사이트를 안전하게 유지하기 위한 16가지 WordPress 보안 팁(2023)

WordPress의 일반적인 위험으로부터 사이트를 보호하는 WordPress 보안 팁의 전체 목록이 필요하십니까?

이 게시물에서는 취약점과 해킹으로부터 사이트를 안전하게 보호하기 위해 구현할 수 있는 12가지 이상의 기본 및 고급 보안 팁을 확인할 수 있습니다.

이 게시물에서 다룰 WordPress 보안 팁은 다음과 같습니다.

1. 우수한 WordPress 호스트를 선택하세요.
2. WordPress 코어, 테마, 플러그인을 관리하세요.
3. WordPress 보안 플러그인을 설치하세요.
4. 백업 플러그인을 설치하세요.
5. 타사 테마와 플러그인을 신중하게 선택하세요.
6. WordPress 사용자 역할과 권한에 대해 알아보세요.
7. 사이트의 백엔드 로그인 페이지에 보호 프로토콜을 구현하세요.
8. 안전한 사용자 이름과 비밀번호를 사용하세요.
9. 사이트에 SSL 인증서를 활성화하세요.
10. 파일 편집을 비활성화합니다.
11. PHP 실행을 비활성화합니다.
12. WordPress 데이터베이스 접두사를 변경합니다.
13. wp-config.php 파일을 보호하세요.
14. WordPress 로그인 페이지의 이름을 바꿉니다.
15. 디렉토리 검색을 비활성화합니다.
16. 비활성 사용자를 로그아웃합니다.

우리는 기본 보안 팁과 고급 보안 팁이라는 두 가지 별도의 목록으로 구성했습니다.

기본적인 보안 팁부터 시작해 보겠습니다.

모든 사용자를 위한 기본 WordPress 보안 팁

1. 우수한 WordPress 호스트를 선택하세요

모든 것이 여기서 시작됩니다.

평판이 좋은 고품질 WordPress 호스트를 선택하지 않으면 WordPress 내에서 아무리 많은 보안을 구현하더라도 사이트가 공격에 취약해집니다.

사이트는 코드로 구성되어 있지만 해당 코드는 웹 서버에 설치해야 하는 파일 내부에 존재합니다.

최소한 빠르고 안전한 서버를 유지 관리하고, 서버 기술을 최신 상태로 유지하고, 최신 PHP 버전에 대한 액세스를 제공하는 것으로 알려진 호스트를 선택하세요.

우리는 Cloudways를 사용하여 Blogging Wizard를 호스팅합니다. 빠르고 저렴합니다. 트래픽이 많기 때문에 확장성도 중요한 요소입니다.

다음과 같은 보안 기능을 제공합니다.

• DDoS 보호 및 웹 애플리케이션 방화벽(WAF)을 구현하는 Cloudflare Enterprise 추가 기능입니다.
• 서버 방화벽.
• 로그인 보안.
• 데이터베이스 보안.
• 봇 보호.
• 무료 SSL 인증서.
• 사용자 역할 관리.
• 안전한 운영 체제 관리.
• 이중 인증.

그러나 WordPress 보안에 관한 한 관리되는 WordPress 호스트를 사용하는 것이 더 나을 수 있습니다. 특히 고급 WordPress 사용자가 아닌 경우에는 더욱 그렇습니다.

관리형 WordPress 호스팅

관리형 WordPress 호스팅은 호스트가 WordPress 사이트 유지 관리의 많은 측면을 관리하는 WordPress 호스팅의 한 형태입니다.

여기에는 일반적으로 WordPress 보안 측면이 포함됩니다.

다음은 가장 권장되는 관리형 WordPress 호스트 WPX 호스팅을 사용한 예입니다. 이 호스팅 공급자는 다음과 같은 보안 기능을 제공합니다.

• 모든 계획에 맬웨어 제거가 포함되어 있습니다.
• 사이트가 오프라인 상태가 되면 사이트가 수정됩니다.
• DDoS 보호.
• 최대 28일 동안 백업할 수 있는 스토리지를 갖춘 자동 백업입니다.
• 35개의 엣지 로케이션을 갖춘 독점 CDN입니다.
• 무료 SSL 인증서.
• 업데이트를 라이브로 푸시하기 전에 테스트하기 위한 준비 영역입니다.
• 이중 인증.
• 하드웨어 수준에서 WPX 호스팅 계정에 대한 액세스를 제한할 수 있는 고급 계정 보안입니다.

2. WordPress 코어, 테마, 플러그인을 적절하게 관리하세요.

앞서 말했듯이 WordPress 사이트는 파일과 코드로 구성됩니다. 여기에는 WordPress 테마와 WordPress 플러그인은 물론 "WordPress 코어"로 알려진 WordPress 자체도 포함됩니다.

사용하는 컴퓨터 및 전화 애플리케이션과 마찬가지로 WordPress 파일은 정기적인 업데이트를 받아 새로운 기능과 보안 수정 사항을 구현합니다.

그렇기 때문에 WordPress 자체와 테마 및 플러그인을 가능한 한 자주 최신 상태로 유지하는 것이 중요합니다. 그렇게 하지 않으면 사이트가 치명적인 보안 결함에 노출될 수 있습니다.

귀하의 사이트에서는 항상 최신 WordPress 버전을 사용하도록 노력해야 합니다.

다행스럽게도 WordPress에서는 이미 긴급 보안 업데이트를 자동으로 구현하고 있으며 전반적으로 자동 WordPress 업데이트를 설정할 수도 있습니다.

그러나 대부분의 WordPress 업데이트는 준비 영역(예: WPX 호스팅에서 생성할 수 있는 영역)을 통해 수동으로 수행하는 것이 가장 좋습니다. 그러면 해당 업데이트를 실제 프로덕션 버전으로 푸시하기 전에 통제된 환경에서 사이트에 대한 변경 사항을 테스트할 수 있습니다. 귀하의 사이트.

전체적으로, 매주 시간을 따로 마련하여 사이트를 최대한 안전하게 유지하기 위해 WordPress 업데이트를 확인하고 테스트하고 사이트에 적용하세요.

또한 더 이상 사용하지 않는 테마와 플러그인을 제거하십시오.

테마 및 플러그인에 대한 자동 업데이트 활성화

WordPress 내부에 플러그인 없이 테마 및 플러그인에 대한 자동 WordPress 업데이트를 활성화할 수 있습니다.

테마의 경우 모양 → 테마로 이동하여 테마를 클릭하고 자동 업데이트 활성화 버튼을 클릭합니다.

플러그인 자동 업데이트 활성화도 같은 방식으로 작동합니다.

플러그인 → 설치된 플러그인으로 이동하여 자동 업데이트를 활성화하려는 플러그인에 대해 자동 업데이트 활성화 버튼을 클릭하세요.

일괄 옵션을 사용하여 모든 플러그인에 대한 자동 업데이트를 한 번에 활성화할 수도 있습니다.

3. 전용 WordPress 보안 플러그인 설치

관리형 WordPress 호스트를 사용하여 WordPress 웹사이트를 호스팅하지 않는 경우 가장 좋은 방법은 전용 WordPress 보안 플러그인을 사용하는 것입니다.

WordPress 보안 플러그인 MalCare 또는 Sucuri를 권장합니다.

MalCare는 WordPress 사이트에 다음 기능을 구현합니다.

• 악성코드 스캐너.
• 악성 코드 제거.
• WordPress용으로 맞춤 제작된 방화벽입니다.
• 로그인 보호.
• 가동 시간 모니터링.
• 증분 백업 및 원클릭 사이트 복원.
• 봇 보호.
• 취약점 스캐너.
• 의심스러운 행동을 식별할 수 있는 활동 로그입니다.
• 멀웨어 및 취약점에 대한 이메일 알림.

Sucuri는 이러한 기능도 많이 제공하지만 주로 맬웨어 검색 및 제거 기능과 WordPress 사이트를 보호하기 위한 방화벽 구현 기능으로 잘 알려져 있습니다.

MalCare는 Sucuri보다 저렴하며 제한된 무료 플랜도 포함합니다.

4. WordPress 백 플러그인 설치

백업은 다른 보안 측면이 실패할 경우 웹사이트를 보호하는 가장 좋은 방법 중 하나를 제공합니다.

사이트가 해킹되거나 손상되거나 업데이트로 인해 몇 가지 문제가 발생하는 경우 백업을 사용하여 사이트가 정상적으로 작동했던 시점으로 복원할 수 있습니다.

호스트가 백업을 제공하지 않고 보안 플러그인에서 이 기능을 얻지 못하는 경우 반드시 전용 백업 플러그인을 사용해야 합니다.

WP 스테이징을 권장합니다.

이름에서 알 수 있듯이 사이트 준비를 전문으로 하지만 백업, 마이그레이션 및 복제 기능도 제공합니다.

이 플러그인은 자동 백업을 제공하며 이를 Google 드라이브 또는 Amazon S3에 오프사이트로 저장할 수 있습니다.

증분 백업과 WP STAGING이 제공하는 동일한 기능을 많이 원한다면 BlogVault를 사용해 보세요.

두 솔루션 모두 백업에서 사이트를 복원할 수 있습니다.

참고: 우수한 WordPress 호스트를 선택하면 타사 백업을 사용할 가능성이 거의 없지만 예방 조치로 위 솔루션 중 하나를 사용하는 것이 좋습니다.

5. 타사 WordPress 테마 및 플러그인에 주의하세요.

WordPress 사이트가 해킹당했다는 소식을 듣는 경우 일반적으로 WordPress 코어의 오래된 버전과 타사 테마 및 플러그인이라는 두 가지 이유 중 하나 때문입니다.

그렇기 때문에 WordPress 업데이트를 최신 상태로 유지하는 것이 중요합니다. 그럼에도 불구하고 전 세계의 모든 업데이트가 악성이거나 잘못 코딩된 타사 테마 또는 플러그인으로부터 사이트를 보호할 수는 없습니다.

사이트에 테마나 플러그인을 설치하기로 결정하기 전에 조사해 보세요.

우선, 테마나 플러그인이 언제 마지막으로 업데이트되었나요? 테마나 플러그인이 1년 넘게 업데이트되지 않았다면 이는 좋은 징조가 아닙니다.

테마나 플러그인의 리뷰와 지원 스레드도 꼭 읽어보세요. 이는 테마나 플러그인이 얼마나 잘 지원되는지에 대한 더 나은 지표를 제공합니다.

소셜 미디어 검색(특히 Twitter, Reddit 및 Facebook)을 통해 테마나 플러그인 이름을 실행하는 것도 잊지 마세요.

이러한 사이트에는 WordPress.org의 테마 또는 플러그인 공식 페이지에서 해결되지 않은 불만 사항이 있을 수 있습니다.

6. WordPress 사용자 역할과 권한을 숙지하세요.

WordPress 웹사이트 소유자로서 WordPress 사용자 역할과 각 역할이 제공하는 권한의 차이점을 아는 것이 중요합니다.

다음은 각 역할이 액세스할 수 있는 권한에 대한 간략한 요약입니다.

• 관리자(Admin) – WordPress 대시보드의 모든 영역에 액세스하고 웹사이트의 모든 부분과 해당 사이트의 모든 사용자를 변경할 수 있습니다.
• 편집자 – WordPress 게시물 및 페이지에 액세스할 수 있으며 자신이 콘텐츠를 만들지 않았더라도 이 콘텐츠를 추가, 게시, 삭제 및 편집할 수 있습니다.
• 작성자 – 자신의 게시물을 추가, 편집 및 게시할 수 있습니다.
• 기여자 – 자신의 게시물을 추가하고 편집할 수 있습니다.
• 구독자 – 기본 WordPress 댓글 시스템을 사용하여 사용자 프로필을 편집하고 댓글을 남길 수 있습니다.

따라서 블로그 편집자를 고용하는 경우 관리자 역할이 아닌 편집자 역할을 할당해야 합니다.

이렇게 하면 사이트의 콘텐츠를 처리할 수 있지만 테마, 플러그인 및 WordPress 설정을 변경할 수는 없습니다.

7. WordPress 로그인 페이지 보호

WordPress 로그인 페이지는 WordPress 대시보드에 로그인하는 데 사용하는 페이지입니다.

일반적으로 yourdomain.com/wp-login.php로 이동하여 액세스할 수 있습니다.

WordPress 로그인 페이지를 보호하는 데 사용할 수 있는 다양한 기술이 있습니다.

이 섹션에서는 두 가지를 언급할 예정이지만 이 문서의 고급 섹션에는 추가 기술이 있습니다.

우리가 언급할 첫 번째 기술은 사이트 로그인 페이지에 CAPTCHA 양식을 추가하는 것입니다.

앞서 언급한 MalCare 보안 플러그인을 사용하기로 결정한 경우 웹사이트에 이 기능을 추가하기 위해 별도의 플러그인이 필요하지 않습니다.

이 플러그인을 사용하면 방문자가 세 번 시도한 후에도 로그인에 실패할 경우 해결할 수 있는 CAPTCHA를 자동으로 표시하여 로그인 시도를 제한할 수 있습니다.

MalCare를 사용하지 않는 경우 대신 Advanced Google reCAPTCHA와 같은 플러그인을 사용하세요.

로그인 양식, 등록 양식 등에 CAPTCHA 양식을 추가할 수 있는 정말 간단한 플러그인입니다.

이 플러그인을 활성화하면 귀하와 로그인 페이지를 방문하는 모든 사람이 로그인하기 위해 CAPTCHA 양식을 작성해야 합니다.

그 외에 WordPress 로그인 페이지를 보호하는 또 다른 간단한 방법은 이중 인증을 활성화하는 것입니다.

UpdraftPlus 제조업체의 2단계 인증과 같은 플러그인을 사용하여 로그인 페이지에 2단계 인증을 추가하세요. 플러그인은 Google Authenticator와 통합됩니다.

8. 보안 로그인 자격 증명 사용

CAPTCHA 양식과 이중 인증 기술을 사용하면 공격자가 사이트에 침입하기가 더 어려워지지만 불가능하지는 않습니다.

이것이 보안 로그인 자격 증명을 사용하는 것이 중요한 이유입니다. 귀하의 사이트에 추가 보안 계층을 추가합니다.

우선, 사용자 이름이나 이름으로 “admin”을 사용해서는 안 됩니다.

대신 이름의 일부를 결합하십시오. 예를 들어, 귀하의 이름이 David Smith이고 1980년 10월 10일에 태어났다면 사용자 이름 또는 이와 유사한 이름으로 "dasm1080"을 사용하십시오.

이렇게 하면 공격자가 귀하의 웹사이트에 침입하려고 시도하는 경우 먼저 귀하의 사용자 이름을 알아내야 합니다.

이것은 약간의 고급 팁이지만 실제로는 WordPress 사용자 이름을 숨기고 공격자가 찾기 어렵게 만들 수 있습니다. 때때로 페이지의 소스 코드에서 사용자 이름을 찾을 수 있기 때문에 이는 좋습니다.

또한 작성자 아카이브 페이지에 대해 WordPress에서 생성하는 URL에는 일반적으로 각 작성자의 사용자 이름이 포함됩니다.

이 문제를 해결하려면 WordPress에서 해당 작성자의 사용자 프로필로 이동하여 이름, 성, 닉네임 및 표시 이름 필드에 사용자 이름이 아닌 다른 이름을 입력하세요.

한 단계 더 나아가려면 고급 팁이 적용되는 곳입니다. phpMyAdmin을 통해 사이트 데이터베이스에 액세스하고 wp_users 테이블을 찾으세요. 귀하 또는 귀하의 호스트가 데이터베이스의 접두사를 변경한 경우 "wp" 비트가 약간 다르게 보일 수 있지만 여전히 "_users" 부분이 연결되어 있습니다.

당신이 원하는 것은 각 사용자의 데이터베이스 항목을 편집하고 "user_nicename" 값을 사용자의 사용자 이름에 설정된 것과 다른 값으로 변경하는 것입니다.

사용자 이름은 괜찮습니다. “david-smith”와 같이 공백을 대시로 채우십시오.

비밀번호의 경우 비밀번호 생성기를 사용하여 안전한 비밀번호를 만들고, 쉽게 액세스할 수 있도록 비밀번호 관리자에 저장하는 것을 고려하세요.

9. 사이트에 SSL을 설정하세요

SSL(Secure Sockets Layer)은 두 네트워크 간에 전송되는 데이터를 암호화하는 보안 프로토콜입니다.

이는 일반적으로 결제 정보와 민감한 고객 데이터를 암호화하는 데 사용됩니다.

사이트가 SSL 인증서로 암호화되었는지 확인하는 두 가지 방법이 있습니다. 주소 표시줄에 자물쇠가 표시되어 있고 사이트에서 "http" 대신 "https"를 사용하는 것입니다.

SSL은 간단한 Google 순위 요소이므로 모든 사이트는 결제를 받을 계획이 없더라도 SSL을 설정하는 것이 좋습니다.

다행스럽게도 요즘 대부분의 호스트는 Let's Encrypt를 통해 무료로 SSL 인증서를 제공하므로 모든 설정이 그 어느 때보다 쉽고 저렴해졌습니다.

호스트마다 다르게 처리하므로 호스트의 지식 기반을 살펴보고 이를 수행하는 방법을 알아보세요.

고급 사용자를 위한 WordPress 보안 팁

10. 파일 편집 비활성화

관리자를 위한 WordPress 대시보드 또는 WordPress 관리자에는 테마 및 플러그인 파일을 편집할 수 있는 두 개의 파일 편집기가 있습니다.

모양 → 테마 파일 편집기 및 플러그인 → 플러그인 파일 편집기로 이동하여 찾을 수 있습니다.

이러한 파일을 변경하면 사이트가 손상될 수 있습니다. 더 나쁜 것은 해커가 귀하의 관리자 계정 중 하나에 액세스할 수 있는 경우 이러한 편집기를 사용하여 귀하의 사이트에 악성 코드를 삽입할 수 있다는 것입니다.

이것이 WordPress 웹사이트 소유자가 파일 편집을 완전히 비활성화하는 것이 권장되는 이유입니다.

wp-config.php 파일에 다음 코드를 추가하기만 하면 됩니다:

 정의('DISALLOW_FILE_EDIT', true);

호스트에 파일 관리자가 없으면 FTP를 통해 사이트 파일에 액세스하고, wp-config.php 파일을 다운로드하고, 일반 텍스트 편집기로 편집하고, 저장한 다음, 동일한 폴더에 다시 업로드해야 합니다. WordPress 설치를 위한 파일 시스템의 위치입니다.

반드시 원본을 덮어쓰시기 바랍니다.

또한 파일 시스템을 변경하기 전에 사이트를 백업했는지 확인하세요. 변경 사항을 적용하기 전에 wp-config.php 파일의 복사본을 다운로드하는 것도 좋은 생각일 수 있습니다.

11. PHP 실행 비활성화

해커는 사이트 파일 시스템 내에서 PHP 파일을 실행하여 백도어를 만드는 경우가 많습니다.

미디어 파일이 저장된 Uploads 폴더와 같이 PHP 파일이 없어야 하는 폴더에서 PHP 파일 실행을 비활성화하여 이러한 종류의 공격을 차단할 수 있습니다.

PHP가 포함 된 폴더에서 PHP 실행을 차단하면 실제로 사이트가 손상될 수 있으므로 안전을 위해 PHP가 절대 발견되지 않는 폴더에 대해서만 PHP 실행을 비활성화하는 것이 좋습니다.

MalCare 보안 플러그인을 사용하는 경우 사이트의 FTP 자격 증명을 입력하여 PHP 실행을 비활성화할 수 있습니다.

그렇지 않은 경우 사이트의 파일 시스템을 편집하여 수동으로 이 작업을 수행해야 합니다.

먼저 컴퓨터에서 일반 텍스트 편집기를 열고 다음 코드를 추가하세요.

 <파일 *.php>

모두를 거부하다

</파일>

그런 다음 이 파일을 저장하고 이름을 ".htaccess"로 지정합니다. 점(".")을 포함해야 합니다. "htaccess"앞에.

이제 귀하가 해야 할 일은 사이트의 파일 시스템에 액세스하여 새 .htaccess 파일을 Uploads 폴더에 업로드하고 변경 사항을 저장하는 것뿐입니다.

12. WordPress 데이터베이스 접두사 변경

여러 번 말했지만 귀하의 사이트는 파일 내에 저장된 코드로 구성되어 있습니다.

우리가 언급하지 않은 것은 귀하의 사이트가 데이터베이스 테이블로 구성되는 방식입니다. 코드나 파일과 마찬가지로 이러한 테이블을 삭제하거나 변경하면 사이트에 많은 피해를 줄 수 있습니다.

불행히도 해커가 데이터베이스 접두사를 알고 있으면 실제로 수동으로 액세스하지 않고도 이를 사용하여 사이트를 공격할 수 있습니다.

모든 WordPress 웹사이트는 기본적으로 “wp” 접두사를 사용하도록 설계되었습니다. 해커가 이미 이 접두사에 익숙하므로 이를 변경하는 것이 매우 중요합니다.

다행히도 많은 호스트는 이미 사이트를 생성하자마자 사이트의 기본 접두어를 자동으로 변경합니다.

데이터베이스 테이블의 각 밑줄 값 앞에 일반적인 "wp_user" 대신 "fx87_user"와 같은 "wp" 이외의 항목이 있으면 알 수 있습니다.

사이트의 파일 시스템에 액세스하는 데 익숙하다면 실제로는 매우 간단합니다.

이 팁에서는 wp-config.php 파일이 다시 필요합니다. 이전과 마찬가지로 사이트를 변경하기 전에 wp-config.php 파일의 복사본과 함께 사이트를 저장하는 것이 좋습니다.

WordPress 데이터베이스 접두사를 변경하는 단계는 다음과 같습니다.

1. 사이트의 wp-config.php 파일을 다운로드하세요.
2. 일반 텍스트 편집기에서 파일을 엽니다.
3. "$table_prefix"라는 줄을 찾으세요. 전체 줄에 “$table_prefix = 'wp_'; 당신은 그것을 변경해야합니다.
4. "wp" 접두사를 공격자가 추측하기 어려운 2~5개의 문자와 숫자로 변경합니다.
5. 새 접두사에 여전히 따옴표와 세미콜론이 있는지 확인하세요. 예: $table_prefix = “fx87_';
6. wp-config.php 파일을 저장하고 사이트 파일 시스템의 동일한 위치에 업로드하세요.
7. 메시지가 표시되면 원본 wp-config.php 파일을 덮어씁니다.

13. wp-config.php 파일을 이동하여 보호하세요.

일부 공격 전략에는 wp-config.php 파일에 코드를 삽입하는 것이 포함되며, 이를 위해서는 먼저 공격자가 코드를 다운로드해야 합니다.

wp-config.php 파일을 이동하면 해커가 파일을 찾기가 훨씬 더 어려워질 수 있습니다.

WordPress를 사용하면 다른 작업을 수행할 필요 없이 wp-config.php 파일을 한 디렉터리 위로 이동할 수 있습니다. 귀하의 사이트는 해당 위치에서 계속 액세스할 수 있습니다.

그러나 한 디렉터리는 여전히 공용 폴더일 수 있으므로 그보다 조금 더 이동하는 것이 좋습니다.

이 팁은 따라하기 어렵지 않지만 사이트에 적용되는 변경 사항은 상당히 고급이므로 특히 문제가 발생할 경우 수행 중인 작업을 알고 있는 경우에만 진행하세요.

wp-config.php 파일을 이동하는 단계는 다음과 같습니다.

1. wp-config.php 파일의 복사본을 만들어 컴퓨터에 저장하세요.
2. 사이트의 파일 시스템에 액세스하고 public_html 폴더가 포함된 폴더를 찾으세요.
3. 이 디렉토리에 새 폴더를 생성하고 wp-config.php 파일을 포함하는 폴더로 식별되지 않는 이름을 지정하십시오. "bw-assets" 같은 것이 작동할 것입니다. 참고: 자신의 사이트에서 bw-assets을 사용하지 마십시오. 더 안전하도록 자신이 생각해낸 독창적인 것을 사용하세요.
4. 새 폴더의 권한 수준을 700으로 설정합니다.
5. wp-config.php 파일을 복사하여 새로 생성된 폴더에 붙여넣고 wp-config.php 파일로 식별되지 않는 이름으로 이름을 바꾸세요. 이번에도 "bw-asset.php"와 같은 것이 잘 작동할 것입니다.
6. 이 새 파일의 권한 수준을 600으로 변경합니다.

원본 wp-config.php 파일을 편집하고, 그 안의 코드를 지우고, 다음으로 바꾸세요:

 <?php

include('/home/usr/bw-assets/bw-asset.php');

?>

따옴표 사이의 파일 경로는 새로 생성된 폴더 및 파일의 이름을 지정하는 방법을 포함하여 사이트의 절대 파일 경로와 일치해야 합니다.

나중에 파일을 저장하십시오.

14. WordPress 로그인 페이지 이름 바꾸기

WordPress 로그인 페이지는 기본적으로 /wp-login.php 및 유사한 URL 경로에 있습니다. 따라서 WordPress 사이트에 로그인하려면 yourdomain.com/wp-login.php 또는 yourdomain.com/wp-admin으로 이동하면 됩니다.

해커들은 이 사실을 잘 알고 있습니다. 이들이 귀하 사이트의 로그인 양식에 액세스하면 귀하의 방어를 뚫기 위해 무차별 대입 공격을 시작할 수 있습니다.

이러한 방어에는 보안 플러그인이나 CAPTCHA 양식을 사용한 로그인 시도 제한이 포함되어 있기를 바라지만, 로그인 페이지를 완전히 숨길 수도 있습니다.

이 기능을 구현하려면 WPS Hide Login과 같은 플러그인을 사용하세요.

플러그인은 일반 WordPress 설정 페이지에 텍스트 필드에 원하는 URL을 입력하여 로그인 URL을 변경할 수 있는 간단한 설정을 추가합니다.

해커가 쉽게 추측할 수 없도록 일반적이지 않은 안전한 것을 사용하세요. "einsteinbananafrisbee"와 같이 무의미해 보이도록 단어 조합을 사용해 볼 수도 있습니다.

이렇게 변경하면 더 이상 wp-login.php 또는 유사한 URL에서 로그인 페이지에 액세스할 수 없습니다. yourdomain.com/einsteinbananafrisbee만 사용할 수 있으므로 기억할 수 있는 주소인지 확인하세요.

15. 디렉토리 탐색 비활성화

디렉토리 검색은 사용자가 주소 표시줄에 디렉토리를 URL로 입력하고 해당 디렉토리의 내용을 볼 수 있도록 하는 웹 디자인 기능입니다.

해커는 실제로 악의적인 방식으로 사이트에 액세스하지 않고도 디렉토리를 보는 방법으로 이를 사용합니다. 이렇게 하면 악용할 수 있는 파일과 취약점을 잠재적으로 정확히 찾아낼 수 있습니다.

이 문제를 해결하는 가장 좋은 방법은 디렉터리 검색을 완전히 비활성화하는 것입니다.

귀하의 사이트에 디렉토리 검색이 활성화되어 있는지 확인하는 것부터 시작하십시오. yourdomain.com/wp-includes로 이동하여 알 수 있습니다. 403 Forbidden 오류가 발생하면 디렉터리 검색이 이미 비활성화되어 있으므로 걱정할 필요가 없습니다.

그러나 대신 파일 목록이 표시되면 직접 디렉터리 검색을 비활성화해야 합니다.

사이트의 파일 시스템에 액세스하고 .htaccess 파일을 찾는 것부터 시작하세요.

wp-config.php 파일에서 했던 것처럼, 사이트를 변경하기 전에 사이트를 백업하고 .htaccess 사본을 생성해야 합니다.

그런 다음 다운로드하고 일반 텍스트 편집기에서 열고 끝에 다음 코드 조각을 추가합니다.

 옵션 모든 - 인덱스 

파일을 저장하고 WordPress 사이트에 다시 업로드하여 원본을 덮어쓰세요.

16. 비활성 사용자 로그아웃

동료 관리자, 편집자, 작성자는 자신의 작업 공간이 안전하다고 생각할 수도 있지만 너무 조심해서는 안 됩니다.

관리자나 편집자가 사이트에 로그인한 상태에서 컴퓨터에서 자리를 비운 경우, 특히 공개된 장소에서 컴퓨터를 도난당한 경우에는 자신도 모르게 사이트에 취약점이 노출될 수 있습니다.

이 문제를 해결하려면 비활성 사용자를 로그아웃하는 것이 좋습니다. 비활성 로그아웃 플러그인은 작업을 완료하는 가장 간단한 방법 중 하나를 제공합니다.

플러그인을 사용하면 지정된 기간 동안 활동이 없으면 자동 로그아웃을 설정할 수 있습니다.

사용자가 실제로 컴퓨터에 있고 웹 사이트와 상호 작용하지 않는 경우 경고 메시지를 설정할 수도 있습니다.

WordPress 사이트 보안의 추가 계층을 구현할 수 있는 매우 간단하고 간단한 플러그인입니다.

최종 생각과 사이트가 해킹당할 경우 취해야 할 조치

사이트가 해킹당하면 사이트와 상호작용을 시도하는 동안 다음과 같은 몇 가지 경고 신호가 나타날 수 있습니다.

• 로그인할 수 없습니다.
• 자신이 수행하지 않은 프런트엔드에 대한 변경 사항입니다.
• 웹사이트의 모든 페이지가 완전히 다른 사이트로 리디렉션됩니다.

여기에는 호스트 또는 보안 플러그인으로부터 수신했을 수 있는 경고가 제외됩니다.

귀하의 사이트에 무슨 일이 일어나고 있든, 이제 문제가 있다는 것을 알게 되었습니다. 이런 일이 발생하면 어떻게 해야 할까요?

가장 먼저 해야 할 일은 유지 관리 모드 플러그인을 사용하여 사이트를 유지 관리 모드로 전환하는 것입니다.

출시 예정 및 유지 관리 모드 플러그인은 이러한 목적에 매우 적합한 잘 알려진 플러그인입니다.

해킹된 사이트로 인해 사용자도 공격에 취약해집니다. 따라서 사이트가 손상된 상태에서 사이트에 대한 외부 액세스를 더 빨리 차단할수록 좋습니다.

사이트가 오프라인 상태가 되면 다음 단계에 따라 사이트를 보호하세요.

• 사이트의 모든 사용자, 특히 관리자 계정의 비밀번호를 변경하세요.
• 사이트의 모든 사용자를 보고, 모르는 관리 계정을 제거하세요.
• 타사 테마 또는 플러그인에 대한 중요한 보안 업데이트를 놓친 경우를 대비해 WordPress 업데이트를 설치하세요.
• 보안 플러그인을 사용하여 맬웨어를 검사하고 제거하세요. WPX Hosting과 같은 호스트를 사용하면 악성 코드가 제거됩니다. MalCare가 설치되어 있는 경우 플러그인이 이를 제거할 수 있습니다. 그렇지 않으면 수동으로 제거하는 Sucuri와 같은 외부 서비스를 사용해야 할 수도 있습니다.
• 사이트맵을 다시 생성하고 Google Search Console을 통해 사이트를 Google에 다시 제출하세요. 사이트맵 파일이 손상된 경우입니다.
• WordPress 코어의 클린 버전과 사이트에 있던 테마 및 플러그인을 다시 설치하세요.
• WP-Optimize와 같은 WordPress 플러그인을 사용하여 데이터베이스를 정리하세요.
• 사이트가 안정되면 유지관리 모드를 비활성화하세요.
• 해킹으로 이어질 수 있는 보안 취약점을 식별하려면 보안 감사를 완료하세요.

백업에서 사이트를 복원하고 싶을 수도 있지만 악성 코드가 웹 사이트 내부에 얼마나 오랫동안 숨겨져 있었는지 알 수 없습니다.

이러한 이유로 감염된 사이트를 치료할 때 백업에 의존하지 않는 것이 가장 좋습니다.

공개: 우리의 콘텐츠는 독자의 지원을 받습니다. 특정 링크를 클릭하면 수수료가 발생할 수 있습니다. 이는 Blogging Wizard의 운영 비용에 기여합니다. 귀하의 지원에 크게 감사드립니다.