 공격에 대한 100% 보호가 보장되는 것은 아니지만 그러한 공격이 발생할 가능성은 크게 줄어듭니다.제공된 조언 중 따르기 어려운 것이 있습니까? 중요한 것을 놓쳤습니까? 의견에 핑을 보내면 여러분의 생각을 듣고 싶습니다!
또는 Kualo의 매우 안전한 WordPress 호스팅으로 전환할 준비가 되었다면 여기에서 계획을 확인하세요.