13 WordPress 보안 신화 | 해킹으로부터 웹사이트를 보호하세요!

게시 됨: 2019-03-23

워드프레스는 전 세계의 방대한 사용자 커뮤니티의 본거지이자 최고의 콘텐츠 관리 플랫폼이지만, 그 1위는 목표를 등한시하고 많은 워드프레스 보안 신화가 나타납니다.

WooCommerce 보안을 개선하는 방법뿐만 아니라 사이트 보호에 대한 많은 보안 조언을 찾을 수 있지만 이로 인해 실제로 사이트 보호에 도움이 되지 않는 많은 미신이 생겨났습니다. 이러한 팁 중 일부는 공격에 더 취약하게 만들 수도 있습니다.

WordPress 보안 신화

13가지 WordPress 보안 신화와 WordPress 웹사이트를 올바르게 보호하기 위해 할 수 있는 일을 살펴보겠습니다.

1. wp-admin 또는 wp-login 페이지를 숨기면 아무도 로그인 URL을 찾을 수 없습니다.

이 아이디어 뒤에 숨겨진 논리는 잠재적인 해커가 찾을 수 없는 것을 해킹하지 못하도록 하는 것입니다. 로그인 URL이 표준 WordPress /wp-admin/ URL이 아닌 경우 무차별 대입 공격으로부터 보호되지 않습니까? wp-admin URL을 숨기면 일부 공격을 막을 수 있지만 모든 공격을 막을 수는 없습니다.

이 전략이 작동하지 않는 이유 는 REST API 또는 XML-RPC와 같은 일반적인 인터넷 브라우저 사용 방법 외에 WordPress 사이트에 로그인할 수 있는 다른 방법이 있기 때문입니다. 즉 , WordPress 로그인 URL을 변경하더라도 사용하는 플러그인 또는 테마가 변경된 URL에 계속 링크될 수 있습니다.

백엔드 기능을 숨기는 것은 대부분의 직접 액세스 시도를 방지하기에 충분하지만 사용자 정의 wp-admin 또는 wp-login URL을 찾는 사용자는 여전히 로그인 페이지로 리디렉션될 수 있습니다.

워드프레스 로그인 URL 숨기기

이것이 작동하지 않는 또 다른 이유 는 백엔드를 완전히 숨기면 사이트 손상 수 있기 때문입니다. 설치하는 모든 것은 wp-admin이 URL에 있다고 가정합니다.

로그인 URL을 숨기는 것은 불명확할 수 있지만 WordPress 로그인에 대한 실제 링크를 완전히 변경할 수는 없으며 로그인 URL을 사용자 정의하면 많은 테마, 플러그인 및 앱이 wp-login.php를 하드 코딩하기 때문에 실제로 많은 문제를 일으킬 수 있습니다. 기본 코드.

이러한 플러그인, 테마 등이 링크를 찾을 수 없으면 대신 오류를 찾습니다. 보다 안정적인 솔루션은 이중 인증을 사용하고 손상된 암호를 거부하는 것입니다.

2. 추가 보호를 위해 WordPress 버전 번호와 테마 이름을 숨깁니다.

이 전술의 이면에 있는 아이디어는 해커가 이 정보를 가지고 있으면 이 정보를 사용하여 사이트에 액세스할 수 있다는 것입니다.

웹사이트에서 실행되는 코드에서 알려진 취약점을 검색하는 봇이 많기 때문에 WordPress 버전 정보 또는 테마 이름 숨기면 보안 침해로부터 안전하지 않습니다 .

WordPress 플러그인 버전 번호 숨기기

이 정보를 숨기는 대신 WordPress 설치가 항상 최신 상태인지 확인하여 최신 보안 패치가 설치되어 있는지 확인하십시오 .

3. wp-content 디렉토리의 이름을 바꾸면 안전합니다.

플러그인, 테마 및 미디어 업로드 폴더는 모두 사이트의 wp-content 디렉토리에 있습니다. 사용할 수 있는 수많은 코드와 정보가 있으므로 물론 이 정보를 보호하는 것이 현명합니다.

그러나 콘텐츠 디렉터리 이름을 변경해도 실제로 사이트에 추가 보호 계층이 추가되지는 않습니다. 브라우저 개발자 도구를 사용하여 변경하더라도 wp-content이름을 찾을 수 있습니다 .

워드프레스 콘텐츠 디렉토리 이름 바꾸기

이름을 바꾸면 작동하는 데 사용해야 하는 하드 코딩된 wp-content 디렉토리 경로가 있는 플러그인과 충돌발생할 수도 있습니다 .

wp-content 디렉토리에 대해 우려해야 하는 유일한 이유는 악용될 수 있는 취약점이 있는 플러그인이나 테마가 포함되어 있는지 여부입니다. 이를 방지하는 가장 좋은 방법은 보안 취약성을 피하기 위해 테마와 플러그인을 최신 상태로 유지하는 것입니다.

4. 해킹은 대규모 사이트에서만 발생

WordPress 사이트가 작고 트래픽이 적더라도 사이트 보안과 관련하여 사전 예방적인 것이 중요합니다.

해커는 사이트가 얼마나 크거나 바쁜지 상관하지 않습니다. 취약한 사이트는 악성 사이트, 스팸 이메일 또는 비트코인 ​​채굴의 허브 가 될 수 있습니다 . 핵심은 사이트 크기나 트래픽 수준이 아니라 취약점입니다.

플러그인, 테마 및 WordPress 자체 를 항상 최신 상태로 유지하고 WordPress 용 신뢰할 수 있는 보안 플러그인을 설치하여 이를 완화할 수 있습니다. 품질 호스팅 및 이중 인증도 공격자를 막는 데 중요한 부분입니다.

5. WordPress는 안전한 플랫폼이 아닙니다.

이 주장을 들어본 적이 있을 수 있지만 사실이 아닙니다. 오늘날 온라인 최고의 콘텐츠 관리 시스템 중 하나인 WordPress는 견고하고 안정적인 보안 조치 없이는 지금의 위치에 도달하지 못했습니다.

가장 큰 취약점은 사용자로부터 발생 하며 사이트 소유자가 취한 예방 조치로 피할 수 있습니다. 해킹의 가장 큰 이유는 오래된 소프트웨어이며 대부분의 플러그인은 코드의 잠재적인 취약점을 수정하기 위해 정기적으로 패치됩니다.

테마와 플러그인을 항상 최신 상태로 유지하세요. 사이트가 해킹되면 WordPress 결함이 아닙니다 . 사용자가 경계를 늦추면 공격을 받을 수 있습니다.

6. 정기적인 업데이트로 항상 안전한 사이트 유지

플러그인과 테마를 정기적으로 업데이트하는 것은 사이트의 보안을 유지하는 데 중요하지만 사이트 의 잠재적인 악용대한 만병통치약은 아닙니다 . WordPress에는 많은 플러그인과 테마가 있으며 그 중 상당수가 2년 이상 업데이트되지 않았습니다.

워드프레스 테마 업데이트

적절하고 정기적인 유지 관리를 받지 않은 플러그인에는 로드 시간을 늦추거나 더 심하게는 사이트를 손상시키는 오래된 기능이 포함될 수 있습니다.

잠재적인 악용으로부터 안전하게 보호하기 위해 플러그인이 활성 지원을 받는지 확인하고 해킹 위험을 최소화하기 위해 더 이상 지원을 받지 않는 오래된 플러그인제거하십시오 .

7. 백업은 항상 웹사이트를 수정합니다

백업은 손상된 웹사이트를 수정하기 위한 가장 일반적인 솔루션 중 하나입니다. 전체 사이트 백업(가장 좋은 무료 WordPress 백업 플러그인 확인)을 사용하면 사이트를 복원할 수 있지만 처음에 사이트를 손상시킨 것과 동일한 보안 취약점이 남습니다.

  • 이름
  • 무료 버전
  • 유료 버전
    추가 업그레이드 및 애드온으로
  • 전체 사이트 백업
    모든 파일로 전체 사이트를 백업할 수 있습니까?
  • 데이터베이스 백업
    데이터베이스만 백업할 수 있습니까?
  • Dropbox에 백업
    Dropbox에 백업 파일을 저장할 수 있습니까?
  • Amazon S3에 백업
    Amazon S3에 백업 파일을 저장할 수 있습니까?
  • Google 드라이브에 백업
    Google 드라이브에 백업 파일을 저장할 수 있습니까?
  • FTP로 백업
    백업 파일을 FTP에 저장할 수 있습니까?
  • Rackspace에 백업
    Rackspace에 백업 파일을 저장할 수 있습니까?
  • 이메일 알림
    백업 생성 시 이메일 알림
  • 백업만 변경
    서버 리소스를 줄이고 공간을 절약하기 위해 새로운 변경 사항만 백업에 추가됩니다.
  • 예약된 백업
  • 실시간 백업
    사이트를 변경할 때마다 백업 파일이 생성됩니다.
  • 사이트 이전
    사이트 복사 또는 새 호스트로 이동
  • 개별 파일 복원
    전체 대신 백업에서 개별 파일/파일 복원
  • 인터페이스에서 백업 복원
  • 보안 및 맬웨어 검사
    바이러스 및 기타 감염 검색 옵션
  • 데이터베이스 복구 및 최적화
    WordPress 데이터베이스 최적화 옵션
  • 다중 사이트 지원
  • 유료 버전 가격
    모든 애드온 및 기능 포함(1-2개 사이트에 대한 가장 저렴한 요금제)
  • BackWPup
    추가 애드온 및 업그레이드가 포함된 프리미엄/유료 버전도 있습니다.
  • 유료 버전에서만
  • 75$
    스탠다드 플랜의 경우
확인하다
  • 백업워드프레스
    추가 애드온 및 업그레이드가 포함된 프리미엄/유료 버전도 있습니다.
  • 가격이 약 24$인 유료 애드온에서만 사용 가능
  • 가격이 약 24$인 유료 애드온에서만 사용 가능
  • 가격이 약 24$인 유료 애드온에서만 사용 가능
  • 가격이 약 24$인 유료 애드온에서만 사용 가능
  • 가격이 약 24$인 유료 애드온에서만 사용 가능
  • 60$
    개인 계획을 위해
확인하다
  • 업드래프트플러스
    추가 애드온 및 업그레이드가 포함된 프리미엄/유료 버전도 있습니다.
  • 가격이 약 15$인 유료 애드온에서만 사용 가능
  • 유료 애드온
    가격이 약 30$인 유료 애드온에서만 사용 가능
  • 유료 애드온
    가격이 약 25$인 유료 애드온에서만 사용 가능
  • 99$(사이트 수 무제한)
    모든 애드온이 포함된 개발자 플랜 및 무제한 사이트용
확인하다

어떻게 해결합니까? 해킹에 성공한 후 사이트를 수정하기 위해 백업에만 의존하지 마십시오. 마지막 백업 이후에 발생한 거래와 같은 데이터와 기록이 손실될 수 있습니다.

정보를 저장하려면 성공적인 해킹 시도의 희생양이 되기 전에 실제 코드 결함에 패치를 적용할 때 주의하십시오.

8. WordPress 테이블 접두사를 변경하면 보안이 향상됩니다.

이것은 일반적인 권장 사항입니다. WordPress 데이터베이스 테이블의 접두사를 변경하면 SQL 주입 공격을 방지할 수 있습니다. 그러나 "wp_"를 다른 값으로 변경하는 것만큼 간단하지 않습니다.

이 방법이 사이트 보안을 향상시키는 데 도움이 될 것이라는 증거는 아직 없습니다. 그리고 완벽하게 실행되지 않으면 전체 사이트를 위험에 빠뜨릴 수 있습니다.

WordPress 데이터베이스 접두사 변경

이와 같은 조치는 보안을 개선하기 위해 많은 노력을 기울이고 있지만 실제로는 거의 달성하지 못하는 것처럼 느껴지기 때문에 "보안 극장"으로 간주됩니다. SQL 주입 공격으로부터 사이트보호 하려면 보안에 대한 세 가지 접근 방식이 필요합니다.

플러그인, 테마 및 코어를 지속적으로 패치하고 업데이트하는 것 외에도 효과적인 웹 응용 프로그램 방화벽이 필요합니다. 물론 의심스러운 로그인 시도나 맬웨어가 있는지 사이트를 모니터링하고 있는지 확인하십시오.

9. 내 사이트에는 SSL 인증서가 있으므로 완전히 안전합니다.

SSL 인증서에 대해 염두에 두어야 할 사항은 SSL 인증서가 제공하는 보안은 순전히 트랜잭션이라는 것입니다. 신용 카드 정보 및 개인 데이터와 같은 사이트와 방문자 간에 전달되는 정보보호 합니다(WordPress 사이트에 무료 SSL 인증서를 추가하는 방법 참조).

SSL 인증서 WordPress 설치

그러나 SSL 인증서 는 사이트 자체에 있는 파일과 데이터를 보호하지 않습니다 . 사이트의 데이터를 보호하려면 웹 애플리케이션 방화벽이 있어야 하며 플러그인, 테마 및 핵심 파일이 최신 상태인지 확인하는 것이 중요합니다.

10. 내 웹사이트는 안전합니다. CDN 또는 클라우드 방화벽을 사용합니다.

콘텐츠 전송 네트워크 또는 CDN과 Cloudflare, Incapsula 또는 Sucuri와 같은 클라우드 방화벽 서비스는 트래픽을 서버로 다시 라우팅하고 방화벽 규칙에 따라 트래픽을 필터링하여 사이트를 보호합니다. 트래픽이 방화벽 규칙과 호환되면 사이트로 이동합니다.

이것이 사이트의 실제 서버 위치를 노출하는 것을 방지 하는 완벽한 방법 이라고 생각할 수 있지만 사이트의 원래 IP 주소는 여전히 사용자에게 정보를 제공할 수 있으며 불가능하지는 않더라도 모호하게 하기 어려울 수 있습니다.

wordpress-cdn-providers-비교
  • 콘텐츠 전송 네트워크
  • 대규모 볼륨 공격에 대한 보호
  • 전체 애플리케이션 계층 가시성
  • DNS 서버에 대한 공격 완화
  • 웹 기반이 아닌 서비스 보호
    (FTP, SMTP, VOIP 등)
  • 애플리케이션 계층 공격 탐지 및 완화
  • 보안 규칙의 즉각적인 사용자 정의 및 전파
  • 실시간 가시성 및 제어
  • DDoS 공격에 대한 원본 IP 주소 보호
  • 네트워크 인프라에 대한 외부 DDoS 공격 모니터링
  • 압축 및 축소
  • 콘텐츠 및 네트워크 최적화
  • 정적 및 동적으로 생성된 콘텐츠 모두 캐싱
  • 물리적 메모리에서 직접 캐시된 리소스 제공
  • 실시간 캐시 업데이트를 위한 SSD의 2차 레벨 캐싱
  • PCI 호환 웹 애플리케이션 방화벽(WAF)
  • 액세스 제어
  • IP 평판 기반 모니터링 시스템
  • 보안 규칙의 셀프 서비스 사용자 정의
  • 60초 보안 규칙 전파
  • 맬웨어 감염으로부터 보호하는 백도어 보호
  • API 통합
  • 비밀번호 도난 방지를 위한 2단계 인증
  • 글로벌 서버 로드 밸런싱
  • 애플리케이션 계층 로컬 서버 로드 밸런싱
  • 애플리케이션 계층 사이트 장애 조치
  • 실시간 애플리케이션 계층 상태 모니터링
  • 애플리케이션 전달 규칙
    (예: 쿠키, 헤더 등을 기반으로 한 리디렉션)
  • 티켓 시스템
  • 전화 지원
  • HTTP/2 지원
    HTTP/2는 웹 사이트 로드 속도와 응답성을 크게 개선한 HTTP 프로토콜의 최신 버전입니다.
  • 데이터 센터
  • 오리진-풀
  • 푸시(CDN 서버에 업로드)
  • 모두 제거/제거
  • Gzip
  • 모든 원본 서버 헤더를 존중합니다.
  • 원본 서버 헤더를 재정의할 수 있습니다.
  • 푸시된 파일에 대한 캐싱 헤더 설정
  • 맞춤 CNAME
  • HTTPS
  • 핫링크 보호
  • 라이브 채팅
  • 무료 백업
  • 워드프레스와 통합
  • 가격
incapsula-vs-maxcdn-vs-cloudflare-vs-akamai
  • 캡슐
  • 상시 작동
  • 30
  • 원본에서 다시 보내거나 가장자리에서 압축
  • 공유 인증서는 무료 플랜을 제외하고 모두 무료입니다.
  • 공유 인증서는 무료 플랜을 제외하고 모두 무료입니다.
  • WordPress와 독립적으로 통합됩니다. DNS 설정을 변경해야 합니다. 이메일과 Incapsula 대시보드에서 모든 지침을 받을 수 있습니다.
  • 무료 및 유료 요금제
    무료 플랜에는 봇 보호, 액세스 제어, 로그인 보호, CDN 및 Optimizer, 웹사이트 분석, 커뮤니티 지원이 포함됩니다. 유료 PRO 플랜은 월 $59부터 시작하며 무료 플랜과 동일한 기능과 함께 SSL 지원, 고급 성능 및 이메일 지원이 포함됩니다.
캡슐
cloudflare-vs-maxcdn-vs-keycdn-vs-cdnsun
  • 클라우드플레어
  • 설명서
  • 86
  • WordPress와 독립적으로 통합됩니다. CloudFlare를 노래한 다음 새 DNS 서버를 도메인 이름에 할당하기만 하면 됩니다. CloudFlare는 거기에서 선택합니다.
  • 무료 및 유료 요금제
    소규모 웹사이트와 블로그에 적합한 무료 기본 요금제와 $20 – $200 사이의 유료 패키지를 제공합니다.
클라우드플레어 CDN
akamai-vs-incapsula-vs-maxcdn
  • 아카마이
  • 100,000개 이상
  • 원본에서 다시 보내거나 가장자리에서 압축
  • Akamai 제품의 가격을 알아보려면 Akamai에 연락해야 합니다.
아카마이
maxcdn-vs-keycdn-vs-cloudflare-vs-cdnsun
  • MaxCDN
  • MaxCDN은 곧 DDOS 및 WAF 제공을 시작할 것입니다.
  • MaxCDN은 곧 DDOS 및 WAF 제공을 시작할 것입니다.
  • MaxCDN은 곧 DDOS 및 WAF 제공을 시작할 것입니다.
  • MaxCDN은 곧 DDOS 및 WAF 제공을 시작할 것입니다.
  • MaxCDN은 곧 DDOS 및 WAF 제공을 시작할 것입니다.
  • MaxCDN은 곧 DDOS 및 WAF 제공을 시작할 것입니다.
  • MaxCDN은 곧 DDOS 및 WAF 제공을 시작할 것입니다.
  • 75
  • CDN은 gzipping을 처리합니다.
  • 풀 존을 설정한 후 캐시 플러그인을 통해 MaxCDN을 통합할 수 있습니다. 예를 들어 W3 총 캐시, 슈퍼 캐시 또는 WP 로켓.
  • $9/월부터 $299/월까지
    사용자 지정 기가바이트당 가격 책정도 있습니다.
MaxCDN
keycdn-vs-cloudflare-vs-maxcdn-vs-incapsula
  • 키 CDN
  • 25
  • 원본 서버가 Gzip을 수행하는 경우에만
  • 설정 후 캐시 플러그인을 통해 통합할 수 있습니다. 예를 들어 W3 총 캐시, 슈퍼 캐시 또는 WP 로켓.
  • 당신이가는대로 지불
    패키지를 구입할 필요가 없습니다. 가격은 GB당 $0.04부터 시작합니다.
키 CDN

이는 클라우드 방화벽 제공업체의 일반적인 문제였으며 간단한 솔루션은 사이트에서 엔드포인트 보안 조치를 구현하는 것입니다. 데이터를 원점에서 보호하는 것이 해커 및 기타 형태의 공격에 대한 최선의 직접적인 방어입니다.

11. IP 차단으로 해커를 차단

의심스러운 로그인을 기록하고 IP 주소를 추적하는 유용한 서비스가 온라인에 있으며 이러한 IP를 완전히 차단할 수도 있습니다.

IP 차단은 해커가 사이트에 액세스하는 것을 방지 하는 효과적인 방법 이라고 생각할 수 있지만 해커는 목표를 달성하기 위해 지속적으로 IP를 변경하고 종종 여러 IP에서 동시에 작동합니다.

하나의 IP 주소를 차단하면 그들이 정렬 한 다음 IP 주소로 간단히 전환할 수 있습니다 . 설상가상으로 IP를 제대로 차단하지 않으면 사이트가 다운되어 수정하는 데 시간이 많이 걸릴 수 있습니다.

12. 안전한 사용자 이름과 비밀번호만 있으면 됩니다.

고유한 관리자 사용자 이름과 강력하고 복잡한 비밀번호는 사이트의 적절한 보안에 필수적 이지만 잠재적인 해커를 저지 하는 완벽한 방법아닙니다 .

사이트 침해에 사용되는 일반적인 전술 중 하나는 봇을 사용하여 표준 "admin" 사용자 이름으로 수천 개의 공통 암호를 순환하는 것입니다.

admin에서 이름을 변경 하고 암호 에 대문자와 소문자, 숫자, 구두점 및 해독하기 어렵게 만드는 기타 고유한 기호를 포함하여 여러 유형의 문자를 포함해야 합니다 .

그러나 효과적인 사용자 이름/비밀번호 조합이 모든 것을 보호하지는 못한다는 점을 명심하십시오. 해커는 오래된 테마 또는 플러그인의 취약성, 데이터 침해, 심지어 피싱 계획을 포함하여 사이트를 공격하는 다른 수단을 가지고 있습니다.

13. 사용하지 않는 플러그인/테마를 비활성화하십시오.

이것은 많은 사이트 소유자가 하는 일반적인 실수입니다. 오래된 플러그인을 제거하는 대신 비활성화합니다. 그러나 업데이트 또는 보안 수정 사항이 없기 때문에 비활성화된 플러그인 및 테마도 악용될 수 있습니다 .

비활성화된 플러그인 및 테마를 업데이트할 수 있지만 더 나은 옵션은 보안 위험을 최소화하기 위해 필요하지 않은 항목을 제거하는 것입니다.

WordPress 보안 신화 결론

WordPress 사이트가 해킹되는 데는 여러 가지 이유가 있습니다. 이러한 WordPress 보안 신화를 읽은 후 사이트의 보안을 최적화하는 것이 다소 어렵게 느껴질 수 있습니다. 보안 조치 가 효과적인지 그리고 단순히 "보안 극장"이 무엇인지 말하기가 항상 쉬운 것은 아닙니다 .

WordPress 사이트를 안전하게 유지하고 콘텐츠 도난을 방지하는 것이 매우 중요합니다. 사이트가 100% 공격에 취약하다는 것을 보장할 수 있는 방법은 없지만 해킹 위험을 최소화하고 마음의 평화를 제공할 수 있는 사이트 관리 및 유지 관리에 통합할 수 있는 많은 관행과 예방 조치 가 있습니다.

안전을 위해 iThemes Security, WordFence, MalCare, Swift Security 또는 Hide My WP와 같은 WordPress 보안 플러그인을 설치하는 것이 가장 좋습니다. 이 플러그인은 웹사이트를 보호하고 보안 레이어를 구현할 수 있는 다양한 설정과 옵션을 제공합니다. 자세한 내용은 iThemes 보안 검토, MalCare 검토, Wordfence 대 iThemes 보안, Swift 보안 대 내 WP 숨기기를 참조하십시오.