WordPress 보안 실수: 매분 90,978번의 해킹 시도가 워드프레스 웹사이트에서 이루어진다는 사실을 알고 계셨습니까? 사이트가 해킹되면 해커는 이를 사용하여 스팸 이메일 전송(읽기 – 피싱 해킹), 다른 웹사이트 공격, 스팸 링크 삽입, 방문자 리디렉션 등과 같은 모든 종류의 악의적인 활동을 실행합니다.
이것이 당신과 같은 WordPress 사이트 소유자가 보안 문제를 심각하게 받아들여야 하는 이유입니다. 모든 보안 요구 사항을 해결하는 데 사용할 수 있는 만능은 없지만 많은 일을 올바르게 수행해야 합니다. 인터넷에는 사이트를 안전하게 유지하는 방법에 대한 수많은 조언이 있습니다. 그들 중 일부는 상충되는 조언이고 일부는 단지 구식입니다. 사이트 소유자가 해야 할 일과 하지 말아야 할 일에 대한 수많은 의견이 혼란을 야기하고 그 혼란 속에서 실수는 불가피합니다.
사이트의 보안을 유지하는 것은 특히 일반적인 해킹 공격에 취약하게 만들 수 있는 실수를 저지르는 경향이 있는 새로운 사이트 소유자에게 쉬운 일이 아닙니다. 웹사이트 소유자가 흔히 범하는 보안 실수를 알면 이를 방지하는 데 도움이 됩니다. 그래서 대부분의 WordPress 사이트 소유자가 저지르는 실수를 막을 수 있도록 이 목록을 만들었습니다.
사이트 소유자가 하는 주요 WordPress 보안 실수:
아래 조치를 취하기 전에 WordPress 보안 감사를 실행하는 것이 좋습니다.
1. WordPress 코어, 플러그인 및 테마 업데이트 안 함
WordPress 핵심 및 추가 기능(예:테마 및 플러그인)을 최신 상태로 유지하는 것은 좋은 보안 조치입니다. 업데이트는 사이트에 더 많은 기능을 추가할 뿐만 아니라 취약점을 패치하는 데에도 도움이 됩니다. WordPress가 작동하는 생태계로 인해 취약점에 대한 뉴스가 매우 빠르게 퍼지고 해커는 상황을 이용하려고 합니다. 취약점 패치에 도움이 되는 사이트를 업데이트하지 않으면 사이트가 침입하기 쉽습니다.
일부 사이트 소유자는 업데이트가 보안과 어떻게 연결되는지 모르기 때문에 사이트를 업데이트하지 않는 반면 다른 소유자는 비호환성을 두려워합니다. WordPress 웹 사이트는 WordPress 코어 및 추가 기능을 업데이트한 후 중단될 수 있습니다.
WordPress 업그레이드는 모든 이전 버전과 호환되도록 설계되었습니다. 따라서 사이트에서 버전 4.1을 실행하는 경우에도 최신 버전(예:4.9)으로 업데이트할 수 있습니다. 그러나 모든 예방 조치를 취했음에도 불구하고 각 업데이트는 웹 사이트 충돌 소식을 가져옵니다. 다음은 최신 WordPress 버전 4.9.6의 예입니다.
테마 및 플러그인과 같은 WordPress 추가 기능을 업데이트할 때 유사한 문제가 발생할 수 있습니다. 개발자가 새 업데이트를 서둘러 출시했거나 개발자가 무능했기 때문에 종종 테마 및 플러그인에서 비호환성 문제가 발생합니다. 플러그인과 테마는 경쟁이 치열한 시장이며 나머지 개발자들과 차별화하기 위해 개발자는 최단 시간에 점점 더 많은 새로운 기능을 추가해야 합니다. 때때로 버전이 WordPress의 모든 이전 버전과 호환되는지 확인할 충분한 시간이 주어지지 않습니다. 따라서 누군가가 매우 초기 WordPress 버전을 사용 중이고 최신 몇 가지 WordPress 버전에서만 작동하는 플러그인을 업데이트하면 사이트가 중단됩니다.
WordPress Core와 추가 기능 간의 호환성 문제에 대한 우려로 인해 사이트 소유자는 보안 업데이트를 건너뛸 수 있습니다.
해결 방법: 스테이징 서비스는 이 문제를 해결할 수 있습니다. WordPress 코어 및 추가 기능의 설치를 테스트하기 위해 중복 사이트를 만드는 프로세스를 스테이징이라고 합니다. BlogVault와 같은 백업 서비스 또는 Kinsta와 같은 웹 호스트 공급자도 스테이징 환경을 제공합니다. 웹 호스트 또는 백업 서비스(사용 중인 경우)에 사이트를 준비할 수 있는 옵션이 있는지 확인하십시오. 그렇지 않은 경우 사이트를 준비할 수 있는 서비스에 가입하십시오.
플러그인, 테마 및 핵심을 업데이트하는 것 외에도 WordPress 솔트 및 보안 키를 업데이트하는 것이 좋습니다.
2. 저품질 추가 기능 사용
모든 WordPress 플러그인과 테마가 잘 만들어진 것은 아닙니다. 일부는 품질 보증 검사를 무시하고 다른 일부는 아마추어 프로그래머가 개발합니다. 사용자가 사용하거나 구매하기로 선택한 것에 주의를 기울이는 것이 중요합니다. 그러나 불행히도 많은 WordPress 사용자는 플러그인이나 테마가 얼마나 좋은지 알아낼 수 있는 기술 지식이 없습니다.
해결 방법: 이러한 사용자를 돕기 위해 좋은 테마 또는 플러그인을 찾는 데 도움이 되는 몇 가지 특성을 나열했습니다.
나. 유명한 출처에서 추가 기능을 다운로드했는지 확인하세요. 워드프레스 플러그인 저장소 또는 우아한 테마, 테마포레스트 등과 같은 인기 판매자와 같은
ii. 부가 기능이 WordPress 저장소에서 좋은 평가를 받았는지 확인하세요. 자신의 사이트에서 테마/플러그인을 사용한 사용자의 검토 . 빠른 Google 검색을 통해 리뷰를 찾을 수 있습니다.
iii. 플러그인이 오랫동안 사용되었는지 확인하세요. 그리고 시간의 시험을 견뎠습니다. WordPress 저장소 또는 공식 웹사이트에 나열된 보안 업데이트 및 버그 수정을 찾으십시오.
iv. 그리고 자주 업데이트하세요. 그리고 최근 업데이트가 2개월 이내에 이루어졌습니다.
3. 불법 플러그인 및 테마 사용
많은 웹사이트에서 프리미엄 테마와 플러그인을 무료로 판매합니다. 이러한 무료 제품을 사용하면 이러한 WordPress 추가 기능 중 상당수가 의도적으로 악성 코드를 삽입하기 때문에 재앙을 초래할 수 있습니다. 이러한 불법 애드온을 사이트에 설치하는 것은 문을 열고 사이트에 해커를 초대하는 것과 같습니다. 공격자가 방금 설치한 테마/플러그인의 잘못된 코드를 사용하여 사이트에 침입하면 사이트를 사용하여 스팸 이메일을 보내거나 다른 사이트를 공격하는 것과 같은 여러 악성 활동을 실행합니다. 또한 사이트에 맬웨어가 있으면 사이트가 손상된 것으로 간주하여 호스팅 제공업체가 Google과 같은 계정 검색 엔진을 일시 중지하여 사이트를 블랙리스트에 추가하고 AdWords 계정을 일시 중지합니다.
해결 방법: ThemeForest, Elegant Themes 등과 같은 인기 있는 마켓플레이스에서 오리지널 테마와 플러그인을 구입하세요. 세일 기간 동안 테마와 플러그인을 훨씬 저렴한 가격에 구입할 수 있습니다. 우리가 선택한 테마 또는 플러그인의 공식 웹사이트를 찾을 수 있습니다.
4. 사이트에 사용하지 않는 플러그인 및 테마 유지
웹 사이트에 사용하지 않는 테마와 플러그인을 유지하면 해커가 사이트에 침투할 수 있습니다. 많은 사이트 소유자는 보안 이점을 모르기 때문에 비활성 추가 기능을 업데이트하지 않습니다. 그들에게 업데이트는 새로운 기능을 가져오고 플러그인을 사용하지 않기 때문에 새로운 기능이 필요하지 않다고 생각합니다. 취약점을 패치하기 위해 업데이트가 릴리스된 경우 업데이트할 때까지 사이트가 위험에 노출됩니다.
해결 방법: 여기서 유일한 해결책은 비활성 WordPress 테마 및 플러그인을 제거하는 것입니다. 방법은 다음과 같습니다.
사이트의 WordPress 대시보드에서 '설치된 플러그인' 페이지를 방문합니다.
페이지에는 '비활성'이라는 옵션이 있습니다. 그것을 선택하십시오.
비활성 플러그인을 삭제할 수 있는 다른 페이지로 이동합니다. . 그러나 '비활성' 버튼을 누르기 전에 가까운 장래에 특정 플러그인이 필요하지 않은지 확인하는 것이 좋습니다.
5. 잘못된 웹사이트 로그인 관행 사용
두 가지 일반적이면서도 매우 위험한 로그인 방법은 추측하기 쉬운 로그인 자격 증명을 사용하는 것과 사이트를 사용하지 않을 때 로그아웃하지 않는 것입니다. 공격자는 기억하기 쉬운 사용자 이름(예:admin)과 비밀번호(예:password123)를 조합하여 사이트에 로그인을 시도하는 봇을 프로그램하여 사이트를 해킹합니다. 사이트를 해킹하는 이 독특한 방법을 무차별 대입 공격이라고 합니다.
해결 방법: 고유한 사용자 이름과 비밀번호 를 사용하는 것이 좋습니다. (권장 읽기 – WordPress 로그인 페이지 보호 가이드). 여기서 한 가지 단점은 고유한 자격 증명을 기억하기 어렵다는 것입니다. 따라서 이러한 자격 증명이 포함된 문서를 유지 관리해야 합니다. 그리고 무단 액세스를 방지하기 위해 문서가 암호화되어 있는지 확인하십시오.
6. 모든 사용자에게 관리자 액세스 권한 부여
모든 용도를 관리자로 만드는 것은 특히 사이트 소유자가 개인적으로 알지 못하는 사용자가 많은 웹 사이트의 경우 좋지 않습니다. WordPress를 사용하면 사이트 소유자가 관리자, 편집자, 작성자, 기여자, 구독자, SEO 관리자, SEO 편집자 등의 역할을 사용자에게 할당할 수 있습니다. 사이트의 모든 영역에 대한 액세스 권한을 부여하기 때문에 모든 사람을 관리자로 만드는 것은 위험합니다.
사용자에게 전체 사이트에 대한 무제한 액세스를 제공하면 OurMine(해커 그룹)에 의해 해킹된 TechCrunch(인기 있는 기술 사이트)에서 볼 수 있듯이 악용으로 이어집니다. 사용자 계정에 액세스한 후 OurMine은 사이트에 게시할 수 있었습니다. 다음은 TechCrunch가 해킹된 후 독자들이 깨어났을 때 홈페이지의 스크린샷입니다.
해결 방법: WordPress의 각 사용자 역할은 사이트의 특정 영역에만 액세스할 수 있습니다. 사용자가 사이트에서 수행해야 하는 작업에 따라 이러한 역할을 할당할 수 있습니다. 이 원칙을 따르면 신뢰할 수 있는 사람만 전체 사이트에 액세스할 수 있습니다. 그리고 문제가 발생하면 누가 책임을 져야 하는지 알 수 있습니다.
7. 백업하지 않음
백업은 안전망입니다. 재난이 닥쳤을 때 문제가 발생할 수 있습니다. 사이트가 해킹당하여 게시물이 삭제된 경우 백업을 사용하여 사이트를 원래대로 쉽게 복원할 수 있습니다. 그러나 많은 백업 서비스가 효율적이지 않기 때문에 아무 백업 서비스만 사용하는 것은 바람직하지 않습니다. 예를 들어 많은 백업 플러그인은 웹 서버에 백업을 저장합니다. 일부는 백업을 한 곳에 저장합니다. 웹사이트 서버는 백업을 저장하기에 이상적인 장소가 아닙니다. 서버가 일반 프로세스를 수행하는 것 외에 백업하는 부담을 지기 때문입니다. 사이트 속도를 저하시킵니다. 백업을 하나만 저장하면 해당 백업을 잃어버리면 대체할 다른 백업이 없게 됩니다.
해결 방법: 백업 서비스를 선택하기 전에 기능을 확인하여 백업을 저장하는 위치를 확인하십시오. 적절한 정보를 찾을 수 없으면 백업을 저장하는 위치와 여러 위치에 저장하는지에 대해 직접적인 질문을 하는 메일을 보내십시오. 안정적인 백업을 선택하는 방법에 대해 자세히 알아보려면 이 게시물을 확인하세요.
8. 보안 서비스를 사용하지 않음
많은 웹사이트 소유자, 특히 트래픽이 적은 소규모 웹사이트를 소유한 사람들은 자신의 사이트가 중요하지 않다고 생각하므로 해커의 관심을 끌지 못할 것입니다. 그러나 오늘날 해커들은 소규모 웹사이트를 공격할 충분한 이유가 있습니다. 파일을 저장하거나 스팸 메일을 보내는 데 사용할 수 있습니다. 사실 많은 해킹 그룹은 소규모 웹사이트의 보안이 느슨하여 해킹하기 쉽기 때문에 소규모 사이트를 공격하는 것을 선호합니다. 그들은 봇이 사이트에 침입하기 위해 올바른 사용자 이름과 자격 증명을 추측하려고 시도하는 대규모 무차별 대입 공격을 시작합니다. 가장 선호되는 해킹 기술 중 하나는 취약한 플러그인과 테마를 이용하는 것입니다.
해결 방법: 표준 보안 서비스는 해커가 사이트에 무차별 공격을 가하는 것을 방지하는 WordPress 방화벽과 같은 필수 보안 기능을 제공합니다.
사이트를 수정하기 위해 위의 조치를 취하는 것 외에도 몇 가지 보안 조치를 더 취할 수 있습니다. 이 가이드를 따르는 것이 좋습니다. wp-config.php를 사용하여 WordPress 사이트 보호
플러그인이나 테마 또는 코어의 취약점이 발생할 때마다 개발자는 업데이트를 통해 패치를 릴리스합니다. 따라서 모든 테마, 플러그인 및 WordPress 코어를 업데이트된 상태로 유지하는 것은 좋은 보안 방법입니다. MalCare – 최고의 WordPress 보안 플러그인 중 하나는 MalCare 대시보드에서 플러그인, 테마 및 WordPress 코어를 업데이트할 수 있는 사이트 관리 기능을 제공합니다. 유지 관리할 웹 사이트가 많은 사람들에게 특히 유용합니다. 각 웹 사이트에 로그인하고 테마, 플러그인 및 코어를 업데이트하는 것은 시간이 많이 걸리는 작업입니다. MalCare와 같은 서비스를 사용하면 사이트 소유자가 우수한 보안 관행을 쉽게 따를 수 있습니다.
방화벽 및 사이트 관리 외에도 보안 플러그인은 일일 검색 서비스도 제공합니다. 웹사이트가 맬웨어에 감염된 경우 플러그인이 해킹된 웹사이트를 복구하는 데 도움이 됩니다. 웹사이트 보안을 완전히 관리하기 위해 WordPress 웹사이트 유지 관리 서비스를 직접 제공하는 팀이 더 편하다면 WP Buffs가 좋은 선택이 될 것입니다. 웹사이트 1개를 관리하든 1000개를 관리하든 상관없이 업데이트, 보안, 웹사이트 속도 및 지속적인 편집을 관리합니다!
다음은?
좋은 WordPress 보안 플러그인을 사용하는 것은 안전한 웹사이트를 구축하거나 WordPress를 안전하게 유지하기 위한 첫 번째 단계입니다. 더 많은 보안 조치를 취하려면 IP 차단, 로그인 페이지 보호, WordPress 보안에 대한 이 전체 가이드에 따라 자세히 알아보기 등이 있습니다. WordPress 사이트를 보호하는 방법.
과거에 이러한 실수를 저질렀다면 이 게시물이 여러분이 무엇을 잘못하고 있고 어떻게 고칠 수 있는지 확인하는 데 도움이 되었기를 바랍니다. 이러한 WordPress 보안 실수 및 수정 사항과 관련하여 질문이 있으시면 언제든지 환영합니다. 문의하기 페이지를 통해 연락해 주십시오.