사이트를 잠그는 8가지 최고의 WordPress 보안 플러그인

WordPress는 인터넷에 있는 모든 웹사이트의 35% 이상을 장악하고 있어 전 세계의 악의적인 행위자들의 표적이 됩니다.

귀하의 웹사이트 또는 고객의 웹사이트를 보호하려는 경우 전용 보안 플러그인을 사용하면 많은 작업을 수행할 수 있습니다.

요구 사항에 가장 적합한 WordPress 보안 플러그인을 선택하는 데 도움이 되도록 보안 강화, 방화벽 및 맬웨어 검사에 도움이 되는 8가지 훌륭한 옵션을 수집했습니다.

대부분의 WordPress 보안 플러그인이 실제로 수행하는 작업에 대한 간략한 개요부터 시작하여 자세히 살펴보겠습니다.

WordPress 보안은 매우 광범위한 주제이므로 "WordPress 보안 플러그인"이라고 말하면 다양한 기능을 포함할 수 있습니다.

따라서 플러그인에 대해 알아보기 전에 이러한 각 도구가 수행하는 작업을 알 수 있도록 다양한 고급 기능이 무엇인지 살펴보겠습니다.

기본 보안 강화는 "WordPress 웹 사이트를 보다 안전하게 만드는 구성 변경 또는 도구"에 대한 일종의 포괄적입니다.

예를 들어 보안 플러그인은 일반적으로 다음과 같은 기능으로 로그인 페이지를 보호하는 데 도움이 됩니다.

• 로그인 시도 제한
• 이중 인증
• WordPress 로그인 URL 변경
• 강력한 암호 적용
• 비밀번호 만료 설정
• 보안문자 추가

그것들은 모두 강화 전술입니다.

다른 인기 있는 강화 전략에는 변경된 사항이 있는지 감지하기 위해 핵심 WordPress 파일 모니터링, XML-RPC와 같은 WordPress 기능 비활성화, 사용자 열거 중지 등이 있습니다.

많이 언급되는 또 다른 전술은 방화벽입니다.

기본적으로 웹 사이트 방화벽은 WordPress 사이트와 방문자 사이에 있는 것입니다. 일반 방문자는 사이트를 사용하는 데 문제가 없지만 방화벽이 악의적인 활동(IP 주소, 작업 등을 통해)을 감지하면 문제가 발생하기 전에 해당 방문자를 차단합니다.

WordPress를 사용하면 웹 애플리케이션 방화벽 또는 WAF라고 하는 것을 볼 수 있습니다.

모든 방화벽이 동일한 것은 아니라는 점에 유의하는 것이 중요합니다. 즉, 두 개의 플러그인이 모두 "방화벽"을 제공한다고 해서 방화벽이 따르는 규칙만큼만 우수하기 때문에 이러한 도구가 자동으로 동일하다는 의미는 아닙니다.

Wordfence와 같은 일부 WordPress 보안 플러그인은 새로운 보안 위협에 적응하기 위해 방화벽 규칙을 실시간으로 지속적으로 업데이트하고 있습니다. 다른 것들은 기본적으로 절대 변하지 않는 정적 규칙 집합입니다. 둘 다 유용할 수 있습니다. 새로운 유형의 취약성으로부터 사용자를 보호하는 데 하나가 더 효과적일 뿐입니다.

WordPress 보안 플러그인의 또 다른 인기 있는 부분은 맬웨어 검사입니다. 자신의 컴퓨터에서 스캔을 실행하면서 이 개념에 익숙할 것입니다.

기본적으로 이 도구는 사이트에서 악성 코드를 검색하고 발견한 모든 항목에 대한 보고서를 반환합니다.

다시 말하지만, 맬웨어 검사의 효율성은 규칙과 접근 방식에 따라 다릅니다. 즉, 두 개의 플러그인이 모두 "맬웨어 검색"을 수행하기 때문에 동일하지 않습니다.

첫째, 방화벽과 마찬가지로 탐지 규칙에 차이가 있습니다. 맬웨어 스캐너는 맬웨어를 식별하기 위해 "맬웨어 서명"에 의존합니다. 따라서 맬웨어 스캐너에 긴급 위협에 대한 서명이 없으면 탐지하지 못할 수 있습니다.

둘째, 접근 방식이 있습니다. 인기 있는 Sucuri SiteCheck 도구와 같은 일부 플러그인/도구는 사이트의 프런트 엔드만 검색합니다. 이렇게 하면 웹사이트의 프런트 엔드에서 탐지할 수 있는 멀웨어를 잡을 수 있지만 서버에 숨어 있는 멀웨어는 탐지하지 못합니다.

사이트의 프런트 엔드에 나타나지 않는 맬웨어를 감지하려면 서버의 모든 파일을 검사하는 맬웨어 스캐너를 사용해야 합니다.

그 소개를 생략하고 필요에 가장 적합한 WordPress 보안 플러그인을 선택하는 데 도움을 드리겠습니다.

다음은 우리가 살펴볼 8가지 플러그인입니다.

1. 수쿠리
2. iThemes 보안
3. 올인원 WP 보안 및 방화벽
4. 방탄 보안
5. 제트팩
6. 시큐프레스
7. 케르베르 보안
8. 워드펜스

Sucuri는 또 다른 인기 있는 웹사이트 보안 도구입니다. Sucuri에는 두 부분이 있습니다.

1. WordPress.org의 무료 플러그인
2. 유료 방화벽, 모니터링, 해킹 정리 서비스

WordPress.org의 무료 플러그인은 주로 기본적인 보안 강화에 도움이 됩니다.

대시보드 내 플러그인 및 테마 편집을 비활성화하고 특정 민감한 디렉토리에서 PHP 실행을 차단하는 것과 같이 적용할 수 있는 다양한 규칙과 팁을 제공합니다.

기타 보안 기능에는 다음이 포함됩니다.

• 코어 파일에 대한 파일 무결성 모니터링
• 실패한 로그인 시도 추적
• 다양한 작업에 대한 보안 경고 알림 수신
• 사이트의 스크립트 및 iframe을 나열합니다.

그 외에도 플러그인에는 맬웨어 검사를 위한 Sucuri SiteCheck 서비스도 함께 제공됩니다. 그러나 이 서비스는 문제가 있는지 사이트 프론트 엔드를 스캔할 뿐이라는 점을 이해하는 것이 중요합니다. 다른 멀웨어 스캔처럼 서버에 있는 파일은 스캔하지 않습니다. 또한 이 도구를 사용하는 데 플러그인이 필요하지 않습니다. Sucuri 웹사이트에서 실행할 수 있습니다.

보안 강화를 위해 플러그인을 사용하면 유료 Sucuri 방화벽 서비스에 연결할 수 있습니다. 이 방화벽은 Sucuri 팀에서 정기적으로 업데이트되는 규칙이 있는 클라우드 기반 WAF입니다. 방화벽을 통해 다음을 수행할 수도 있습니다.

• 특정 IP 주소 화이트리스트 또는 블랙리스트
• 전체 국가 차단
• CAPTCHA, 이중 인증 또는 추가 비밀번호로 민감한 영역(예: WordPress 대시보드/로그인)을 보호하십시오.

유료 Sucuri 서비스는 DDoS 공격으로부터 사이트를 보호하는 데도 도움이 됩니다.

가격: Sucuri 플러그인은 100% 무료입니다. Sucuri 방화벽 비용은 월 $19.98이며 전체 Sucuri 플랫폼(맬웨어 감지 및 정리 포함)은 연간 $299.99입니다.

iThemes Security는 iThemes의 프리미엄 보안 플러그인입니다. 익숙하지 않은 경우 iThemes는 BackupBuddy를 비롯한 다양한 플러그인 뒤에 있는 인기 있는 개발자입니다. iThemes는 2018년 Liquid Web에 인수되었습니다.

iThemes Security는 WordPress 보안 강화에 중점을 둡니다. 프론트 엔드 맬웨어 감지를 위해 Sucuri SiteCheck 서비스에 연결할 수 있지만 Sucuri 웹 사이트에서 이 기능을 실행할 수 있으므로 실제로 내장 맬웨어 검사가 아닙니다.

방화벽을 알리지는 않지만 일부 봇과 IP 주소를 차단할 수 있는 기능이 포함되어 있습니다. 다른 WordPress 사이트를 무작위로 공격하려고 시도한 IP 주소를 자동으로 차단할 수 있는 "네트워크 무작위 공격 방지" 기능도 있습니다.

보안 강화와 관련하여 iThemes Security는 다음과 같은 기능으로 로그인 프로세스를 보호할 수 있습니다.

• 로그인 시도 제한
• WordPress 로그인 URL 변경
• Google reCAPTCHA(유료)
• 이중 인증(유료)
• 강력한 암호 적용
• 비밀번호 만료(유료)

또한 액세스하지 않을 때 기본적으로 사이트를 잠글 수 있는 "자리 비움" 모드를 제공합니다.

기타 보안 강화 기능은 다음과 같습니다.

• 파일 변경 감지
• 데이터베이스 접두사 변경
• 대시보드 내 파일 편집 끄기
• 사용자 작업 로깅( 유료 )
• wp 콘텐츠 경로 변경

여러 WordPress 사이트를 관리해야 하는 경우 iThemes Sync와도 통합되어 있습니다.

가격: WordPress.org의 무료 버전. 유료 버전은 $80부터 시작합니다.

All In One WP Security & Firewall은 100% 무료인 인기 있는 WordPress 보안 플러그인입니다.

다음과 같은 다양한 보안 강화 기능을 구현하는 데 도움이 됩니다.

• WordPress 데이터베이스 접두사 변경
• 파일 권한 모니터링
• 대시보드 내 파일 편집 비활성화
• 파일 무결성 모니터링
• WordPress 버전 번호 숨기기

또한 다음과 같은 로그인 프로세스를 보호하는 기능이 포함되어 있습니다.

• 로그인 시도 제한
• 일정 시간 후 사용자 강제 로그아웃
• 로그인 보호를 위해 reCAPTCHA 추가
• 특정 IP 주소 허용
• 사용자 열거 중지

또한 사이트의 보안을 향상시키는 데 도움이 되는 "보안 강도 측정기"를 제공합니다.

All In One WP Security & Firewall에는 방화벽이라고 하는 것이 포함되어 있지만 Wordfence나 Sucuri만큼 강력하지는 않습니다. 이는 정적인 규칙 집합에 가깝습니다. 다른 플러그인과 같은 새로운 위협에 적응하지 못합니다.

가격: WordPress.org에서 100% 무료입니다.

BulletProof Security는 다음을 통해 WordPress 보안에 대한 일체형 접근 방식을 제공하는 또 다른 옵션입니다.

• 경화
• 방화벽
• 맬웨어 검사

무료 버전은 다음과 같은 기본 강화 기능을 제공합니다.

• 로그인 보안
• 데이터베이스 테이블 접두사 변경
• 보안 로깅
• 데이터베이스 백업

또한 무료 버전에는 맬웨어 검사가 포함되어 있으며 유료 버전에는 BulletProof Security의 AutoRestore|Quarantine Intrusion Detection and Prevention System(ARQ IDPS)을 통한 실시간 보호 기능이 포함되어 있습니다.

유료 버전에는 다음과 같은 다른 기능도 추가됩니다.

• 데이터베이스 모니터링 및 차등 검사
• 업로드 방지
• 플러그인 방화벽

사용자 인터페이스는 상당히 구식으로 보이고 다른 도구만큼 쾌적하지 않지만 BulletProof Security는 그 효과면에서 좋은 평가를 받고 있습니다.

가격: WordPress.org의 무료 버전. 유료 버전은 $69.95부터 시작합니다.

Jetpack은 WordPress.com 및 WooCommerce 뒤에 있는 동일한 사람들인 Automattic의 인기 있는 올인원 플러그인입니다.

이 목록에 있는 다른 모든 플러그인과 달리 Jetpack은 WordPress 보안 에만 중점을 두지 않지만 무료 및 유료 플랜 전반에 걸쳐 많은 보안 기능을 포함합니다.

무료 버전은 무차별 대입 보호 및 보안 WordPress.com 로그인 사용 옵션으로 WordPress 로그인을 보호하는 데 도움이 됩니다. 즉, WordPress.com 자격 증명을 사용하여 자신의 WordPress 사이트에 로그인할 수 있습니다.

유료 플랜을 사용하면 백업 및 맬웨어 검사에 액세스할 수도 있습니다(이 기능은 이전에 VaultPress라고 불렀습니다. 이제 VaultPress는 Jetpack과 병합되었습니다).

백업 및 스캔 기능은 서로 연결되어 있어 고유한 기능을 제공합니다. 대부분의 맬웨어 검사 도구와 함께 이 도구는 실제 WordPress 서버의 파일을 검사합니다. 이것은 맬웨어를 잡는 데 유용하지만 라이브 웹사이트 서버의 리소스도 소모합니다.

Jetpack을 사용하면 Jetpack이 먼저 사이트를 오프사이트 위치에 백업합니다. 그런 다음 사이트의 백업 복사본에 맬웨어가 있는지 검사합니다. 즉, 라이브 웹사이트의 성능에 영향을 미치지 않습니다.

스캔의 일부로 Jetpack은 다음을 찾습니다.

• 핵심 WordPress 파일 변경 사항
• 웹 기반 셸
• TimThumb 취약점

Jetpack이 악성을 발견하면 문제를 해결하는 데 도움이 될 수 있습니다.

가격: 일부 기능은 무료 버전에서 사용할 수 있습니다. 맬웨어 검사는 프리미엄 플랜 이상에서 사용할 수 있으며 월 $9부터 시작합니다. 또한 다른 많은 Jetpack 기능에 액세스할 수 있습니다.

SecuPress는 무료 및 유료 버전으로 제공되는 또 다른 잘 알려진 WordPress 보안 플러그인입니다.

SecuPress는 원래 인기 있는 WP Rocket 플러그인 뒤에 있는 동일한 회사인 WP Media에서 시작했습니다. 그러나 WP Media는 나중에 소유권을 현재 소유자(WP Media의 공동 창립자 중 한 명)에게 양도했습니다. 기본적으로 WP Rocket과 몇 가지 디자인 유사점을 볼 수 있지만 둘은 더 이상 동일한 개체가 아닙니다.

무료 버전으로 다음을 수행할 수 있습니다.

• IP 주소 및 불량 봇 차단
• 무차별 대입 공격으로부터 로그인 보호
• 로그인 페이지 숨기기
• WordPress 및 WooCommerce 버전 숨기기
• XML-RPC 및 REST API 관리
• 중요한 사용자 작업 기록

무료 버전에서도 방화벽을 사용할 수 있습니다.

프리미엄 버전은 다음과 같은 추가 기능을 추가합니다.

• 로그인 보안을 위한 이중 인증
• 스팸 방지 기능
• 데이터베이스 및 파일 백업
• 알려진 보안 취약점이 있는 테마 또는 플러그인 감지
• PHP 악성코드 검사
• 국가 차단(지리적 위치)
• 작업 스케줄링

SecuPress의 한 가지 두드러진 기능은 인터페이스입니다. 이 목록에 있는 도구 중 가장 쾌적한 인터페이스를 가지고 있으며, 이는 고객이 볼 수 있는 경우 특히 좋습니다. 다시 말하지만 인터페이스에서 WP Rocket의 영향을 확실히 볼 수 있습니다.

가격: WordPress.org의 무료 버전. 유료 버전은 $65부터 시작합니다.

Cerber Security는 다음과 함께 제공되는 또 다른 인기 있는 올인원 WordPress 보안 플러그인입니다.

• 보안 강화
• 방화벽
• 맬웨어 검사

먼저 다음과 같은 보안 강화 규칙으로 가득 차 있습니다.

• WordPress 로그인 페이지 변경
• 업로드 폴더에서 PHP 비활성화
• 사용자 열거 중지
• 로그인 시도 제한
• 파일 무결성 모니터링
• 이중 인증

존재하지 않는 사용자 이름으로 로그인을 시도하는 모든 IP 주소를 자동으로 차단하는 것과 같은 규칙을 설정할 수도 있습니다. 관리자에게 2단계를 요구하고 일정 시간이 지나면 자동으로 로그아웃하는 것과 같은 사용자 지정 역할 기반 정책을 만들 수도 있습니다.

방화벽의 일부로 로그인한 세션과 방문자를 모두 모니터링하는 것을 포함하여 사이트에서 일어나는 모든 일을 볼 수 있는 실시간 트래픽 검사기가 있습니다. 또한 지역 차단 규칙을 받습니다.

마지막으로 스캔을 자동으로 실행하도록 예약하는 기능을 포함하여 맬웨어 스캔이 제공됩니다.

여러 사이트를 관리해야 하는 경우 하나의 대시보드에서 여러 사이트를 관리할 수 있는 Cerber.Hub 기능도 포함되어 있습니다. 이 대시보드는 Wordfence와 달리 자체 호스팅됩니다. 하나의 WordPress 사이트를 "마스터"로 지정한 다음 해당 마스터 대시보드에 다른 설치를 "슬레이브"로 지정합니다.

가격: WordPress.org의 무료 버전. 유료 버전은 $99부터 시작합니다.

첫째, WordPress에는 다음과 같은 기본 WordPress 보안 강화에 도움이 되는 수많은 도구가 포함되어 있습니다.

• 업로드 디렉토리에서 코드 실행 비활성화
• WordPress 버전 숨기기
• 사용자 열거 중지

또한 다음과 같은 로그인 보안 조치를 제어할 수 있는 전용 로그인 보안 탭이 있습니다.

• 2단계 인증 사용(모든 사용자 또는 특정 사용자 역할만 해당)
• XML-RPC 인증 비활성화
• 로그인 페이지에 reCAPTCHA 추가
• 실패한 로그인 시도 제한(방화벽의 일부임)
• 강력한 암호 적용

Wordfence에는 자체 WAF 도 포함되어 있습니다. Wordfence 팀은 새로운 위협에 적응하기 위해 실시간으로 새로운 규칙을 지속적으로 추가하고 있습니다. 특정 IP 주소 및 서비스를 화이트리스트에 추가하는 등 방화벽 기능을 구성할 수도 있습니다.

특정 민감한 URL에 액세스를 시도하는 IP 주소를 즉시 차단할 수도 있습니다. 그리고 프리미엄 버전을 사용하면 지역 타겟팅으로 전체 국가를 차단할 수 있습니다.

마지막으로 상세한 맬웨어 검사도 받습니다. 이러한 검사는 서버의 모든 파일을 검사할 수 있을 뿐만 아니라 다음과 같은 기타 보안 문제도 검사할 수 있습니다.

• 댓글의 악성 링크
• 새로 생성된 관리자 사용자
• 오래된 테마 또는 플러그인
• 약한 비밀번호

따라서 맬웨어 검사도 포함하는 일종의 "일반 WordPress 보안 취약점 검사"입니다.

또한 스캔 빈도와 깊이를 구성하는 규칙을 얻을 수 있으므로 스캔에서 소비하는 서버 리소스를 제어하는 ​​데 도움이 됩니다.

많은 WordPress 사이트( 예: 클라이언트 사이트 )를 관리하는 경우 Wordfence에는 하나의 중앙 위치에서 모든 사이트의 보안을 관리할 수 있는 Wordfence Central 도구도 포함되어 있습니다. 또한 새 사이트에 빠르게 적용할 수 있는 Wordfence 설정 템플릿을 만들고 사이트에서 문제가 발생하면 경고를 받을 수 있습니다.

핵심 Wordfence 플러그인과 대부분의 기능은 무료입니다. 그러나 Wordfence가 방화벽 및 맬웨어 검사에 사용하는 규칙과 관련하여 눈에 띄는 차이가 있습니다.

프리미엄 버전을 사용하면 해당 규칙에 대한 실시간 업데이트를 받을 수 있습니다. 따라서 Wordfence가 위협을 감지하는 즉시( 매우 사전 예방 적임) Wordfence는 즉시 해당 규칙을 사이트에 추가합니다.

그러나 무료 버전에서는 이러한 규칙 업데이트가 30일 지연됩니다.

가격: Wordfence는 WordPress.org에서 무료로 사용할 수 있습니다. 유료 버전은 단일 사이트에서 사용할 경우 $99부터 시작하며 더 많은 수의 사이트에 대해서는 대량 할인이 적용됩니다.

아니요! 롱 샷이 아닙니다.

이러한 모든 보안 플러그인은 확실히 웹사이트를 보호하는 데 도움이 되지만 WordPress 보안은 플러그인을 설치하고 하루 만에 호출하는 것만 큼 간단하지 않습니다.

그렇다고 보안 플러그인이 유용하지 않다는 것은 아닙니다. 사소한 일을 제대로 하지 않으면 보안 플러그인도 사용자를 구할 수 없다는 의미입니다.

당신이 할 수 있는 가장 중요한 일 중 하나는 특히 마이너 보안 릴리스(예: WordPress 5.4.X )의 경우 WordPress 핵심 소프트웨어, 플러그인 및 테마를 즉시 업데이트하는 것 입니다.

Sucuri 의 2019년 해킹된 웹사이트 보고서 에 따르면 모든 WordPress 사이트 의 약 절반이 사이트가 감염되었을 때 핵심 소프트웨어의 오래된 버전을 실행하고 있었습니다. 게다가 해킹된 웹사이트의 44%가 오래된 플러그인을 실행하고 있었습니다.

간단히 말해서 다음 작업은 WordPress 보안 플러그인을 사용하는 것만큼 중요하지는 않지만 중요합니다.

• 보안 릴리스를 위해 사이트 및 해당 확장을 즉시 업데이트합니다.
• 선택하는 확장에 주의하십시오(그리고 의심스러운 출처에서 nulled 플러그인을 설치하지 마십시오).
• 특히 관리자 계정에서 강력한 암호를 사용합니다.

더 많은 팁을 보려면 WordPress 사이트 를 보호하는 방법에 대한 전체 가이드를 확인 하세요 .

어떤 플러그인을 선택해야 할지 확실하지 않은 경우 Wordfence 를 첫 번째 옵션으로 사용하는 것이 잘못되지는 않을 것 입니다.