10년 WordPress 웹사이트 보안을 위한 2023가지 강력한 열쇠

너무 자주 WordPress 웹 사이트 소유자는 사이트가 손상된 것을 발견합니다. CMS로서의 인기를 감안할 때 WordPress는 해커가 가장 많이 표적으로 삼는 플랫폼이며 결과적으로 안전하지 않다는 나쁜 이름을 얻습니다.

그러나 이것은 사실이 아닙니다.

WordPress의 오픈 소스 특성은 누구나 사용할 수 있다는 것을 의미하며, 대부분의 사용자는 기본적인 사이버 보안 관행에 정통하지 않습니다. 이것이 WordPress가 다른 웹 사이트 구축 옵션보다 덜 안전하다는 환상을 만드는 것입니다.

건전한 보안 관행을 활용하는 개인은 사이트가 해킹당하는 문제가 거의 없습니다. 그렇다면 WordPress 웹 사이트를 안전하게 만드는 것은 무엇입니까?

 

WordPress 웹사이트 보안

워드프레스 웹사이트를 보호할 때 명심해야 할 10가지 사항이 있습니다.

 

보안 호스트 사용

이 게시물에서 아무것도 얻지 못했다면 적어도 이것에 주목하십시오. 귀하의 WordPress 웹사이트는 웹사이트가 상주하는 서버만큼만 안전합니다..

대부분의 WordPress 웹사이트는 공유 호스팅을 기반으로 구축됩니다. 즉, 귀하의 사이트가 다른 고객의 웹사이트와 동일한 서버에 상주합니다. 서버에서 계정 권한을 적절하게 보호하는 호스팅 회사를 선택하십시오.

이 체크 아웃 : 최고의 WordPress 호스팅 서비스 비교

하나의 손상된 웹사이트가 동일한 서버에 있는 다른 웹사이트를 감염시키는 것은 드문 일이 아닙니다. 계정별로 권한이 적절하게 분리된 호스트를 선택하면 교차 사이트 오염의 위험이 최소화됩니다.

대중의 생각과 달리, VPS 호스팅 또한 맬웨어 전파에 취약합니다. 맬웨어가 가상화 플랫폼의 취약성을 이용하는 VMescape 공격을 통해 맬웨어가 하나의 VPS를 벗어나 동일한 물리적 하드웨어에 있는 다른 VPS로 이동할 수 있습니다.

보안 호스트에는 다른 완화 조치도 있습니다. 여기에는 웹 서버 구성에서 모드 보안 활용, Imunify360과 같은 맬웨어 방지 패키지, 사이트가 봇에 압도당하지 않도록 하는 DDoS 보호가 포함됩니다.

 

핵심, 테마 및 플러그인을 최신 상태로 유지

대부분의 WordPress 사이트는 최신 코드가 만료되어 해킹당합니다. 그것은 의견이 아니라 문서화된 사실입니다.

수천 개의 해킹된 WordPress 웹사이트에 대한 포렌식 분석을 수행하는 보안 연구원은 의심할 여지 없이 오래된 플러그인과 테마가 그 중 80% 이상을 담당하고 있음을 확인했습니다.

테마와 플러그인을 최신 상태로 유지하기만 하면 사이트가 손상될 가능성의 80%를 제거할 수 있다고 상상해 보십시오. 이제 주목할만한 WordPress 보안의 핵심입니다.

 

2 단계 인증 사용

오래된 테마와 플러그인이 대부분의 해킹된 WordPress 웹사이트의 원인이 되지만 사용자 이름과 암호에 대한 무차별 암호 대입 공격은 웹사이트에 대한 무단 액세스를 시도하는 가장 일반적인 방법입니다.

일반적으로 성공률은 낮지만 해킹된 웹사이트의 약 8%는 단순히 사용자의 비밀번호를 추측하는 것만으로 침입했습니다.

웹 사이트를 보호하는 한 가지 방법은 2단계 인증(2FA)을 활성화하는 것입니다. 사용자 이름과 암호 외에도 2FA는 모바일 장치나 이메일 메시지에서 일회성 암호를 제출하도록 요구합니다.

해커가 웹사이트의 사용자 이름과 암호를 알고 있지만 전화나 이메일에 액세스할 수 없는 경우 로그인할 수 없습니다.

웹사이트에 2단계 인증을 추가하는 여러 플러그인이 있으며 다음 섹션에서 설명할 많은 포괄적인 보안 플러그인도 포함된 많은 기능의 일부로 추가합니다.

 

보안 플러그인 설치

모든 보안은 호스트에 의해 수행되어야 한다고 말하는 사람들이 있지만 사이버 보안 세계에서는 보안이 계층적으로 발생한다고 믿습니다. WordPress에 보안 플러그인 설치 웹 사이트는 이러한 레이어 중 하나에 불과합니다.

보안 플러그인과 관련하여 선택할 수 있는 다양한 항목이 있습니다. 다음은 가장 인기 있는 보안 플러그인입니다. 당신은 그들을 테스트하고 당신의 요구에 가장 적합한 것을 확인해야합니다.

 

Wordfence

이 게시물은 어떤 보안 플러그인이 가장 좋은지에 대해서는 다루지 않지만 가장 인기 있는 플러그인은 Wordfence – 그리고 그만한 이유가 있습니다.

우선 Wordfence는 보안이 그들이 하는 전부라는 점에서 보안 전문 회사입니다. 그들은 포트폴리오에 보안 플러그인이 있는 WordPress 플러그인 개발자가 아닙니다. 그들은 살고 숨 쉬는 보안.

Wordfence 플러그인은 알려진 익스플로잇 목록에 대해 모든 요청을 확인하고 일치하는 경우 차단하는 무료 웹 애플리케이션 방화벽과 함께 제공됩니다. 또한 악의적인 활동 및 파일의 숨길 수 없는 징후를 찾는 맬웨어 스캐너도 있습니다. 또 다른 뛰어난 기능은 스캐너가 WordPress.org 리포지토리의 테마 및 플러그인 파일과 일치하는지 확인하는 기능입니다.

Wordfence는 기본적으로 모든 보안 관련 활동을 기록하므로 이를 검토하고 사이트가 안전한지 확인할 수 있습니다.

Wordfence의 또 다른 멋진 기능은 2단계 인증 모듈이 있어 이 게시물에서 권장 사항 #3을 제거할 수 있다는 것입니다. 동일한 보호 라인에서 여러 번 로그인을 시도하는 IP 주소를 차단하여 봇을 효과적으로 중지시키는 무차별 대입 보호 기능도 있습니다.

 

Sucuri

Sucuri WordPress 웹사이트를 보호하는 데 도움이 되는 또 다른 훌륭한 보안 플러그인입니다. Wordfence에서 제공하는 것과 동일한 훌륭한 기능을 많이 가지고 있지만 한 가지 주목할만한 예외가 있습니다. 무료 방화벽이 없으며 프리미엄 유료 플랜에서만 사용할 수 있습니다.

Sucuri에 대한 한 가지 중요한 사항은 GoDaddy에서 플러그인을 최근에 구입했기 때문에 플러그인을 제대로 지원할 수 있는 능력이 아직 입증되지 않았다는 것입니다. 웹호스팅 분야에서 GoDaddy는 호의적이지 않으므로 그 명성이 Sucuri까지 확대될지 아니면 그들이 도전에 한 걸음 더 나아갈 수 있을지는 시간이 지나야 알 수 있을 것입니다.

또한 Sucuri에는 감사 로그가 있어 로그인 실패와 같은 웹 사이트의 보안 관련 활동을 검토할 수 있습니다.

 

올인원 WP 보안 및 방화벽

올인원 WP 보안 및 방화벽 Wordfence의 인기에 근접한 유일한 플러그인입니다. .htaccess 규칙에 기반한 무료 방화벽, 무차별 대입 보호 및 보안 스캐너를 포함하여 동일한 이점을 많이 제공합니다.

여기에 포함되지 않은 한 가지는 2단계 인증 모듈이므로 해당 기능을 위한 독립 실행형 플러그인을 추가해야 합니다.

All in One WP Security & Firewall은 실제로 모든 보안 플러그인 중 가장 강력한 방화벽을 제공한다고 주장할 수 있습니다. 방화벽은 .htaccess 기반이므로 스크립트가 실행되기 전에 처리되므로 매우 안정적입니다.

All in One WP Security & Firewall에는 자동화된 댓글 스팸으로부터 보호하는 멋진 기능도 포함되어 있습니다. 또는 WordPress 기본 댓글 시스템을 다음으로 바꿀 수 있습니다. Deep어 댓글 추가 기능 및 보호를 위해.

 

Cloudflare 사용

Cloudflare는 웹 사이트 속도를 높이는 데 도움이 되는 탁월한(무료) CDN 서비스로 인해 WordPress 사용자에게 인기를 얻었습니다. 그러나 Cloudflare는 공격으로부터 사이트를 강화하는 데 도움이 되는 다양한 무료 도구도 제공합니다.

그 중 하나는 이름 서버를 Cloudflare로 지정하면 사용 가능한 가장 빠르고 안전한 DNS 서비스 중 하나와 무료 SSL 인증서의 이점을 얻을 수 있다는 것입니다.

Cloudflare의 서버는 DDoS 공격을 위해 서버에 도달하기 전에 모든 트래픽을 확인하고 국가, ASN 또는 URL 또는 쿼리 문자열.

예를 들어, 단일 IP 주소 또는 소수의 고정 IP 주소에서만 웹 사이트에 로그인하는 경우 Cloudflare에서 다른 모든 IP가 wp-admin 또는 wp-login.php에 액세스하지 못하도록 차단하는 규칙을 구축할 수 있습니다. . 이렇게 하면 섹션 3에서 언급한 무차별 암호 대입 공격을 수행하려는 모든 봇을 차단할 수 있습니다. .htaccess 파일을 사용하여 wp-admin에 대한 액세스 제한 Cloudflare 대신. 여러 계층의 보호를 원하는 경우 둘 다 구현할 수 있습니다(강력 권장).

 

Nulled 테마 또는 플러그인을 사용하지 마십시오

프리미엄 테마를 원하지만 비용을 지불하고 싶지 않으신가요? null 테마와 플러그인을 제공하는 대략적인 사이트 중 하나에서 얻으면 무료로 얻을 수 있습니다. 하지만 여전히 가격이 있습니다…

null 테마 또는 플러그인을 사용하면 제품이 공식 공급업체에서 제공하는 것과 동일하다는 보장을 잃게 됩니다. 즉, 코드의 무결성을 잃게 됩니다.

Null 테마 및 플러그인은 악성 코드의 중요한 소스입니다. 때때로 플러그인을 null로 만든 사람이 자신의 악성 코드를 추가하여 사이트를 장악하거나 암호화 마이닝을 위해 리소스를 훔치는 것과 같은 기타 악의적인 작업을 수행하기 때문입니다.

Nulled 테마 및 플러그인은 자신도 모르는 사이에 자신의 웹 사이트에 기꺼이 설치하는 맬웨어입니다. 단지 몇 달러를 절약하기 위해? 그것은 가치가 없어. 프리미엄 기능이 필요한 경우 평판이 좋은 개발자에게 비용을 지불하십시오.

 

파일 편집 비활성화

WordPress 관리 대시보드에는 테마 및 플러그인 파일의 내용을 수정할 수 있는 매우 편리한 내장 편집기가 있습니다. 불행하게도 이 편집기는 해커가 귀하의 계정에 침입한 경우 웹사이트의 코드를 수정하는 데에도 편리합니다.

현실은, 당신은 거의 못 이 기능을 사용할 것입니다. 코어 파일을 편집하는 경우 호스트의 파일 관리자를 통하거나 FTP 클라이언트를 사용하여 직접 편집할 것입니다.

wp-config.php 파일에 다음 한 줄을 추가하여 관리 대시보드에서 파일을 편집하는 기능을 비활성화할 수 있습니다.

define('DISALLOW_FILE_EDIT', true);

이 줄을 추가하면 WordPress 관리 대시보드의 플러그인 및 테마 파일에 더 이상 편집 메뉴를 사용할 수 없습니다.

 

wp-config.php 파일 이동 및 이름 바꾸기

wp-config.php 파일에 대해 이야기하는 동안 많은 사람들이 wp-config.php 파일을 WordPress 설치에서 한 디렉토리 위로 이동할 수 있고 사이트가 제대로 작동한다는 것을 이미 알고 있습니다. 그러나 한 단계 더 나아가 보자.

실제로 wp-config.php 파일의 이름을 원하는 대로 바꾸고 WordPress 설치에서 완전히 비공개 폴더로 옮길 수 있다는 것을 알고 계셨습니까? 조금 더 많은 작업이 필요하지만 그만한 가치가 있습니다.

일반적으로 파일 자체는 웹 브라우저에서 호출될 때 빈 페이지를 반환하지만, 드물게 PHP 핸들러가 실패하는 경우 파일의 전체 내용이 웹 브라우저에서 바로 일반 텍스트로 표시될 수 있습니다.

wp-config.php 파일에는 데이터베이스 사용자 이름과 암호를 포함하여 웹 사이트에 대한 중요한 정보가 포함되어 있습니다. 잘못된 손에 있는 이 정보는 치명적일 수 있습니다. 파일 이름을 임의로 변경하면 봇과 해커로부터 파일을 숨길 수 있습니다.

By wp-config.php를 비공개 폴더로 이동, PHP 핸들러 오류가 발생한 동안 누군가가 브라우저를 통해 정보를 얻을 수 있는 기능을 제거합니다.

 

사이트의 활동 감사

웹 사이트에서 일어나는 일을 추적하지 않으면 악의적인 활동 시도를 경고하거나 사이트가 이미 손상된 경우 악의적인 활동을 발견할 수 있는 주요 정보를 놓칠 수 있습니다.

보안 이점 외에도 여러 사용자가 있는 사이트가 있는 경우 좋은 감사 플러그인을 사용하면 합법적인 활동을 추적하는 데 도움이 될 수 있습니다. 대행사로서 고객이 하지 않았다고 말하더라도 고객이 무언가를 망쳤는지 여부를 알 수 있는 훌륭한 도구입니다!

사이트 활동 감사를 위한 몇 가지 좋은 플러그인이 있습니다. 이전에 언급한 보안 플러그인 중 일부에는 일정 수준의 감사 로깅 기능이 있지만 아래 플러그인은 보안 관련 이벤트뿐만 아니라 모든 사용자 활동을 감사하여 다음 수준으로 가져갑니다. 다음은 상위 3위입니다.

 

간단한 기록 – 사용자 활동 로그, 감사 도구

단순한 역사 감사를 위한 가장 인기 있는 플러그인이며 테스트를 시작하기에 좋은 플러그인입니다. 콘텐츠 업데이트, 플러그인 설치 및 활성화, 기타 거의 모든 유형의 사용자 활동과 같이 기대하는 모든 것을 기록합니다.

이 플러그인은 별 5개 등급이며 개발자 팀은 지원 포럼에서 활발히 활동하고 있으며 적절한 시간 내에 정기적으로 지원 질문에 답변합니다.

 

WP 활동 로그

XNUMXD덴탈의 WP 활동 로그 플러그인은 사이트에 사용할 수 있는 또 다른 훌륭한 옵션입니다. 특정 이벤트의 감사를 활성화 및 비활성화하는 기능과 로깅을 위해 구성 가능한 보존 기간과 같이 이전 플러그인보다 더 많은 구성 옵션이 있습니다. 또한 WooCommerce 및 WPForms와 같은 특수 플러그인으로 모니터링을 확장하는 수많은 애드온이 있습니다.

플러그인은 별점 4.5점이며 수석 개발자는 거의 모든 단일 지원 포럼 질문에 개인적으로 응답합니다.

대행사를 운영하는 경우 WP 활동 로그는 인기 있는 관리 도구인 MainWP와 잘 통합되므로 단일 인터페이스에서 모든 클라이언트 사이트의 감사 로그를 볼 수 있습니다. 기관 중에서 WP 활동 로그는 감사 로깅을 위한 최고의 선택입니다.

 

작업 로그

4.5성급 등급의 또 다른 인기 옵션입니다. 작업 로그 기대하는 모든 것을 포착하고 많은 수의 활성 설치가 있습니다.

불행히도 개발자는 대부분의 지원 질문이 무기한 답변되지 않은 채 포럼의 지원 요청에 응답하지 않는 경우가 많습니다.

 

최소 권한 원칙 활용

사이버 보안 세계에서 최소 권한 원칙은 사용자가 업무를 수행하는 데 필요한 권한만 갖는다는 개념입니다.

워드프레스 세계에서 10명의 사용자가 모두 관리자로 설정된 회사를 보는 것은 드문 일이 아닙니다. 이 수준의 액세스에 대한 타당한 이유가 있을 수 있지만 이렇게 높은 수준의 권한을 가진 1~2개 이상의 계정이 필요한 경우는 드뭅니다.

제어할 수 없는 한 가지는 사용자가 WordPress 웹사이트에서 적극적으로 작업을 수행하지 않을 때 수행하는 작업입니다. 이것은 그들이 실패하면 해커로부터 자신의 데이터 보호, 부주의가 귀하의 웹사이트에 퍼질 가능성이 높습니다.

액세스를 제한하면 웹 사이트에 로그인한 상태에서 악의적인 링크를 클릭하는 등 사용자가 의도하지 않게 할 수 있는 피해를 줄일 수 있습니다. 사이트 관리자라도 높은 수준의 관리 작업을 수행하지 않을 때는 권한이 제한된 별도의 편집자 계정을 사용해야 합니다.

이렇게 하는게 귀찮나요? 확신하는. 그러나 감염된 웹사이트를 정리하는 것보다 훨씬 덜 지루합니다.

 

보너스: 자주 백업하기

사이트가 손상된 최악의 시나리오에서 때때로 유일한 옵션은 클린 백업에서 사이트를 복원하는 것입니다. 감염되기 전에 찍은 것. 대부분의 괜찮은 웹 호스팅 회사는 하루에 한 번 사이트를 백업하지만 일반적으로 이러한 백업을 몇 주 동안만 유지합니다.

한동안 눈에 띄지 않는 감염이 있는 경우 문제가 됩니다. 많은 감염은 가능한 한 오랫동안 탐지를 피하기 위해 로그인한 관리자로부터 자신을 효과적으로 숨깁니다.

이제 보안이 계층에서 가장 중요하다는 것을 알고 있으므로 웹 호스트 외에 자체 백업을 수행하여 동일한 개념을 백업에 적용할 수 있습니다.

다음을 포함하여 사용할 수 있는 훌륭한 무료 백업 플러그인이 있습니다. UpdraftPlus, BackWPup및 올인원 WP 마이그레이션. 각각 고유한 강점과 약점이 있지만 모두 매우 안정적이며 사이트를 보다 정기적으로 백업할 수 있습니다. 경우에 따라 Dropbox 또는 OneDrive와 같은 원격 클라우드 저장소에 자동으로 백업할 수도 있습니다.

 

최종 생각

WordPress 보안은 웹사이트 소유의 중요한 부분입니다. 또한 잘못 수행하거나 무시할 경우 시간이 많이 걸리고 리소스가 많이 소모되는 프로세스가 될 수 있습니다. 이 게시물의 키를 구현하면 대부분의 보안 요구 사항을 자동으로 설정하여 중요한 것, 즉 비즈니스에 집중할 수 있습니다.