현재 WordPress 디렉토리에 56,000개 이상의 플러그인이 있지만, 각 플러그인이 WordPress 웹사이트에 대한 잠재적인 보안 위협이 된다는 의미입니까? 처음부터 겁을 주는 것은 아니지만 WordPress는 가장 많이 해킹된 콘텐츠 관리 시스템이며 많은 WordPress 취약점은 플러그인에서 비롯됩니다. 사실, WPScan Vulnerability Database는 모든 WordPress 취약점 중에서 플러그인으로 인한 취약점이 23%까지 추가되는 것으로 나타났습니다(테마는 3%만 차지함). 보안은 웹사이트 구축을 시작하면 가장 신경써야 하는 것 중 하나입니다. 걱정할 것이 많지만 WordPress 플러그인도 그 중 하나인가요?
플러그인이 사이트를 취약하게 만들 수 있는지 조사하기 위해 더 자세히 살펴보겠습니다.
무엇이 사이트를 취약하게 만들 수 있습니까?
WordPress 사이트를 안전하게 만드는 길에서 가장 먼저 해야 할 일은 제거해야 할 위험을 파악하기 위해 먼저 취약하게 만들 수 있는 요소를 식별하는 것입니다. 이제 취약점을 유발할 수 있는 가장 일반적인 몇 가지 요소를 간단히 살펴보겠습니다.
- 약한 비밀번호 – 2017년 가장 흔한 비밀번호는 '123456'과 '비밀번호'였으므로 강력한(숫자와 기호가 포함된 최소 8자, 계정당 하나씩) 비밀번호를 만드는 것은 nr.1 보안 규칙이어야 합니다. .
- 잘못된 코딩 – 기술, 경험, 시간, 테스트 또는 기타 여러 요소가 부족하여 개발자는 코딩 중에 실수를 하거나 기능만큼 보안에 집중하지 않을 수 있습니다.
- 누락된 업데이트 – 업데이트는 일반적으로 일부 보안 패치를 제공하고 실수를 수정하며 (잠재적으로) 최상의 최신 버전을 제공하므로 오래된 설치는 공격을 받기 쉽습니다.
- 안전하지 않은 플러그인 및 테마 – 플러그인과 테마는 WordPress 취약점의 주요 구성 요소 중 일부입니다. 구식으로 인해 여러 가지 방법으로 취약점을 유발할 수 있습니다. 경험이 부족한 개발자가 구축했습니다. 최신 WordPress 버전 및 기타 여러 버전과 호환되지 않습니다.
플러그인이 안전한지 확인하는 방법
플러그인이 취약점의 원인이 될 수 있으므로 대규모 악의적인 해커의 게이트웨이 역할을 하지 않는 플러그인을 찾는 것이 중요합니다. 이전에 언급했듯이 WordPress 플러그인 디렉토리에는 현재 50,000개 이상의 플러그인이 있으며 웹 어디에서나 더 많은 플러그인을 사용할 수 있습니다. 그렇다면 어떤 플러그인을 사용하는 것이 안전한지 어떻게 알 수 있을까요? 새 플러그인을 사용하기 전에 주의해야 할 체크리스트를 만들었습니다.
유명한 출처
신뢰할 수 있는 소스에서만 플러그인을 다운로드하는 것이 중요합니다. 예:WPMayor와 같은 유명하고 신뢰할 수 있는 리소스를 방문하여 평판이 좋은 플러그인을 찾으십시오.
활성 설치 수
많은 사람들이 플러그인을 설치했다면, 플러그인에 대한 전반적인 만족도를 확인하기 위해 인기도와 체크리스트의 다른 포인트와 함께 좋은 지표입니다. 예:가장 인기 있는 WordPress SEO 플러그인 Yoast SEO는 현재 5백만 개 이상의 활성 설치가 있습니다.
평점
높은 평가는 플러그인을 설치한 사람들이 실제로 그것을 즐기고 심각한 문제를 일으키지 않았음을 의미합니다. 확실히 하기 위해 댓글 섹션(있는 경우)을 항상 확인하여 사람들이 정확히 무엇을 좋아하고 좋아하지 않는지 확인할 수 있습니다. 예:Slider Revolution은 평균 평점이 4.79인 베스트셀러 WordPress 플러그인 중 하나이므로 좋은 선택입니다.
최신 업데이트
업데이트가 정기적으로 릴리스되고 최신 업데이트가 최근에 릴리스되었는지 항상 확인하십시오. 이를 확인하는 방법은 여러 가지가 있지만 일반적으로 특정 플러그인의 웹사이트에 모든 릴리스, 날짜 및 기타 중요한 정보를 볼 수 있는 섹션이 있습니다. 예:Caldera Forms는 업데이트 후 최신 버전의 플러그인에 대한 새로운 기능, 수정 사항 및 일반 정보를 설명하는 기사를 게시합니다.
최신 WordPress 버전과의 호환성
플러그인은 최신 버전의 WordPress와 호환되어야 합니다. 관심 플러그인이 있는지 확인하는 한 가지 방법은 wordpress.org에 있습니다. 예:WooCommerce 플러그인은 WordPress 버전 4.7 이상과 호환되며 버전 4.9.8(현재 버전)까지 테스트되었습니다.
지원 가용성
사용 가능한 플러그인에 대한 지원 채널이 있는지 확인하는 것이 중요합니다. 플러그인 개발자가 사용자가 생각하고 도움을 주고 싶은 것에 관심이 있다는 사실을 보여주는 큰 지표이기 때문입니다. 예:BlogVault에는 웹사이트와 광범위한 문서에서 쉽게 찾고 사용할 수 있는 티켓 시스템이 있습니다.
호환성
플러그인이 다른 플러그인과 충돌을 일으키지 않는지 확인하십시오. 댓글이나 사용자 리뷰를 확인하여 불만 사항이 있는지 확인할 수 있습니다. 플러그인 작성자는 호환되는 플러그인의 이름도 자주 지정합니다. 모든 호환성 문제는 원하는 사이트를 갖는 데 심각한 장애물이 될 수 있습니다. 예:WPML에는 WPML이 다양한 WordPress 테마 및 플러그인과 완전히 호환되도록 하는 호환성 팀이 있습니다.
문서
여기에는 일반적으로 기능에 대한 자세한 설명(및 자습서), 릴리스 정보 및 유용할 수 있는 플러그인에 대한 기타 중요한 정보가 포함됩니다. 예:Visual Composer에는 초보자와 개발자 모두에게 가장 높이 평가되는 문서 및 비디오 자습서가 있으며 정기적으로 업데이트됩니다.
보안 검사
확실하지 않은 경우 보안 검사를 통해 실행하십시오. 예:최고의 WordPress 보안 플러그인 중 하나는 MalCare입니다. 맬웨어, 오래된 소프트웨어, 블랙리스트 상태를 감지하고 사이트를 정리하고 사이트 강화 조치를 취하는 데 도움이 됩니다.
주의해야 할 플러그인은 무엇입니까?
체크리스트 외에도 안전하지 않거나 취약점이 있는 것으로 분류된 특정 플러그인이 있습니다. 플러그인이 오래되었거나 많은 취약점이 있는 버전이 있을 수 있으므로 방문할 수 있는 웹사이트에서 안전하지 않은 플러그인 목록, 특정 취약점 및 상태를 포함하여 WordPress 환경의 안전에 대한 최신 정보를 볼 수 있습니다. 수정 여부), 치명적인 취약점과 더 중요한 정보가 포함된 플러그인 버전.
확인해야 할 리소스 목록은 다음과 같습니다.
- exploit-db – 익스플로잇 데이터베이스는 "공개 익스플로잇 및 해당 취약 소프트웨어의 아카이브"입니다.
- cvedetails – 보안 취약점 데이터베이스.
- 플러그인 취약성 – 다양한 방식으로 플러그인 취약성으로부터 사용자를 보호하는 서비스입니다.
데이터를 보호하는 방법
사이트가 안전하다고 생각하는 만큼 공격자가 더 똑똑하거나 데이터를 엉망으로 만드는 새로운 방법을 찾았을 가능성은 항상 있습니다. 고려해야 할 몇 가지 중요한 일이 있는 것을 방지하려면 정기적으로 업데이트하고 백업하십시오. 사이트를 보호하기 위해 할 수 있는 최소한의 조치이므로 WordPress 보안 만트라를 고려하십시오.
정기 업데이트
2017년에 해킹된 워드프레스 웹사이트의 39.3%가 오래된 버전을 가지고 있으므로 오래된 설치로 인해 사이트가 더욱 취약해질 수 있음을 알 수 있습니다. 2016년에 더 나은(또는 더 안전한) 느낌을 주기 위해 61%,였습니다. 하지만 그렇다고 해서 WordPress가 최신 버전이 아닌 시간을 연장해야 하는 것은 아닙니다.
WordPress 코어에만 취약점이 있는 것은 아닙니다. 앞서 언급했듯이 해킹의 상당 부분은 플러그인과 테마의 취약점으로 인해 발생하므로 업데이트가 있는 경우 보안 취약점이 발견되어 개발자가 다음 릴리스에서 이를 제거했기 때문일 수 있습니다. 업데이트가 누락되면 공격자에게 취약점을 악용하고 사이트를 해킹할 수 있는 기회가 주어집니다.
백업
Unfortunately, most people don’t think of backups unless they’ve experienced a situation when they have lost their data and have no way to retrieve it. There are many reasons you should always back up your site – issues with hosting, update complication, common hack attacks, and, many more.
It is not uncommon that people lose all of their data thanks to any of these reasons and restoring it can be a long and tedious process if it’s even possible. One of the best solutions to always be sure that you don’t lose data and it can easily be restored is regular backups, obviously.
Making regular backups might seem like a time-consuming thing at first, considering that it is advised to make backups frequently (as often as once a day), but there are services that make the process substantially easier and quicker.
So, Are Plugins Safe?
Ultimately, your WordPress site is as secure as you make it. There are many things that can make your WordPress site vulnerable, and yes, plugins are one of them, but it all comes down to the decisions you make while choosing a WordPress security plugin and dealing with the security of your site in general. There are simple steps you can take to really secure your website, so if you choose the plugins that are safe, update all installations and backup regularly, there is nothing to worry about.
Have you ever faced security issues on your WordPress installation that were related to plugins? Let us know in the comments!
Author of the Post: Irma Edite Girupniece is a video making machine who still believes she’s going to be an astronaut one day.