보안 WordPress 관리자: 하루 1분마다 워드프레스 웹사이트에서 90,000건 이상의 해킹 시도가 이루어진다는 사실을 알고 계셨습니까? 이것이 의미하는 바는 사이트가 크든 작든 상관없이 웹사이트에 대한 해킹 시도가 임박했다는 것입니다. 보안은 웹사이트의 가장 큰 관심사 중 하나입니다.
해커는 WordPress 웹 사이트를 해킹하기 위해 다양한 기술에 의존하며 무차별 대입 공격이 그러한 기술 중 하나입니다. 여기에는 웹 사이트 로그인 페이지에서 일반적으로 사용되는 사용자 이름과 비밀번호의 조합을 시도하는 것이 포함됩니다.
무차별 대입 공격에 성공하면 WordPress 관리자에 액세스할 수 있습니다. WordPress 관리 영역은 WordPress 기반 웹사이트의 관리 센터입니다. 관리자에 대한 전체 액세스 권한이 있는 사람은 누구나 사이트를 완전히 제어할 수 있습니다. 따라서 무차별 대입 공격으로부터 WordPress 관리자를 보호하는 것이 중요합니다.
WordPress 관리자를 보호하는 방법
해킹 시도로부터 사이트의 WordPress 관리자를 보호하는 데 도움이 되는 여러 기술을 생각해 냈습니다.
1. 강력한 암호 사용
웹사이트 소유자가 저지르는 가장 흔한 실수 중 하나는 약한 비밀번호를 사용하는 것입니다. 수년에 걸쳐 암호 크래킹 기술이 성숙해졌습니다. 추측하기 쉬운 암호는 몇 분 안에 크랙됩니다. 강력한 암호는 정통한 암호 크래킹 기술로부터 사이트를 보호하는 데 도움이 됩니다. 다음은 WordPress 사이트에 매우 강력한 비밀번호를 만드는 방법에 대한 훌륭한 기사입니다.
그러나 강력한 암호를 기억하는 것은 문제가 될 수 있습니다. 이 게시물은 강력한 WordPress 비밀번호를 관리하는 방법을 설명합니다.
많은 사람들이 저지르는 또 다른 매우 일반적인 실수는 여러 사이트에서 동일한 비밀번호를 사용하는 것입니다. 하나의 비밀번호가 손상되면 해당 비밀번호와 연결된 모든 계정이 손상됩니다. 따라서 계정에 다른 암호를 사용하면 이러한 상황을 피할 수 있습니다.
2. 일반 사용자 이름 사용을 피하십시오
WordPress 비밀번호 보호는 WordPress 로그인 자격 증명을 보호하기 위한 중요한 단계입니다. 로그인 자격 증명의 두 번째 구성 요소는 사용자 이름입니다. 사용자 이름이 추측하기 쉬운 경우 해커는 비밀번호에만 집중하면 됩니다.
가장 일반적인 WordPress 사용자 이름 중 하나는 "admin"입니다. 몇 년 전까지 WordPress는 사용자 이름으로 "admin"을 자동 제안했습니다. WordPress에서 "admin" 권장을 중단했지만 많은 사이트 소유자가 여전히 사용하고 있습니다. "admin"을 사용자 이름으로 사용하여 여러 새 사용자 계정이 생성되고 있습니다. 이 모든 웹사이트는 스스로를 쉽게 표적으로 삼고 있습니다.
워드프레스는 고유한 사용자 이름을 사용하지 않기 때문에 일반 사용자 이름을 사용하는 사용자가 없고 "admin"으로 새 계정을 만드는 사람이 없는지 확인해야 합니다. 피해야 할 사용자 이름을 알 수 있도록 일반적으로 사용되는 사용자 이름의 전체 목록을 살펴보십시오.
3. WordPress 로그인 페이지 숨기기
WordPress 웹 사이트는 미리 결정된 방식으로 작동합니다. 예를 들어 모든 WordPress 웹사이트에는 “www.anysite.com/wp-admin”과 같은 기본 로그인 페이지가 있습니다. 이렇게 하면 해커가 여러 대상 WordPress 사이트에 자동 공격을 동시에 시작할 수 있기 때문에 해커의 작업이 더 쉬워집니다. 그러나 로그인 페이지를 변경하여 숨기면 사이트에서 이러한 유형의 공격을 방지할 수 있습니다.
로그인 페이지를 변경하고 플러그인이 제안하는 URL을 사용하는 데 사용할 수 있는 플러그인이 많이 있습니다. 동일한 플러그인을 사용하는 다른 웹사이트가 동일한 URL을 사용하고 있을 가능성이 있습니다. 그리고 해커가 URL 형식을 알고 있다면 로그인 페이지를 숨기는 것은 아무 소용이 없습니다. 따라서 사용자 정의 로그인 페이지 URL을 만들 수 있는 도구를 사용하십시오.
4. HTTP 인증 구현
WordPress 관리자를 보호하기 위해 전체 wp-admin 폴더를 암호로 보호할 수 있습니다. wp-admin 폴더에는 WordPress 대시보드를 구동하는 관리 파일이 포함되어 있습니다. 이 폴더에 대한 액세스 권한이 있는 모든 사용자는 전체 사이트를 제어할 수 있습니다. 비밀번호가 전체 폴더를 보호하는 경우 누군가가 관리 섹션을 요청할 때마다 서버 킥이 인증 프로세스를 시작합니다. 브라우저는 사용자에게 HTTP 인증 암호를 묻습니다. HTTP Auth, AskApache Password Protect 등과 같이 WordPress 관리자에서 HTTP 인증을 구현하는 데 사용할 수 있는 많은 도구가 있습니다.
5. Google OTP 사용
요즘 웹사이트 해킹 기술이 점점 더 정교해짐에 따라 강력한 사용자 자격 증명과 함께 로그인 보호의 또 다른 계층을 추가하는 것이 일반적입니다. 이 기술을 2FA(2단계 인증)라고 합니다. 이 방법은 스마트폰으로만 받을 수 있는 코드를 보내는 것입니다. WordPress 대시보드에 대한 액세스 권한을 부여받기 전에 사이트에 고유 코드를 입력해야 합니다. 이 접근 방식의 이점은 해커가 귀하의 자격 증명을 크래킹하더라도 여전히 귀하의 기기에만 코드를 전송해야 한다는 것입니다.
2단계 인증에 사용할 수 있는 WordPress 플러그인이 많이 있습니다. WordPress 관리자를 보호하기 위해 Mini Orange를 사용하여 사이트에서 2FA를 활성화하고 이에 대한 가이드를 작성했습니다.
6. 로그인 시도 실패 횟수 제한
무차별 대입 공격을 받는 웹 사이트는 수백 번의 로그인 시도 실패를 경험합니다. WordPress 관리자에 대한 이러한 무자비한 공격을 방지하기 위해 사이트에서 실패한 로그인 시도 횟수를 제한할 수 있습니다. MalCare 보안 플러그인은 사용자가 로그인 시도 3회 실패 후 로그인을 시도하지 못하도록 합니다. WordPress 로그인 페이지에 다시 액세스하려면 보안 문자를 해결해야 합니다. 이를 통해 사용자가 사람인지 또는 사이트에서 무차별 대입 공격을 시도하는 자동화된 봇인지 확인하는 데 도움이 됩니다.
7. SSL 인증서 설치
웹사이트 URL을 확인하세요! 옆에 "보안"이라는 단어가 있는 녹색 자물쇠가 보입니까? 우리 사이트에는 SSL 인증서가 설치되어 있어 아무도 우리 사용자의 로그인 자격 증명을 스누핑하거나 읽을 수 없습니다. SSL 인증서가 없는 웹사이트는 사이트의 민감한 정보가 무의식적으로 노출될 위험이 있습니다.
예전에는 SSL 인증서가 결제 페이지 또는 WordPress 관리 영역용이었습니다. 그러나 이제 SSL 인증서가 전체 사이트를 보호하는 데 도움이 될 수 있습니다. 웹을 더 안전한 곳으로 만들기 위한 노력에서 Google은 SSL 인증서가 순위 요소임을 분명히 밝혔습니다. Comodo, Let's Encrypt와 같은 공급자로부터 SSL 인증서를 얻을 수 있으며 웹 호스트가 사이트에 인증서를 설정하는 데 도움을 줄 것입니다.
8. 악성 IP 주소 블랙리스트
인터넷을 사용하는 모든 사람은 IP 주소를 가지고 있습니다. 해커가 WordPress 웹사이트에 공격을 가하는 경우에도 IP 주소가 있습니다. 이러한 IP 주소를 기록해두면 사이트에 액세스하지 못하도록 차단할 수 있습니다. MalCare – 최고의 WordPress 보안 플러그인 중 하나는 사이트에서 실패한 로그인 시도에 대한 세부 정보(IP 주소)를 제공합니다. 거의 정기적으로 동일한 IP에서 많은 시도가 실패하는 것을 관찰하는 경우 .htaccess 파일에 다음 코드를 삽입하기만 하면 이러한 의심스러운 IP가 웹사이트에 액세스하는 것을 차단할 수 있습니다.
order allow,deny deny from 192.168.20.10 allow from all
“192.168.20.10” is the IP address we wanted to block on one of our sites. You can replace it with the IP you want to block.
9. Change Security Keys
You don’t have to enter your login credentials every time you need to log in to your site. Ever wondered how your browser stores these credentials? After you sign into your account, your login information is stored in an encrypted manner in the browser cookie. Security keys are just random variables that help improve this encryption. If your site is hacked, changing the secret keys will invalidate cookie and force every active user to log out automatically. Once thrown out, the hacker losses access your WordPress admin.
당신에게로
There is no one way to secure a WordPress admin hence be sure to use multiple methods. We shared with you some of the most recommended ways to secure WordPress admin. But before implementing any of these methods, you must back up your site. If something goes wrong, you can simply restore a backup and get our site up and running in no time.
Besides these, you can take a few more security measures like IP blocking, protecting the login page, securing site with wp-config.php, following this complete guide on WordPress security, and by installing a WordPress security plugin like MalCare.
MalCare will help you implement some of the measures we have mentioned above. For instance, MalCare Security Plugin will help you change security keys, limit the number of failed login attempts, keep your website update, among other things.
Try MalCare Security Plugin Right Now!