2021년 해커로부터 WordPress 사이트를 안전하게 유지

매일 100,000개 이상의 웹사이트가 해커의 표적이 됩니다! 그렇기 때문에 WordPress 사이트를 안전하게 유지하는 것이 중요합니다. 귀하의 웹사이트는 언제든지 해당 웹사이트 중 하나가 될 수 있습니다. 워드프레스는 꽤 안전합니다. 그러나 많은 WordPress 사이트가 해킹의 피해자입니다. 이것은 WordPress 자체와 관련이 없고 웹마스터로서 사이트를 관리하고 보안을 설정하는 방법과 더 관련이 있습니다.

사이트를 시작할 때 사이트가 안전한지 확인했더라도 보안 유지 관리를 계속하면 사이트가 항상 적절하게 보호됩니다.

시작하기 전에 WordPress 사이트에 있는 몇 가지 일반적인 보안 문제를 파악하는 것이 좋습니다 .

• 무차별 대입 공격 – 무차별 대입 공격은 강력한 암호를 갖는 것이 중요한 이유입니다. 공격자는 WordPress 사이트에 액세스하기 위한 올바른 로그인 조합을 얻을 때까지 로그인 정보를 계속해서 입력합니다.
• 맬웨어 – 악성 소프트웨어의 줄임말 인 맬웨어는 웹사이트에 무단으로 액세스하여 비즈니스 소유자와 그 고객 또는 연락처에 속한 민감한 데이터를 수집하는 데 사용되는 코드입니다.
• 파일 포함 익스플로잇 – 파일 포함 익스플로잇은 안전하지 않은 코드가 원격 파일을 로드하는 데 사용되어 해커가 웹사이트에 액세스할 수 있도록 할 때 발생합니다. 이것은 또한 본질적으로 WordPress 설치의 백본인 wp-config.php 파일에 대한 액세스를 제공합니다. 이 파일이 손상되면 해커가 데이터베이스 로그인 정보 및 암호화 보안에 액세스할 수 있습니다.
• SQL 인젝션 – SQL 인젝션은 WordPress 데이터베이스에 대한 공격으로, 공격자가 데이터베이스 및 데이터에 대한 액세스 권한을 얻습니다. 이 경우 공격자는 악성 링크와 스팸을 포함할 수 있는 데이터를 추가하고 변경할 수 있습니다.
• 교차 사이트 스크립팅 – 교차 사이트 스크립팅은 플러그인과 관련된 가장 일반적인 문제이며 공격자가 피해자가 무의식적으로 안전하지 않은 자바 스크립트 스크립트로 웹 페이지를 로드하도록 하는 방법을 찾는 데 사용됩니다.

보안이 침해되면 어떻게 됩니까?

해커는 귀하의 데이터와 고객 소유의 모든 데이터를 훔쳐 이 데이터를 노출시킬 수 있습니다. 맬웨어가 사이트에서 방문자에게 배포되어 SEO 순위와 브랜드 평판이 손상될 수 있습니다. 마지막으로 전체 사이트가 지워질 수 있으며 백업되지 않으면 심각한 문제가 발생할 수 있습니다.

이제 가장 큰 문제는 해커로부터 사이트를 안전하게 보호할 수 있는 방법입니다. WordPress 사이트의 경우 웹 사이트를 보다 안전하게 만들 수 있는 여러 가지 방법이 있습니다. 이 가이드에서는 보다 심층적인 WordPress 보안 기능에 이르기까지 수행할 수 있는 몇 가지 기본 보안 변경 사항을 보여 드리겠습니다. 뛰어들어봅시다.

기본 보안 설정이란 무엇입니까?

대부분의 사이트에는 기본 사항조차 포함되어 있지 않으므로 보호가 매우 부적절합니다. 여기에서는 WordPress 보안을 강화하기 위해 할 수 있는 기본 사항을 다룹니다.

1. 강력한 자격 증명

어리석게 들릴지 모르지만 강력한 암호를 사용하는 것이 첫 번째 방어선입니다. 오늘날 사람들은 여전히 ​​거의 보호 기능을 제공하지 않는 Password123과 같은 암호를 사용하고 있습니다. 사용자 이름이나 이메일 주소를 비밀번호로 사용하고 싶을 수도 있지만 하지 마십시오!

강력한 암호는 사용자 이름 및/또는 이메일과 다르며 대문자와 소문자, 숫자 및 특수 문자(예: !,*,%)를 포함합니다.

마찬가지로 많은 사람들이 admin을 사용자 이름으로 사용하고 있다는 사실을 알고 놀랄 것입니다. 그렇다면 바꿀 때입니다.

2. 보안 연결을 사용하는 보안 호스팅

웹 호스트는 귀하만큼이나 귀하의 웹사이트 보안을 책임집니다. 요즘 호스팅은 클라우드 호스팅 또는 공유 호스팅을 통해 제공됩니다(가장 저렴한 WordPress 호스팅 옵션 확인). 클라우드 호스팅은 여러 서버에서 여러 웹사이트를 호스팅하는 반면 공유 호스팅은 한 서버에서 여러 웹사이트를 호스팅합니다.

클라우드 호스팅은 여러 사이트에서 제한된 리소스를 공유할 필요가 없기 때문에 더 높은 수준의 안정성과 보안으로 평가됩니다. 그것은 공유 호스팅 시작의 문제이며 호스트가 서버가 처리할 수 있는 것보다 더 많은 웹사이트를 쌓으면 사이트가 취약해집니다.

공유 호스팅이 나쁘다는 것은 아닙니다. 책임 있는 호스트는 항상 보안 연결을 사용하고 서버가 처리할 수 있는 것 이상을 제공하지 않습니다. 이제 호스트를 확인하고 전환해야 하는지 여부를 알아보기에 좋은 시간이 될 수 있습니다.

3. 이중 인증

간단한 보안 수정 사항은 대시보드에 로그인할 때 2단계 인증을 활성화하는 것입니다. 이렇게 하면 웹사이트에 보안 계층이 추가되며 설정에서 매우 쉽게 활성화할 수 있습니다.

인증은 일반적으로 SMS 또는 이메일을 통한 코드입니다. 일부 사용자는 로그인하기 위해 추가 단계를 거쳐야 하는 것이 짜증나지만 추가 보호를 위해 그만한 가치가 있습니다.

3. SSL 인증서

사이트에 SSL 인증서가 있는지 확실하지 않습니까? SSL이 있는 사이트는 웹 주소 시작 부분에 https://를 표시하고 종종 브라우저에서 사이트가 안전하지 않다고 표시합니다. SSL 인증서를 사용하면 웹 방문자에게 사이트가 안전하므로 사이트를 사용할 때 데이터가 보호된다는 것을 알 수 있습니다.

대부분의 호스팅 제공업체는 이제 구독 비용에 SSL 인증서를 포함하지만 인증서가 없는 경우 호스트를 통해 비용을 지불하거나 무료 Let's Encrypt 인증서를 사용할 수 있습니다(WordPress 사이트에 무료 SSL을 수동으로 추가하는 방법 참조).

웹사이트 소유자는 웹사이트에 대한 SSL 인증서를 선택할 때 다른 SSL 유형을 확인해야 합니다. 예를 들어 전자상거래 웹사이트에 여러 하위 도메인이 있는 경우 와일드카드 SSL 인증서를 받는 것을 고려해야 합니다.

AlphaSSL, Comodo, GlobalSign, DigiCert와 같이 사이트에서 신뢰를 구축하는 데 도움이 될 수 있는 평판이 좋은 인증 브랜드가 많이 있습니다. 모든 유명 브랜드가 인증된 SSL 인증서를 제공하므로 아무나 선택할 수 있습니다.

4. 사이트 백업

사이트 보안이 아무리 강력하더라도 100% 방탄은 아닙니다. 이러한 이유로 사이트 백업(WordPress 백업 플러그인 비교 참조)은 웹사이트 보안에서 절대적으로 필요한 것 중 하나입니다. 불가피한 상황이 발생하면 웹사이트를 처음부터 시작할 필요가 없습니다.

Duplicator(Duplicator를 사용하여 WordPress 사이트 마이그레이션 방법 참조), BackupBuddy(BackupBuddy 검토 확인), WPvivid(WPvivid 검토 참조), 10Web 백업(10Web 검토 확인) 등과 같은 백업 플러그인을 사용할 수 있습니다.

데이터를 백업할 수 있는 또 다른 방법은 동일한 데이터를 사용하는 앱이나 소프트웨어를 동기화하는 것입니다. 예를 들어 Mailchimp와 Office 365를 동기화하여 연락처를 백업할 수 있습니다. 이렇게 하면 연락처 데이터를 안전하게 유지할 수 있습니다.

5. 플러그인 및 테마

WordPress 사이트는 테마와 업데이트가 필요한 많은 플러그인에서 작동합니다. 이러한 업데이트는 사이트가 원활하게 작동하도록 유지하는 동시에 소프트웨어 내의 버그나 문제를 수정하는 데 필수적입니다. 너무 많은 기업이 이전 버전의 소프트웨어에서 실행되는 웹사이트를 갖고 있는데도 이를 알지 못합니다.

또 다른 문제는 nulled 테마와 플러그인을 사용하는 것입니다. 여기에는 수정된 코드가 포함되어 있으며 신뢰할 수 없습니다. nulled 플러그인을 사용하면 사이트가 위험해질 수 있습니다.

6. PHP 버전 업데이트

아주 오래된 버전의 PHP를 실행하는 모든 사이트는 보안 위험에 노출되어 있습니다. 오래된 PHP는 WordPress 사이트를 취약하게 만들 수 있습니다. 최신 PHP 버전에서 실행되고 있는지 확인하는 것이 좋습니다. 사이트에서 헤더 요청을 확인하거나 다양한 플러그인을 사용하거나 호스팅에서 사용하는 경우 cPanel을 통해 버전을 찾을 수 있습니다.

7. 관리 영역 강화

WordPress 관리 영역은 기본적으로 사용자에게 사이트의 특정 작업에 액세스하고 수행할 수 있는 기능을 제공하며 종종 보호되지 않은 상태로 남아 있습니다. 이러한 이유로 WordPress 사이트에서 가장 일반적으로 대상이 되는 영역입니다.

관리자 디렉토리에 추가 인증 수단을 추가하여 이에 대한 보안을 강화할 수 있습니다. 이중 인증을 추가하고 로그인 시도를 제한하여 다른 보안 계층을 추가하고 해커를 막을 수 있습니다.

한 단계 더 나아가 WordPress 로그인 URL을 변경할 수 있습니다. WordPress 사이트의 기본 URL은 domain.com/wp-admin 또는 /login.php로 해커가 관리자 로그인에 대한 무차별 대입 공격을 쉽게 시도할 수 있습니다.

큰 보안 수정 사항은 아니지만 URL을 변경하면 공격자가 사이트에 액세스하기가 어렵습니다. iThemes Security(iThemes Security와 WordFence 비교 참조), Hide My WP(Swift Performance와 Hide My WP 비교 확인) 등과 같은 플러그인을 사용하여 로그인 URL을 변경할 수 있습니다.

더 강력한 보안을 구현하는 방법?

다음은 WordPress 사이트에 대한 더 높은 수준의 보안을 위한 몇 가지 권장 사항입니다.

1. 워드프레스 보안 플러그인 설치

보안을 강화하기 위해 설치할 수 있는 멋진 플러그인이 있는지 궁금할 수 있습니다. 좋은 소식은 많다는 것입니다. 이러한 플러그인을 사용하는 이점은 다양한 기능과 해킹 시도를 나타낼 수 있는 수정된 파일에 대해 WordPress 설치를 스캔하는 옵션입니다. 이 플러그인에는 다음 기능도 있습니다.

• 사이트 방문자에 대한 WHOIS 정보
• 이중 인증
• reCAPTCHA
• 맬웨어 검사
• 비밀번호 만료 – 일정 시간이 지나면 비밀번호를 재설정해야 합니다.
• 워드프레스 보안 방화벽

모든 보안 문제를 해결할 수는 없지만 플러그인은 또 다른 방어 계층을 추가하고 해킹 시도를 방지하는 데 도움이 될 수 있습니다. Sucuri, Jetpack Security, iThemes Security Pro, BulletProof Security, Wordfence, MalCare(MalCare 리뷰 참조) 등의 플러그인을 고려하는 것이 좋습니다.

2. WordPress 버전 숨기기

귀하와 귀하의 웹사이트 구성에 대한 정보가 적을수록 해커가 귀하를 표적으로 삼기가 더 어려워집니다. 사이트 버전을 숨기면 해커가 사이트를 이전 버전에서 실행 중인 것으로 식별하는 것을 방지할 수 있습니다.

더 간단한 솔루션은 웹사이트를 항상 최신 상태로 유지하는 것입니다. 그러나 예방 조치를 취하고 싶다면 테마의 functions.php 파일에 코드를 추가하여 WordPress 버전을 숨길 수 있습니다.

3. 파일 권한

파일 권한은 웹 서버에서 사이트의 파일에 대한 액세스를 제어하는 ​​데 사용하는 규칙 집합입니다. 잘못된 권한이 있으면 사이트 기능이 중지될 수 있지만 해커가 이러한 파일에 액세스하고 다시 작성하고 변경할 수 있습니다.

파일 권한에 대한 권장 값은 다음과 같습니다. 모든 파일은 644로 설정하고 모든 디렉터리는 755 또는 750으로 설정해야 합니다. 디렉터리는 777로 설정하면 안 됩니다.

4. 데이터베이스 보안

웹사이트 이름이 무엇이든 데이터베이스 이름이 지정됩니다. 따라서 사이트가 richie rich라고 하면 데이터베이스 이름은 wp_richierich가 됩니다. 이것을 관련 없는 것으로 변경하면 해커가 데이터베이스 이름을 추측할 수 없게 됩니다.

보안을 강화할 수 있는 또 다른 방법은 기본 WordPress 테이블 접두사를 변경하는 것입니다. 기본적으로 WordPress는 데이터베이스를 생성하는 데 사용하는 접두사로 wp_를 사용했습니다. 설치하는 동안 이 접두사를 변경할 수 있으며 해커가 데이터베이스 이름을 추측하기 어렵게 만드는 것이 좋습니다.

5. DDoS 방지

DDoS는 웹사이트에 해를 끼치지 않지만 몇 시간 또는 며칠 동안 사이트를 다운시키는 일종의 서비스 거부 공격입니다. 이것이 귀하의 웹사이트에 아무런 피해를 입히지 않을 수도 있지만, 귀하의 웹사이트가 항상 완벽하게 작동하는 것에 의존한다면 귀하의 비즈니스에 피해를 줄 수 있습니다. Securi 또는 Cloudflare와 같은 타사 보안을 사용하여 DDoS 공격을 방지할 수 있습니다.

6. wp-config.php 파일 보호

앞서 언급했듯이 wp-config.php 파일은 워드프레스 설치에서 가장 중요한 파일입니다. 해킹당한 경우 해커는 데이터베이스 로그인을 획득하여 웹사이트에 대한 완전한 액세스를 제공할 수 있습니다.

무섭게 들릴 수도 있지만 걱정하지 마세요. 파일 권한을 변경하여 wp-config.php 파일의 보안을 강화할 수 있습니다. 루트 디렉토리의 파일은 일반적으로 소유자가 파일을 읽고 쓸 수 있도록 하는 644로 설정되며 그룹 소유자 및 다른 모든 사용자가 읽을 수 있습니다.

다른 사용에 대한 액세스를 거부하려면 파일을 440 또는 400으로 설정해야 합니다. 특정 호스팅 플랫폼에는 다른 권한이 있다는 점을 염두에 두어야 합니다. 사용자에게 파일 쓰기 권한이 없기 때문입니다. 이 경우 호스팅 제공업체에 문의하여 권한이 무엇인지 확인하는 것이 좋습니다.

WordPress 사이트를 안전하게 유지하기

WordPress 사이트가 해킹되는 데는 여러 가지 이유가 있습니다. 해킹된 WordPress 사이트를 정리하는 것이 불가능하지는 않지만 예방 조치를 취하면 사이트가 해킹될 가능성을 줄일 수 있으므로 사이트 정리나 최악의 경우 완전히 새로운 사이트를 구축하는 것에 대해 걱정할 필요가 없습니다. 웹사이트.