WordPress 사이트를 보호하기 위한 초보자 가이드

게시 됨: 2017-05-16

WordPress는 가장 널리 사용되는 콘텐츠 관리 시스템 중 하나입니다.

실제로 이 게시 플랫폼은 현재 상위 1000만 개 사이트 중 27.5% 이상이 사용하고 있습니다. Joomla 및 Drupal과 같은 다른 플랫폼은 비교할 때 단순히 창백합니다. WordPress가 널리 지원되는 이유는 사용 용이성으로 단기간에 완전한 기능을 갖춘 사이트를 구축할 수 있습니다.

그러나 WordPress가 너무 널리 퍼져 있다는 사실 또한 해커의 표적이 됩니다.

보안 취약점으로 인해 사이트가 악의적인 공격에 취약해지고 그 과정에서 사용자 데이터가 손상될 수도 있습니다. 이러한 종류의 공격은 모든 비즈니스에 절대적으로 치명적일 수 있습니다.

손상된 사이트는 방문자의 신뢰를 떨어뜨릴 뿐만 아니라 Google에서 페이지를 블랙리스트에 올릴 수도 있습니다. 실제로 Google이 이미 보다 안전한 웹을 위해 취하고 있는 한 단계는 Chrome 사용자가 잠재적으로 안전하지 않거나 기만적인 사이트(예: 피싱 또는 맬웨어)를 방문하려는 경우 경고를 표시하는 것입니다.

사이트를 방문하는 모든 사람(공격을 받은 경우)은 다음과 같은 상황에 직면할 수 있습니다.

Protect Your WordPress Site

웹사이트 보안의 중요성은 아무리 강조해도 지나치지 않습니다.

단 한 번의 공격으로 판매를 완전히 중단하고 잠재적으로 사이트를 Google에서 블랙리스트에 올리면 됩니다. 사이트를 제거하는 것은 확실히 가능하지만 문제에 따라 해결하는 데 며칠 또는 몇 주가 소요될 수 있는 수동 검토를 요청해야 합니다. 훨씬 더 나은 솔루션은 사이트를 보호하기 위한 조치를 취하는 것입니다.

여기에서 WordPress 사이트를 안전하게 보호하고 유지하는 방법에 대해 자세히 살펴봅니다.

워드프레스 업데이트 유지

WordPress에 대한 업데이트는 중요합니다.

11,000개 이상의 감염된 사이트를 평가한 결과 75%가 WordPress에 있는 것으로 나타났습니다. 하지만 더 놀라운 사실은 해당 웹사이트의 50% 이상이 구식이라는 사실입니다. 최신 버전으로 업데이트하면 새로운 기능에 액세스할 수 있을 뿐만 아니라 공격자가 악용할 수 있는 알려진 보안 결함도 패치됩니다.

실제로 이러한 보안 취약점은 새 업데이트가 제공되면 알려지게 됩니다. 다음은 업데이트된 버전의 WordPress에 대한 보안 로그의 예입니다.

Keep WordPress Updated

이 정보는 새 업데이트가 릴리스되면 공개적으로 사용할 수 있습니다. 그러나 즉시 업데이트하지 않으면 사이트가 공격에 노출될 수 있습니다. 새로 발견된 취약점으로부터 사이트를 안전하게 유지하려면 항상 최신 버전으로 업데이트하십시오. 사용 가능한 업데이트가 있는 경우 대시보드 상단에 알림이 표시됩니다.

Keep WordPress Updated

최신 버전의 WordPress를 사용하면 버튼 클릭으로 쉽게 업데이트할 수 있습니다. 업데이트가 완료될 때까지 귀하의 사이트는 잠시 동안 유지 관리 모드로 전환됩니다. 업데이트는 몇 분 밖에 걸리지 않지만 완료되면 다른 작업을 수행할 필요가 없습니다.

매번 사이트를 수동으로 업데이트하고 싶지 않습니까?

알림은 다소 성가실 수 있습니다. 그러나 WordPress를 업데이트하는 것은 사이트를 안전하게 유지하는 가장 쉬운 방법 중 하나입니다. 사이트에 최신 버전이 있는지 걱정하지 않으려면 몇 가지 간단한 조정으로 자동 업데이트를 구성할 수 있습니다.

wp-config.php 파일을 열고 다음 행을 추가하십시오.

[암호]
정의('WP_AUTO_UPDATE_CORE', 참);
[/암호]

동일한 파일에 다음 줄을 추가하여 자동 플러그인 업데이트를 활성화할 수도 있습니다.

[암호]
add_filter( 'auto_update_plugin', '__return_true' );
[/암호]

테마 업데이트를 활성화하려면 다음 줄을 추가하세요.

[암호]
add_filter( 'auto_update_theme', '__return_true' );
[/암호]

이 행을 추가하면 다른 조치 없이 사이트가 최신 상태로 유지됩니다. 업데이트나 알림에 신경 쓸 수 없는 사람이라면 사이트가 항상 최신 상태로 유지되도록 자동 업데이트를 구성하고 싶을 것입니다.

관리 영역 보호

아무리 안전한 것이라도 적절한 도구가 있거나 소유자가 부주의하면 누구나 쉽게 액세스할 수 있습니다. WordPress에서 관리 영역은 해커의 주요 표적입니다.

이 페이지를 안전하게 유지하려면 다음 단계를 따르세요.

강력한 암호 사용

약한 암호(예: "12345", "암호" 등)를 사용하는 경우 공격자가 자동화된 스크립트를 사용하여 무차별 암호 대입을 할 수 있으므로 사이트가 더 큰 위험에 놓이게 됩니다. 이는 암호가 마침내 작동할 때까지 암호를 반복적으로 시도함을 의미합니다 . 그러나 숫자와 기호의 조합이 포함된 강력한 암호를 사용하면 가장 정교한 프로그램도 해독하는 것이 거의 불가능합니다.

강력한 암호 생성기 와 같은 도구를 사용하여 WordPress 사이트에 대한 강력하고 안전한 암호를 만드십시오.

Use a Strong Password

이와 같은 암호를 무차별 대입하려면 컴퓨터 프로그램이 해독하는 데 몇 년 또는 수십 년이 걸립니다. 그러나 단점은 강력한 암호를 기억하기 어렵다는 것입니다. 그러나 공격자가 사이트에 액세스하지 못하도록 방지하는 경우에는 절충안이 확실히 가치가 있습니다. 다행히도 암호를 저장하는 데 사용할 수 있는 암호 관리자가 많이 있습니다.

사용자 이름 변경

WordPress를 처음 설치할 때 사용자 이름을 입력하라는 메시지가 표시됩니다.

Change Your Username

공격자는 사용자 이름과 비밀번호를 모두 알고 있지 않으면 대시보드에 액세스할 수 없습니다. 더 고유한 사용자 이름을 사용하여 무차별 대입 시도를 쉽게 차단할 수 있습니다. 따라서 사용자 이름을 선택할 때 "admin"을 사용하지 마십시오.

로그인 시도 제한

Limit Login Attempts

앞서 언급했듯이 공격자는 프로그램을 사용하여 사이트에 무차별 대입할 수 있습니다. 그러나 특정 IP 주소에서 로그인 시도를 제한할 수 있는 로그인 잠금과 같은 플러그인이 있습니다. 몇 번 이상 실패하면 해당 사용자가 잠깁니다.

로그인 페이지 이름 바꾸기

마지막으로 관리 영역을 보호하는 또 다른 방법은 로그인 페이지를 함께 이동하는 것입니다. 대시보드는 일반적으로 www.yoursite.com/wp-admin 에서 액세스합니다. 그러나 한 가지 눈에 띄는 문제는 해커가 WordPress 사이트에 " /wp-admin "을 추가하기만 하면 관리자 페이지에 액세스할 수 있다는 것을 알고 있다는 것입니다.

Rename Your Login Page

Protect WP-Admin은 웹마스터가 관리자 패널 URL을 사용자 지정할 수 있도록 하여 이 문제를 해결합니다.

다음 단계에 따라 관리 영역을 보호하면 사이트에 대한 자동화된 공격을 크게 줄이고 차단할 수 있습니다.

이중 인증 활성화

2단계 인증은 공격자가 귀하의 계정에 액세스하는 것을 훨씬 더 어렵게 하여 보안 계층을 추가합니다. 로그인하려면 사용자 이름과 비밀번호뿐만 아니라 일반적으로 SMS를 통해 모바일 장치로 전송되는 추가 인증 코드가 필요합니다.

공격자가 어떻게든 사용자 이름과 비밀번호를 추측하더라도 인증 코드가 없으면 계정에 로그인할 수 없습니다. Google Authenticator 플러그인을 다운로드하여 설치하여 사이트에 2단계 인증을 쉽게 설정하세요.

Enable two-factor authentication

확인을 위해 Google Authenticator 앱을 사용할 수 있는 것 외에도 플러그인은 이메일 및 전화 확인과 같은 2단계 인증을 위한 추가 옵션을 제공합니다. 사이트에 여러 사용자가 있는 경우 2단계 인증도 사용할 수 있습니다.

.htaccess를 사용하여 중요한 파일에 대한 액세스 제한

.htaccess 파일을 사용하여 WordPress 사이트의 보안을 더욱 강화할 수 있습니다. 이 파일은 더 사용자와 검색 엔진 친화적으로 URL을 다시 작성하는 것과 같은 웹사이트 최적화를 위해 WordPress에서 주로 사용됩니다. 그러나 사이트의 보안을 향상시키는 데에도 사용할 수 있습니다.

.htaccess 파일은 일반적으로 루트 폴더에 있으며 FTP 클라이언트나 cPanel을 통해 액세스할 수 있습니다. 또한 대시보드에서 직접 액세스할 수 있는 SEO by Yoast를 포함하여 여러 플러그인을 사용할 수 있습니다.

다음은 .htaccess 파일을 사용하여 사이트를 보호하는 몇 가지 방법입니다.

wp-config.php 숨기기

wp-config.php 파일은 모든 설치에서 표준이지만 보안 키 및 사이트에 대한 데이터베이스 연결 세부 정보와 같은 민감한 정보도 포함합니다. 이것들은 당신이 엉뚱한 손에 넣고 싶지 않은 세부 사항입니다. 가장 좋은 해결책은 이 파일을 완전히 숨기고 액세스할 수 없도록 하는 것입니다.

.htaccess 파일에 다음 코드를 추가하여 wp-config.php 파일을 숨깁니다.

[암호]
<파일 wp-config.php>
주문 허용, 거부
모두를 부정하다
</파일>
[/암호]

디렉토리 브라우징 방지

WordPress가 파일 구조를 구현하는 방식 때문에 방문자가 yoursite.com/wp-content/uploads로 이동하기만 하면 사이트의 폴더와 파일에 액세스할 수 있습니다. 따라서 공격자가 이 정보를 악의적인 목적으로 사용할 수 있으므로 디렉터리 탐색을 방지하는 것이 좋습니다.

.htaccess 파일에 다음 줄을 추가합니다.

[암호]
옵션 전체 - 인덱스
[/암호]

PHP 파일은 해커가 이 파일을 사용하여 사이트를 감염시키는 악성 코드를 주입할 수 있으므로 보호하는 것이 매우 중요합니다. 플러그인 및 테마의 PHP 파일에 대한 액세스를 방지하려면 .htaccess 파일에 다음 코드를 추가하세요.

[암호]
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/directory/to/exclude/
RewriteRule wp-content/plugins/(.*\.php)$ – [R=404,L]
RewriteCond %{REQUEST_URI} !^/wp-content/themes/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/themes/directory/to/exclude/
RewriteRule wp-content/themes/(.*\.php)$ – [R=404,L]
[/암호]

이러한 변경 사항을 .htaccess 파일에 추가하기만 하면 WordPress 사이트의 보안이 향상되고 공격자가 사이트에 액세스하기가 훨씬 더 어려워집니다. 그럼에도 불구하고 새로운 취약점이 지속적으로 발견되고 악용되기 때문에 완전히 안전한 사이트는 없습니다.

따라서 상황이 악화될 경우를 대비하여 백업 계획을 세워야 합니다.

사이트를 정기적으로 백업하십시오. 정기적인 백업을 유지하십시오.

아무리 많은 안전 조치를 취하더라도 사이트는 여전히 취약할 수 있습니다.

WordPress가 10년이 훨씬 넘었지만 개발 팀은 지속적으로 보안 문제를 식별하고 수정하고 있습니다. 당신이 설치하는 모든 새로운 테마나 플러그인에는 아직 수정되지 않은 익스플로잇이 있을 수 있다는 것은 말할 것도 없습니다.

따라서 사이트를 정기적으로 백업하는 것이 좋습니다. 이렇게 하면 사이트를 신속하게 복원하고 사이트가 공격으로부터 중단된 경우 손실을 최소화할 수 있습니다.

사이트가 정기적인 일정에 따라 백업되고 클라우드에도 저장되는지 확인하고 싶을 것입니다. 컴퓨터가 손상된 경우 해당 백업에 액세스하고 다른 장치에서 복원할 수 있습니다. BackupBuddy와 같은 자동화 솔루션을 사용하는 것이 좋습니다.

Regularly Backup Your Site Maintain Regular Backups

대부분의 백업 솔루션에는 유료 구독이 필요합니다. 그러나 비즈니스를 위해 웹 사이트에 의존하는 경우 지불하는 것은 마음의 평화를 위해서만 가치가 있습니다. 공격으로 인해 사이트가 다운된 경우 호스팅 제공업체와 협력하여 백업을 통해 사이트를 이전 버전으로 쉽게 되돌릴 수 있습니다.

결론

WordPress 자체는 상대적으로 안전하지만 테마, 플러그인 및 사용자 지정 코드를 추가하면 해커가 악용할 수 있는 보안 취약점의 가능성이 높아집니다. 지금 특정 보안 조치를 취하지 않으면 사이트가 잠재적인 표적이 될 수 있습니다.

어떤 시스템도 완전히 안전하지 않다는 점에 유의하는 것이 중요합니다. 그러나 악의적인 공격의 영향을 받을 가능성을 크게 줄이기 위해 취할 수 있는 예방 조치가 있습니다.

여기에 설명된 단계에 따라 WordPress 사이트의 보안을 강화하세요.