WordPress 파일 및 디렉토리는 사이트를 안전하게 유지하는 데 중요한 역할을 합니다. WordPress를 설치한 후 올바르게 설정하는 것이 가장 중요한 우선 순위 중 하나여야 합니다. 누가 어떤 파일을 볼 수 있고 어떤 작업을 수행할 수 있는지에 대한 적절한 권한을 설정하면 사이트 보안 상태가 크게 향상됩니다. 이 게시물에서는 PHP 실행과 디렉토리 탐색을 모두 비활성화하여 사이트 보안을 향상시킬 수 있는 방법에 대해 설명합니다.
PHP 실행 비활성화:이유와 방법
업로드, 테마 또는 플러그인과 같은 특정 WordPress 폴더는 기본적으로 쓰기 가능합니다. 이 유형의 권한을 통해 사용자는 사이트에 이미지와 비디오를 업로드할 수 있습니다. 또는 사이트에 테마 및 플러그인을 설치합니다. 플러그인이나 테마를 설치할 때마다 새 파일이 해당 폴더에 저장됩니다. Theme 및 Plugins 폴더에 쓰기가 불가능한 경우에는 불가능합니다.
많은 사람들이 WordPress를 사용하여 사이트를 구축하는 것을 선호하는 이유 중 하나는 테마와 플러그인을 사용하여 사이트를 쉽게 사용자 정의할 수 있는 기능입니다. 테마 및 플러그인 폴더는 기본적으로 쓰기가 가능하기 때문에 누구나 웹사이트에 모든 테마 또는 플러그인을 설치할 수 있습니다. 하지만 불행히도 이러한 유형의 권한은 피싱 공격, SEO 스팸, 무차별 대입 공격 등과 같은 해킹 공격의 가능성도 열어줍니다. 해커는 원격으로 실행할 수 있는 악성 스크립트를 이용하고 업로드할 수 있습니다. 이것은 그들이 귀하의 사이트에 대한 전체 액세스 권한을 얻거나 귀하의 웹사이트를 파괴하는 데 도움이 될 것입니다.
Mailpoet Hack은 해커가 사이트를 제어하기 위해 실행한 Upload 폴더에 악성 PHP 코드를 업로드하도록 허용한 것을 기억할 수 있습니다.
쓰기 권한을 제거하면 이미지를 업로드하거나 사이트에 플러그인과 테마를 설치할 수 없기 때문에 편리하지 않습니다. 하지만 당신이 할 수 있는 일은 PHP 실행을 비활성화하여 성공적인 공격의 범위를 줄이는 것입니다. 특정 폴더에서 실행할 수 있는 권한을 제거합니다.
PHP 실행을 비활성화하는 간단한 방법은 PHP 실행을 비활성화하려는 특정 폴더의 .htacess 파일에 특수 코드를 배치하는 것입니다.
참고: 파일을 수정하기 전에 사이트를 백업하십시오. 우리가 따를 단계에서 한 번의 실수로 사이트가 손상되거나 다른 문제가 발생할 수 있습니다. 백업을 통해 문제가 발생했을 때 사이트의 작업 복사본으로 신속하게 되돌릴 수 있습니다.
1단계: Uploads 폴더에서 PHP 실행을 비활성화하려면 Upload 폴더에 .htaccess 파일을 생성하기만 하면 됩니다. public_html 아래의 wp-content에서 폴더를 찾을 수 있습니다.
2단계: 이제 메모장(Windows의 경우) 또는 TextEdit(Mac의 경우)를 열어 파일을 만듭니다. 다음 코드를 포함하고 이 파일을 .htaccess(.htaccess.txt가 아님)로 저장합니다.
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L] RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L] </IfModule>
# END WordPress 3단계: 코드를 저장하고 업로드 폴더에 파일을 업로드하세요.
4단계: 이제 업로드 폴더에 새 .htaccess 파일이 있습니다. 마우스 오른쪽 버튼을 클릭하고 편집을 선택합니다. 새로운 .htaccess 파일에 다음 코드를 삽입하십시오.
<FilesMatch “\.(php|php\.)$”> Order Allow,Deny Deny from all </FilesMatch>
아래 이미지에서 코드를 .htaccess 파일에 배치했습니다.
이렇게 하면 "PHP"가 있는 모든 파일이 포착되어 실행이 방지됩니다. 해커가 "mailciousPHPFileDisguisedAsJPEFfile.php.jpg"와 같은 파일을 업로드하면 실행이 차단됩니다.
최대 보안을 위해 플러그인 및 테마 폴더의 .htaccess 파일에도 코드를 추가할 수 있습니다.
PHP 실행을 수동으로 비활성화하는 것은 약간 위험합니다. 파일 관리자에서 조심스럽게 밟아야 합니다. 한 번의 실수로 사이트에 심각한 손상을 줄 수 있습니다. 플러그인을 사용하여 PHP 실행을 비활성화하는 것이 더 쉽고 덜 위험합니다. MalCare 보안 서비스에는 사용자가 PHP 실행을 차단할 수 있는 사이트 강화 기능이 있습니다.
이 기능을 사용하려면 FTP 세부 정보가 필요합니다.
PHP 실행을 비활성화하면 사이트 보안이 강화되지만 한 단계 더 나아가 디렉토리 탐색을 비활성화할 수 있습니다.
디렉토리 검색 중지:이유와 방법
때때로 방문자는 WordPress 사이트를 나열하는 디렉토리를 쉽게 볼 수 있습니다. 예를 들어 Westworld Fansite 웹사이트 방문자는 브라우저에서 "https://westworldfansite.com/wp-includes/"를 열면 wp-includes 폴더에 나열된 파일을 볼 수 있습니다.
무해해 보일 수 있지만 디렉토리 목록은 해커가 사이트에 액세스하기 위해 악용할 수 있는 민감한 정보를 드러낼 수 있습니다. 따라서 목록을 숨겨야 합니다. 비명에 의한 보안은 일반적으로 눈살을 찌푸리게 하지만 가능한 한 많은 정보를 숨기는 것이 가장 좋습니다. 해커가 귀하에 대해 덜 알수록 귀하를 공격할 가능성이 낮아집니다.
사이트 보안을 강화하기 위해 .htaccess 파일에 다음 코드를 배치하여 디렉토리 탐색을 비활성화하기로 결정했습니다.
.htaccess 파일을 수정하기 전에 사이트를 백업해야 합니다. 한 번의 실수로 인해 사이트에 큰 문제가 발생할 수 있습니다. 백업을 통해 문제가 발생했을 때 사이트의 작업 복사본으로 신속하게 되돌릴 수 있습니다.
사용자가 탐색을 방지할 수 있도록 하려는 디렉토리의 .htaccess 파일을 편집하는 것을 잊지 마십시오. 예를 들어, wp-include 폴더를 보호하려면 wp-include 폴더의 .htaccess 파일에 다음 줄을 추가하십시오.
Options All –Indexes
코드를 저장한 후 디렉토리 목록을 보려고 했더니 403 오류 페이지가 나타났습니다.
당신에게로
PHP 실행 및 디렉토리 탐색을 비활성화하면 웹사이트 보안이 확실히 향상될 수 있지만 해킹 시도로부터 WordPress 사이트를 보호하는 여러 방법 중 하나일 뿐입니다. 취할 수 있는 몇 가지 다른 보안 조치로는 보안 플러그인 사용, SSL 인증서 사용, 고유하고 강력한 사용자 이름과 비밀번호 사용, HTTP 인증 및 이중 인증 구현 등이 있습니다.