계층 방어: 이번 주 초, 우리는 WordPress 기반 티켓 배포 사이트가 해킹당했다는 사실을 알게 되었습니다. 해커는 또한 고객과 직원의 세부 정보를 훔쳐 유출했습니다. 이것은 일반적이지 않습니다. 몇 달에 한 번씩 수많은 웹사이트에서 대규모 해킹 시도가 이루어지거나 대규모 웹사이트가 손상되거나 백도어가 삽입되거나 사이트가 악성 웹사이트로 리디렉션된다는 사실을 알게 됩니다.
이것은 당신에게 무엇을 의미합니까?
워드프레스 웹사이트의 보안에 대해 걱정해야 한다는 의미입니다. 그러나 진짜 문제는 무엇입니까? 웹 사이트가 이러한 보안 위협에 자주 직면하는 이유는 무엇입니까? WordPress는 세계에서 가장 선호하는 웹 사이트 구축 플랫폼이기 때문에 보안을 진지하게 생각한다고 생각할 것입니다. 그리고 그들은 합니다. WordPress는 상당히 안전한 CMS이지만 단독으로는 작동하지 않습니다. WordPress는 원하는 대로 웹사이트를 구축하는 데 도움이 되는 테마 및 플러그인과 같은 추가 기능을 허용합니다. 그리고 테마와 플러그인의 취약점은 종종 웹사이트 해킹의 원인이 됩니다. 따라서 WordPress 사이트의 보안은 여러 요인에 따라 달라지며 절대적인 것은 아닙니다. 그렇기 때문에 보안 도구를 통합하는 계층화된 보안 전략이 필요합니다.
계층화된 보안이란 무엇입니까?
누구도 완벽한 보안을 보장할 수 없습니다. 보안 플러그인은 보안 침해 가능성을 줄이는 데만 도움이 됩니다. 계층화된 보안 전략은 보호에 대한 최상의 접근 방식입니다. 성을 지키는 것과 같습니다. 왕은 침략을 두려워하며 안으로 자리를 잡았다. 그는 그의 방 밖에서 무장한 경비병들, 요새의 벽들, 그리고 성문 밖에서 그의 군대에 의해 보호받고 있습니다. 침략자는 왕에게 도달하기 위해 이러한 보호 방패를 하나씩 건너야 합니다. 계층화된 보호는 다양한 지점에서 해킹 시도를 방지하기 위해 구축된 이 보호막과 같습니다.
왜 필요한가요?
예전에는 웹사이트가 해킹당할 때 몇 군데만 살펴보고 맬웨어를 찾은 다음 치료를 진행하면 되었습니다. 해킹된 WordPress 사이트를 스캔하고 청소하는 것은 쉬웠습니다. 그러나 해커는 이후 진화했으며 사이트를 손상시키고 해당 사이트에서 맬웨어를 숨길 수 있는 방법을 찾았습니다. 이를 위해서는 우수한 보안 접근 방식이 필요합니다. 계층 보안은 보안 공격을 완화하기 위해 설계된 중복 보호(즉, 계층 방어)를 제공하기 위해 고안된 전략입니다.
WordPress 사이트의 계층적 방어를 구성하는 것은 무엇입니까?
WordPress 웹 사이트를 계층적으로 보호하기 위해 다음과 같은 작업을 수행할 수 있습니다. 먼저 WordPress 보안 감사를 실행한 후 다음 조치를 취할 수 있습니다.
방화벽 보안 사용
계층 방어를 구성하는 첫 번째 사항 중 하나는 방화벽을 사용하는 것입니다. WordPress 웹 사이트에서 방화벽은 웹 사이트로 들어오는 트래픽을 필터링하는 단 하나의 목적을 수행합니다. 기본적으로 방화벽에는 플러그인 기반 방화벽의 세 가지 유형이 있습니다. 다른 플러그인처럼 사이트에 설치 및 구성할 수 있습니다. 누군가가 사이트 페이지를 요청할 때 요청이 악의적인지 여부를 결정하는 미리 결정된 규칙이 있습니다. 또 다른 유형의 방화벽은 클라우드 기반(클라우드 컴퓨팅) 방화벽입니다. 방화벽은 모든 방문자가 사이트에 보내는 요청을 가로채고 다양한 기술의 도움을 받아 요청이 유효한지 또는 악의적인지 판단합니다. 마지막으로 일부 웹 호스트 제공업체에는 방화벽이 내장되어 있습니다. 자체 인프라와 확장하여 웹 사이트를 보호하기 위해 구축되었습니다. 방화벽 선택은 찾고 있는 보안의 종류와 방화벽을 배포할 위치에 따라 다릅니다. 일부는 기계 학습과 같은 AI 기능을 가질 수도 있습니다.
SSL 인증서 설치
SSL 인증서는 웹사이트를 보는 서버와 브라우저 간에 암호화된 링크를 생성하는 데 도움이 됩니다. 'S'는 Security를 나타내며 SSL 인증서는 결제와 같은 민감한 데이터를 전송하는 데 사용됩니다. 이전에는 SSL 인증서가 결제를 해야 하는 로그인 페이지 사이트로 제한되었습니다. 최근 몇 년 동안 웹을 더 안전하게 만들기 위한 Google의 노력으로 인해 많은 사람들이 SSL 인증서를 설치하게 되었습니다. Google은 웹사이트 순위 지정 알고리즘을 공개하지 않을 수 있지만 SSL 인증서를 순위 요소 중 하나로 명시적으로 언급했습니다.
다음은 웹사이트에 설치할 수 있는 몇 가지 주요 인증서 유형입니다.
무료 SSL: 웹 호스트 회사는 이러한 유형의 인증서를 제공하며 일반적으로 수동으로 갱신해야 하는 몇 가지 조건이 있습니다.
도메인 SSL: 하나의 도메인에만 설치할 수 있는 가장 저렴한 형태의 SSL 인증서 중 하나입니다.
조직 SSL: 문서 작업 및 확인이 필요한 향상된 유형의 SSL 인증서입니다.
어떤 SSL 인증서를 선택하든 계층 방어에 한 걸음 더 다가갈 수 있습니다.
WordPress 로그인 페이지 보호
WordPress 로그인 페이지는 침입자를 대시보드에서 보호합니다. 따라서 로그인 페이지가 웹사이트에서 가장 공격을 많이 받는 부분 중 하나라는 것은 놀라운 일이 아닙니다. 해커는 인기 있는 사용자 이름과 비밀번호를 조합하여 웹사이트에 침입하는 봇을 프로그램합니다. 성공하지 못하게 하려면 먼저 강력한 암호를 만든 다음(새로 만드는 방법) 로그인 보호기를 사용해야 합니다. Brute Force Login Protection과 같은 전문 서비스를 사용하거나 다른 보안 조치 중에서 WordPress 사이트에 방화벽 보호를 제공하는 MalCare와 같은 포괄적인 솔루션을 사용할 수 있습니다.
MalCare의 WordPress 방화벽은 두 가지 작업을 수행합니다. 액세스하는 웹 사이트에 해를 끼치는 것으로 알려진 수십만 개의 잘못된 IP 주소를 온라인에서 추적합니다. MalCare는 해당 IP 주소를 표시하고 사이트에 들어오는 것을 방지합니다. 그리고 3회 연속 로그인 실패 시 CAPTCHA를 생성하여 로그인 페이지를 보호합니다.
웹사이트 강화
웹사이트를 강화하는 것은 계층화된 방어의 중요한 부분을 구성합니다. 현재 사이버 보안 상태를 감안할 때 WordPress는 사용자에게 웹 사이트를 강화할 것을 권장합니다. WP의 조언을 실행하려면 약간의 기술 전문성이 필요합니다. MalCare와 같은 포괄적인 보안 서비스를 통해 사용자는 몇 번의 클릭만으로 사이트를 강화할 수 있습니다. TimThumb/MailPoet 공격을 방지하는 신뢰할 수 없는 폴더에서 PHP 실행을 차단할 수 있습니다. 플러그인 및 테마 설치 차단과 같은 보안 조치는 사이트가 해킹당할 경우 사이트를 잠그는 데 도움이 됩니다. 파일 편집기를 비활성화하면 사이트에 액세스할 수 있는 모든 사용자가 사이트의 파일을 수정할 수 없습니다. wp-config.php에서 보안 키를 변경하면 모든 쿠키가 무효화되지만 비밀번호와 활성화 키를 재설정하면 승인되지 않은 사람이 사이트에 액세스하지 못하도록 잠급니다.
플러그인, 테마 및 WordPress Core를 정기적으로 업데이트
WordPress 사이트가 손상되면 대부분의 경우 플러그인 및 테마가 주요 원인입니다. 개발자는 플러그인에서 취약점을 발견하면 패치를 만들고 업데이트를 발행합니다. 웹사이트 소유자가 이러한 업데이트를 무시하면 취약점이 패치되지 않은 상태로 유지됩니다. 그리고 그것은 해커의 진입점이 됩니다. 이것이 사이트를 정기적으로 업데이트하는 것이 우선되어야 하는 이유입니다.
많은 경우 소규모 웹사이트 소유자는 보안 조치에 대해 관대합니다. 그들은 해커가 트래픽이 적은 사소한 사이트에 관심이 없을 것이라고 생각합니다. 그러나 해커가 트래픽뿐만 아니라 사이트를 해킹하는 데에는 여러 가지 이유가 있습니다. 소규모 사이트는 보안에 관대한 경향이 있기 때문에 큰 사이트보다 더 쉬운 표적이 되는 경우가 많습니다. 결론은 웹사이트의 규모에 상관없이 업데이트를 진지하게 받아들이는 것이 사이트를 안전하게 유지하는 열쇠라는 것입니다.
정기 백업 수행
매주 게시하든 매일 게시하든 백업을 하는 것은 안전합니다. 해킹의 경우 해커가 귀하의 콘텐츠 중 일부를 삭제할 수 있습니다. 이와 같은 상황은 매우 정기적으로 게시되는 웹사이트에 악몽이 될 것입니다. 데이터 손실을 방지하려면 웹사이트를 정기적으로 백업하는 것이 좋습니다.
수동 백업 WordPress 사이트는 힘든 작업이며 많은 위험이 따릅니다. 백업은 자동이 아니기 때문에 백업을 잊어버리는 경우가 있습니다. 백업을 안전하게 저장하는 것은 또 다른 번거로움입니다. 외부 하드 디스크와 USB 드라이브는 고장나는 것으로 알려져 있으며 로컬 저장소는 악성코드에 감염될 수 있어 위험합니다. 웹 호스팅 서비스 제공 백업 그러나 모든 호스팅 서비스가 일일 백업을 제공하는 것은 아닙니다. 따라서 백업을 위해 웹 호스트에 의존하기 전에 조사를 수행하고 필요한 경우 지원 팀에 문의하십시오. 일부 웹 호스트는 약간의 추가 비용이 수반되는 추가 기능으로 백업을 제공합니다. 마지막으로 WordPress 백업 서비스가 있습니다. 사이트에 대한 완벽한 백업 솔루션을 제공하는 BlogVault와 같습니다. 수많은 기능과 유연성을 제공합니다.
보안 서비스 사용
좋은 다차원 보안 서비스가 있으면 사이트를 보호하지 못할 뿐만 아니라 많은 번거로움을 피할 수 있습니다. WordPress 웹사이트를 운영하는 동안 여러 문제에 직면할 수 있습니다. 해킹 시도 및 맬웨어 감염이 하나이며 웹 호스트 문제, 오래된 플러그인 및 기타 다른 문제가 포함됩니다. 이러한 문제를 처리하기 위해 좋은 보안 플러그인은 알려진 맬웨어뿐만 아니라 복잡하고 알려지지 않은 맬웨어를 찾기 위해 매일 자동 검사를 수행할 수 있어야 합니다. 또한 훌륭한 맬웨어 클리너를 구성해야 하며 사용자가 사이트를 강화하는 데 필요한 단계를 수행할 수 있어야 합니다. MalCare와 같은 완벽한 보안 서비스는 WordPress 웹사이트에 대한 계층적 방어를 제공합니다. 사용자가 플러그인, 테마 또는 WordPress 코어의 업데이트를 관리할 수도 있습니다. 웹 사이트의 보안을 완전히 관리하는 팀이 더 편안하다고 느끼신다면 WP Buffs 또는 GoWP의 화이트 레이블 WordPress 유지 관리 및 지원이 바로 당신이 찾고 있는 것입니다. 관리하는 웹사이트가 1개이든 1000개이든 상관없이 업데이트, 보안, 웹사이트 속도 및 지속적인 편집을 관리합니다.
당신에게로
다층 방어를 구성하는 요소 요약:
- 방화벽 보안 사용
- SSL 인증서 설치
- WordPress 로그인 페이지 보호
- 웹사이트 강화
- 플러그인, 테마 및 WordPress 코어를 정기적으로 업데이트
- 정기 백업 수행
- 보안 서비스 사용
이 게시물을 통해 수행해야 할 작업을 안내할 수 있기를 바랍니다. 읽어 주셔서 감사합니다. 계층 방어에 대해 질문이 있으면 메일을 보내주세요.