모든 워드프레스 사이트에는 'wp-config.php'라는 파일이 있습니다. 이 특정 WordPress 구성 파일은 가장 중요한 WordPress 파일 중 하나입니다. 파일에는 더 나은 사이트 보안을 위해 수정할 수 있는 많은 구성 매개변수가 포함되어 있습니다. 이 게시물에서는 WordPress 구성 파일을 사용하여 WordPress 사이트를 보호하는 방법을 보여줍니다.
wp-config 파일을 사용하여 WordPress 사이트를 보호하는 방법
1. 데이터베이스 접두사 변경
WordPress 데이터베이스 테이블을 본 적이 있습니까? (웹 호스트 계정을 통해 액세스할 수 있습니다.) 기본적으로 데이터베이스에는 11개의 테이블이 있습니다. 각 테이블에는 특정 기능이 있습니다. 예를 들어 wp_posts는 게시물, 페이지 및 탐색 메뉴의 정보를 저장합니다. 각 테이블의 기능이 미리 정해져 있기 때문에 해커는 사이트 세부정보가 저장된 위치를 알고 있습니다. 예를 들어 사이트 사용자를 악용하려는 경우 'wp_users' 테이블을 목표로 할 수 있습니다.
WordPress는 기본적으로 모든 테이블에 'wp_' 접두사를 사용합니다. 이것을 고유한 접두사로 변경하면 테이블 이름을 숨기는 데 도움이 될 수 있으며 WordPress 사이트를 보호하는 데 도움이 됩니다. 이렇게 하려면 'wp-config' 파일을 엽니다.
1단계: wp-config.php에 액세스하려면 웹 호스트 계정을 엽니다. cPanel로 이동 . 파일 관리자 선택 , 다음과 같은 페이지로 이동합니다.
2단계: 왼쪽에는 public_html 폴더가 있습니다. . 이 폴더에서 wp-config를 찾을 수 있습니다. 파일.
'wp-config' 파일에서 다음 행을 배치하십시오.
[code]$table_prefix = ‘wp_’;[/code] You need to change it to something random like: [code]$table_prefix = ‘agora_’;[/code]
이것은 데이터베이스의 테이블 이름을 'wp_users'에서 'wp_agora'로, 'wp_posts'에서 'wp_agora' 등으로 변경합니다.
2. 테마/플러그인 파일 편집 비활성화
워드프레스 대시보드에는 플러그인/테마 파일을 편집할 수 있는 옵션이 있습니다. 즉, 대시보드에 대한 액세스 권한과 충분한 권한이 있으면 누구나 테마 또는 플러그인을 편집할 수 있습니다.
플러그인을 재구성하려는 경우 편리한 도구이지만 해커의 손에 들어가면 위험합니다. 예를 들어 해커가 익스플로잇을 통해 사이트에 침입했다고 가정합니다. 기존 플러그인이나 테마에 맬웨어를 쉽게 추가할 수 있습니다. 그들은 나중에 원할 때마다 사이트에 액세스하기 위해 악용할 백도어를 숨길 수 있습니다. 이러한 파일을 편집하는 옵션을 비활성화하여 이러한 일이 발생하지 않도록 방지하고 WordPress 사이트를 보호할 수 있습니다. WordPress 구성 파일에 다음 코드를 삽입하기만 하면 됩니다.
[code]define(‘DISALLOW_FILE_EDIT’,true);[/code]
3. 사용자가 플러그인 및 테마를 설치하거나 업데이트하지 못하도록 방지
사용자가 이러한 파일을 편집하지 못하도록 하면 한 가지 수준의 보안만 제공됩니다. 해커가 사이트를 악용하는 데 사용할 수 있는 악성 플러그인을 설치하는 것을 방지하지 못합니다. 적절한 사용자 권한과 함께 관리자 패널에 액세스할 수 있으면 불량 테마 또는 플러그인을 설치할 수 있습니다. 플러그인을 자주 설치하지 않는 경우 WordPress 구성 파일에 다음 코드를 추가하여 옵션을 비활성화할 수 있습니다.
[code]define(‘DISALLOW_FILE_MODS’,true);[/code]
4. 'FTP' 사용 시행
사용자가 플러그인과 테마를 설치하고 업데이트하지 못하도록 하는 것은 플러그인을 자주 설치하는 사이트의 경우 제한적이고 심지어 비실용적일 수 있습니다. 또한 테마 및 플러그인 업데이트는 사이트 보안을 위해 매우 중요합니다. 유효한 사용자가 플러그인을 설치하고 있는지 확인하는 다른 방법은 사용자가 'FTP' 세부 정보를 제공하도록 하는 것입니다. 관리자 패널이 손상되더라도 해커는 FTP 자격 증명이 없으면 악성 플러그인을 설치할 수 없습니다.
'wp-config.php'에 다음 줄을 추가하기만 하면 됩니다.
[code]define(‘FS_METHOD’, ‘ftpext’);[/code]
웹 호스트 또는 서버가 'FTPS'를 지원하는 경우 구성 파일에 다음 행을 추가하십시오.
[code]define(‘FTP_SSL’, true);[/code]
웹 호스트 또는 서버가 'SFTP'를 지원하는 경우 다음 행을 추가하십시오.
[code]define(‘FS_METHOD’, ‘ssh2’);[/code]
5. 보안 키 변경
사이트에 로그인해야 할 때마다 로그인 자격 증명을 입력할 필요가 없습니다. 브라우저가 이러한 자격 증명을 어떻게 저장하는지 궁금하신가요? 귀하의 계정에 로그인한 후 귀하의 로그인 정보는 브라우저 쿠키에 암호화된 방식으로 저장됩니다. 보안 키는 이 암호화를 개선하는 데 도움이 되는 임의 변수입니다. 사이트가 해킹된 경우 비밀 키를 변경하면 쿠키가 무효화되고 모든 활성 사용자가 자동으로 로그아웃됩니다. 일단 쫓겨나면 해커는 WordPress 관리자에 대한 액세스 권한을 잃게 됩니다.
새로운 보안 키 세트를 생성하여 'wp-config' 파일에 저장할 수 있습니다. WordPress 사이트를 보호하는 데 도움이 됩니다.
6. 'wp-config.php' 숨기기
모든 WordPress 사이트에서 wp-config 파일에는 기본 위치가 있습니다. 따라서 파일 위치를 변경하면 파일이 해커의 손에 들어가는 것을 방지할 수 있습니다. 다행히 WordPress는 'wp-config' 폴더가 WordPress 설치 외부에 있도록 허용합니다. 예를 들어, 워드프레스가 public_html 폴더에 설치되어 있다면, 구성 파일은 기본적으로 public_html 폴더에 있을 것입니다. 그러나 wp-config를 public_html 폴더 외부로 이동할 수 있으며 여전히 작동합니다.
7. wp-config.php 파일 보호
구성은 공격에 취약하므로 보안이 필수적입니다. 이를 수행하는 한 가지 방법은 해커가 기본 위치에서 찾을 수 없도록 위치를 변경하는 것입니다. 일부 개발자는 이에 반대할 수 있지만 좋은 생각이라고 생각하는 개발자가 많이 있습니다. 이 토론을 살펴보십시오.
취할 수 있는 또 다른 보안 조치는 파일 권한을 제한하는 것입니다. 진정한 소유자만 wp-config 파일을 편집할 수 있도록 파일 권한을 600으로 설정하십시오. wp-config의 파일 권한을 변경하려면 파일을 선택한 다음 '권한' 옵션을 선택합니다.
그런 다음 해커가 브라우저에서 직접 wp-config 파일을 로드하지 못하도록 .htaccess 파일에 다음 행을 포함해야 합니다.
# protect wpconfig.php <files wp-config.php> order allow,deny deny from all </files>
당신에게로
이를 통해 wp-config 파일로 WordPress 사이트를 보호하는 방법을 다루었지만 이것은 사이트 보안을 향상시키는 여러 방법 중 하나일 뿐입니다. 취할 수 있는 몇 가지 다른 보안 조치에는 보안 플러그인 사용, SSL 인증서 사용, 고유하고 강력한 사용자 이름 및 비밀번호 사용, HTTP 인증 구현, 이중 인증이 포함됩니다. 그러나 이러한 방법을 구현하기 전에 사이트를 백업해야 합니다. 문제가 발생하면 백업을 복원하고 즉시 사이트를 가동할 수 있습니다.