해킹하기 어려운 시스템이 있지만 웹사이트가 취약하고 기본적인 보안이 갖춰져 있지 않아 해킹을 당하는 경우가 더 많습니다.
이 기사에서는 WordPress 사이트를 강화하는 방법에 대해 설명합니다.
틀;DR: WordPress용 올인원 보안 제품군인 MalCare로 웹사이트를 보호하세요. MalCare를 사용하면 원클릭으로 WordPress 보안을 강화할 수도 있습니다.
시작하기 전에
목록을 구현하기 쉽도록 구성했으므로 맨 위에서 시작하여 목록 아래로 작업할 수 있습니다. MalCare를 설치하고 사이트 강화 옵션을 사용하여 시작하는 것이 좋습니다. 이는 올바른 방향으로 나아가는 큰 단계이며 더 많은 조치를 위해 여기로 돌아올 수 있습니다.
전문가 팁:보안 변경을 포함하여 변경하기 전에 항상 웹사이트를 백업하는 것이 좋습니다. 죄송합니다!
WordPress 보안을 강화하는 5가지 쉬운 방법
덜 매달린 과일로 이 목록을 시작합시다. 이러한 기본 설정을 제거하고 WordPress를 강화하는 과정에 대해 기분이 좋을 것입니다.
강력한 비밀번호 설정
암호는 아마도 모든 덜 매달린 과일 중 가장 낮은 것입니다. 그것이 아마도 그들이 종종 무시되는 이유 일 것입니다. 이것이 WordPress 사이트 목록을 강화하는 방법의 최상위에 있는 이유입니다.
암호는 기억하기 어렵고, 모범 사례 중 일부는 지루합니다. 중복 암호가 없습니다. 쉬운 암호가 아닙니다. 문자, 숫자 및 기호의 혼합; 이 목록은 특히 얼마나 많은 서비스를 사용하는지 계산하기 위해 멈출 때 정말 벅찹니다.
우리는 공감하므로 LastPass와 같은 암호 관리자를 사용하는 것이 좋습니다. 자동으로 생성된 숫자, 문자 및 기호 문자열을 사용하여 계정을 안전하게 보호하세요. 확률은 적지만 무차별 대입 공격은 이제 사전 공격을 사용하여 암호를 추측합니다.
강력한 비밀번호 사용 요구
강력한 암호라는 주제를 계속해서 설명하자면 이것은 할 일 목록의 다음 항목이 되어야 합니다.
여러 사용자가 웹사이트를 관리하는 경우 모든 사용자가 강력한 암호를 유지하고 정기적으로 변경하도록 해야 합니다. 이제 소규모에서는 이 작업이 더 쉬울 수 있지만 더 큰 팀에서는 이를 자동화하는 소프트웨어를 사용하는 것이 좋습니다.
취약한 비밀번호를 선택하면 기본적으로 WordPress에서 경고를 표시합니다.
그러나 '약한 비밀번호 사용 확인'을 선택하여 무시하도록 선택할 수 있습니다. 그렇게 하면 웹사이트가 공격에 취약해집니다.
사용자가 비밀번호를 업데이트하도록 강제하기 위해 Expire 비밀번호와 같은 플러그인이 있었습니다. 암호가 만료되기 전에 최대 일 수를 설정할 수 있습니다. 그러나 이러한 플러그인의 대부분은 오랫동안 업데이트되지 않았으므로 사용을 권장하지 않습니다.
최소 권한 구현
WordPress 웹 사이트에는 최고 관리자, 관리자, 편집자, 작성자, 기고자 및 구독자의 6가지 사전 정의된 역할이 있습니다. 각 역할에는 권한 집합이 있으므로 일부 작업을 수행할 수 있습니다. 이러한 작업을 기능이라고 합니다. 역할 및 기능의 전체 목록은 여기에 있습니다.
참고:단일 웹 사이트의 경우 관리자 역할이 가장 강력하지만 다중 사이트의 경우 최고 관리자 역할입니다.
단일 웹 사이트가 있는 경우 제한된 수의 관리자만 있으면 됩니다. 사실, 여기에서 경험적으로 볼 수 있는 규칙은 가능한 한 적은 수의 관리자를 관리할 수 있다는 것입니다. 추론은 간단합니다. 해커가 관리자 자격 증명을 도용할 위험을 줄이는 것입니다.
SSL 설치
SSL은 암호화된 연결을 통해 사용자와 서버 간에 데이터를 안전하게 전송하는 방법입니다.
좋은 보안 관행이라는 사실과는 별개로 Google은 웹사이트에 SSL이 있어야 한다고 요구합니다. 웹 사이트가 HTTP 대신 HTTPS에서 실행됨을 나타내는 쾌적한 녹색 잠금 대신 브라우저에 "안전하지 않음"을 표시하여 웹 사이트에 불이익을 주는 경향이 있습니다.
예전에는 SSL 인증서를 설치하는 것이 상당히 복잡했지만 이제는 그렇지 않습니다. SSL 설치에 대한 완전한 가이드와 모든 페이지가 HTTPS인지 확인하는 또 다른 가이드가 있습니다.
WordPress 보안 플러그인 설정
지금까지 목록에 있는 다른 모든 항목은 웹사이트에 수동으로 추가한 것입니다. 너무 많은 구성이나 플러그인 설치가 필요하지 않은 쉬운 것이므로 안심하십시오.
이 목록의 나머지 부분은 그렇게 간단하지 않습니다. MalCare의 사이트 강화 기능에는 많은 조치가 포함되어 있습니다.
플러그인을 설치하고 대시보드를 사용하여 조치를 설정하면 상당한 시간을 절약할 수 있습니다. 지금 사용해 보세요.
워드프레스를 강화하기 위한 6가지 MEDIUM 조치
이 섹션에 포함된 각 WordPress 강화 조치에는 플러그인 설치가 포함됩니다. 플러그인은 종종 취약점을 포함하고 감염의 진입점이 되므로 가볍게 설치하지 않는 것이 좋습니다. 다음 보안 조치를 수행하기 위해 플러그인을 선택할 때 신중을 기하십시오.
2단계 인증
해커가 웹사이트에 침입하는 가장 일반적인 방법 중 하나는 로그인 페이지를 통하는 것입니다. 그들은 봇을 사용하여 웹 사이트의 로그인 자격 증명을 추측하는 무차별 대입 공격이라는 기술을 사용합니다. 해커가 침입할 수 있는 또 다른 방법은 데이터가 다른 웹사이트에서 유출된 경우입니다. 해커는 많은 사람들이 인터넷에서 여러 계정에 대해 동일한 사용자 이름과 비밀번호를 사용한다는 것을 알고 있으므로 추측 게임을 하기가 더 쉬워집니다!
자신을 보호하기 위해 최고 관리자, 관리자, 편집자, 작성자, 기고자, 구독자 등 모든 사용자에 대해 2단계 인증을 추가할 수 있습니다.
예를 들어 Gmail과 같은 많은 웹사이트는 사용자에게 계정 로그인을 위한 2단계 인증 옵션을 제공합니다. 이를 위해서는 사용자가 먼저 로그인 세부 정보를 제공한 다음 실시간으로 생성되는 비밀번호를 입력해야 합니다(일반적으로 등록된 전화 번호로 전송되는 1회용 비밀번호). 해커가 계정을 해킹하거나 WordPress 대시보드에 액세스하기가 더 어려워집니다.
로그인 시도 제한
웹사이트, 특히 은행이 사용자에게 사용자 이름과 비밀번호를 정확히 세 번만 시도하도록 하는 데는 이유가 있습니다. 그 후 '비밀번호 찾기' 옵션이 제공되거나 계정이 잠길 수도 있습니다. 아래 이미지는 사용자가 잘못된 자격 증명으로 로그인을 시도했을 때 생성되어 로그인 화면에 표시되는 경고의 예입니다.
이는 본질적으로 무차별 대입 공격을 제거하고 해커와 사기꾼의 성공을 줄이기 위한 것입니다.
기본적으로 WordPress는 로그인 시도 횟수에 제한이 없습니다. 웹사이트에서 제한된 로그인 시도를 활성화하면 보안이 강화되고 해커가 수천 가지 조합을 시도하지 못하도록 차단할 수 있습니다. 웹사이트에서 로그인 시도를 제한할 수 있는 세 가지 방법이 있습니다.
- Limit Login Attempts Reloaded와 같은 플러그인을 설치할 수 있습니다.
- 웹사이트에 MalCare 보안 플러그인이 이미 활성화되어 있는 경우 실패한 시도에 대해 로그인 보호가 자동으로 제한됩니다. 플러그인은 악성 봇이 사이트에 액세스하는 것을 방지하는 보안 문자 기반 보호 기능을 구현합니다.
- functions.php 파일에 수동으로 코드를 삽입합니다. 해당 콜백 함수로 WordPress 작업 및 후크 필터를 추가해야 합니다. 이 방법은 기술적이고 위험합니다. 코딩에 익숙하지 않다면 시도하지 않는 것이 좋습니다.
세 번째 옵션에 대한 코드와 로그인 시도 제한에 대한 자세한 설명은 기사에서 찾을 수 있습니다.
감사 기록 보관
이것은 자체적으로 WordPress 강화 조치가 아닐 수 있지만 절대적으로 있어야 하는 보안 조치입니다.
웹사이트에서 일어나는 모든 일을 추적하는 WP Security Audit Log와 같은 플러그인을 설치하기만 하면 됩니다. 이러한 방식으로 사용자가 무엇을 언제 하는지 정확히 알 수 있습니다. 그런 다음 웹사이트에서 일어나는 일을 모니터링하고 사용자가 자신의 행동에 대해 책임을 지도록 할 수 있습니다.
플러그인은 로그인, 로그아웃, 변경 사항, 생성, 수정, 삭제, 추가, 업데이트 등 모든 것을 추적합니다. 해킹을 당한 경우 활동 로그를 참조하여 의심스러운 활동이나 변경 사항을 식별할 수 있습니다.
웹 사이트에 중요한 변경 사항이 있는 경우 즉시 알림을 받을 수 있습니다. 클릭 한 번으로 모든 사용자를 로그오프하거나 차단할 수도 있습니다.
비활성 사용자 자동 로그아웃
이 기능은 주로 일정 기간 사용하지 않으면 로그아웃되는 은행 웹사이트 및 앱에서 볼 수 있습니다. 이는 무단 액세스로부터 계정을 보호하기 위한 것입니다.
이를 설정하려면 유휴 세션 로그아웃 기능이 있는 플러그인을 사용할 수 있습니다.
의심스러운 WordPress 로그인에 대한 알림 설정
해커는 보안 기능을 우회하는 방법을 끊임없이 찾고 있으므로 우리는 경계해야 합니다. 의심스러운 활동이 발생했을 때 이를 알리도록 웹사이트에 알림을 설정하는 것이 좋습니다.
이렇게 하려면 MalCare와 같은 보안 플러그인을 사용해야 합니다. 지속적으로 사이트를 검사하고 악성코드나 의심스러운 것이 감지되면 알려줍니다.
웹 애플리케이션 방화벽 설정
웹 응용 프로그램 방화벽은 해커가 웹 사이트를 방문하기 전에도 차단합니다. 인터넷에 연결된 모든 장치에 할당된 숫자 식별자인 IP 주소를 추적하여 이를 수행합니다.
IP가 이전에 악의적인 활동을 수행한 경우 해당 사이트에 표시되고 차단됩니다.
보안 플러그인을 사용하여 방화벽을 설정하고 웹사이트를 최대한 보호할 수 있습니다.
7 COMPLEX WordPress 강화 방법
이제 우리는 WordPress를 강화하기 위해 진짜 쓰레기 같은 것들에 왔습니다. 다음 조치에는 약간의 코딩 또는 개발 경험이 필요합니다. 그렇지 않으면 실수로 인해 사이트 충돌 및 고장이 발생할 수 있습니다.
이러한 강화 방법은 주의해서 진행하고, 아직 수행하지 않았다면 웹사이트를 백업하세요.
신뢰할 수 없는 폴더에서 PHP 실행 차단
이것은 약간 기술적이지만 가능한 한 단순화하려고 노력하겠습니다.
먼저 PHP가 웹 개발에 사용되는 스크립팅 언어라는 것을 알아야 합니다. PHP 함수는 특정 작업을 수행하기 위해 실행할 수 있는 프로그램으로 작성된 코드 블록입니다. 다음으로 WP 웹 사이트는 파일과 폴더로 구성됩니다. 그러나 특정 파일과 폴더만 php 기능을 사용합니다. 해커가 웹사이트에 액세스하면 자신의 폴더를 만들거나 PHP 기능을 기존 폴더에 삽입할 수 있습니다.
이러한 해킹을 방지하기 위해 알 수 없는 폴더에서 PHP 기능의 실행을 차단할 수 있습니다. 그리고 필요하지 않은 곳에서 PHP 실행을 비활성화할 수도 있습니다.
이를 위해 다음 단계를 따르십시오:
주의: WordPress의 백엔드 파일 및 데이터베이스 테이블을 간섭하는 것은 위험한 비즈니스이며 사이트가 손상될 수 있습니다. 기술적인 지식이 필요합니다. 무엇을 하고 있는지 모르겠다면 전문가의 도움을 받는 것이 가장 좋습니다.
1. cPanel을 통해 웹사이트 파일에 액세스> 파일 관리자 . cPanel에 액세스할 수 없는 경우 FileZilla와 같은 FTP 클라이언트를 사용할 수 있습니다. 파일에 액세스하려면 FTP 자격 증명이 필요합니다.
2. public_html로 이동합니다. wp-includes라는 세 개의 폴더가 표시됩니다. , wp-admin 및 wp-content , 이렇게:
3. 다음으로 .htaccess를 찾습니다. 파일. 존재하지 않는 경우 메모장과 같은 텍스트 편집기를 열고 .htaccess로 저장하여 만들 수 있습니다.
4. .htaccess에 다음 코드를 붙여넣어야 합니다. 파일.
<파일 *.php>
모두를 부정하다
5. 새 파일을 만드는 경우 두 폴더에 업로드해야 합니다. wp-includes 및 wp-content/uploads
이렇게 하면 파일 권한이 변경되고 이 디렉토리에서 PHP 파일이 실행되지 않습니다. 이것이 너무 기술적인 것이라면 MalCare와 같은 보안 플러그인이 이를 자동화합니다.
파일 편집기 비활성화
해커가 WordPress 관리자 계정에 액세스하면 웹 사이트를 완전히 제어할 수 있습니다. 대시보드에서 "편집기" 옵션을 통해 테마 및 플러그인 코딩을 편집할 수 있습니다. 그들은 또한 자신의 스크립트를 업로드하여 콘텐츠를 표시하고, 사이트를 손상시키고, 사용자를 스팸하는 등의 작업을 수행할 수 있습니다. 이러한 편집기를 통해 발생하는 가장 일반적인 해킹에는 SQL 삽입, SEO 스팸 해킹 및 일본어 SEO 스팸이 있습니다.
편집기를 찾으려면 모양으로 이동하세요.> 편집자 . 및 플러그인> 플러그인 편집기 이렇게:
편집기를 비활성화하려면 wp-config 파일에 액세스해야 합니다. 파일 관리자나 FTP를 사용하여 웹사이트의 파일에 액세스하는 것과 같은 방식을 여기에서도 사용할 수 있습니다.
다음 부분은 기술적인 코딩 지식이 필요하며 올바르게 수행되지 않으면 사이트가 손상될 수 있는 잠재적 위험이 있습니다. 자신이 무엇을 하고 있는지 모른다면 쉬워 보여도 시도하지 않는 것이 좋다. MalCare의 '파일 편집기 비활성화' 기능을 사용하는 것이 좋습니다.
수동 방법을 계속 사용하려면 수행해야 할 단계를 자세히 설명했습니다.
1. 파일 관리자에서 , wp-config 찾기 파일을 열고 마우스 오른쪽 버튼을 클릭하여 수정 옵션.
2. 여기에서 이에 대한 자세한 정보를 볼 수 있으며 인코딩 검사 비활성화를 선택할 수 있습니다. . 그런 다음 수정으로 이동합니다. .
3. 이제 wp-config가 열립니다. 파일을 제출하고 다음에 무엇을 해야 할지 궁금하게 만드세요! 스트레스 받지 마세요. 아래로 스크롤하여 다음 행을 찾습니다.
/* 그게 다야, 편집을 멈춰! 행복한 출판. */
4. 이 위에 다음 코드를 붙여넣습니다.
정의( 'DISALLOW_FILE_EDIT', true );
5. 변경 사항을 저장하고 편집기를 닫습니다.
6. 대시보드로 돌아가면 더 이상 편집기 옵션이 표시되지 않습니다.
참고:cPanel에 액세스할 수 없는 경우 FTP를 통해 wp-config 파일을 다운로드할 수 있습니다. 텍스트 편집기에서 열고 코드 줄을 추가합니다. 다운로드한 것과 동일한 방법으로 웹사이트에 다시 업로드합니다. 기존 파일을 덮어쓸 수 있습니다.
보안 키 변경
쉽게 로그인하기 위해 WordPress는 자격 증명을 저장하므로 로그인할 때마다 자격 증명을 입력할 필요가 없습니다. 하지만 여기서 중요한 것은 암호화된 형식으로 저장된다는 것입니다.
데이터가 일반 텍스트로 저장되어 있으면 해커가 데이터를 손에 넣으면 읽을 수 있습니다. 데이터가 암호화되면 사용할 수 없는 임의의 텍스트처럼 보입니다.
데이터를 암호화하기 위해 WordPress는 보안 키와 솔트라고 하는 것을 사용해야 합니다. 간단히 말해서 키는 관리자 사용자 이름과 비밀번호를 인코딩하는 임의의 변수이며 솔트는 기본적으로 암호화를 한 단계 더 개선하는 데 도움이 됩니다.
해커가 보안 키와 솔트를 손에 넣을 수 있다면 암호화된 데이터를 해독하고 계정을 해킹할 수 있습니다.
오래된 열쇠와 소금은 수시로 교체하는 것이 좋습니다. 새로운 키와 솔트 세트를 얻으려면 다음 링크를 사용할 수 있습니다:Secret Key. 다음과 같은 페이지가 표시됩니다.
이제 위의 동일한 방법을 사용하여 파일에 액세스하고 생성된 값을 wp-config에 복사하여 붙여넣습니다. 파일, 여기:
여기에서도 코드를 변경해야 하므로 WordPress 웹사이트 소유자가 기술에 정통하지 않은 경우 시도하지 않도록 주의합니다. 이를 처리할 보안 플러그인을 사용하는 것이 가장 좋습니다.
플러그인 설치 금지
사용자나 클라이언트가 플러그인의 호환성이나 신뢰성을 최대한 철저히 확인하지 않고 플러그인을 설치할 수 있는 경우가 있습니다. 이로 인해 웹사이트에 여러 가지 문제가 발생할 수 있으므로 문제를 해결할 수 있는 기능을 모두 제거하는 것이 가장 좋습니다.
다음 두 가지 방법으로 플러그인 및 테마 업데이트 및 설치를 비활성화할 수 있습니다.
wp_config PHP 파일에 한 줄의 코드 추가
이전 섹션에서 설명한 것과 동일한 방법을 따르고 다음 줄을 추가해야 합니다.
정의('DISALLOW_FILE_MODS',true);
참고:테마와 플러그인을 업데이트하고 새 플러그인을 설치하려면 뒤로 돌아가서 이 코드 줄을 삭제해야 합니다.
보안 플러그인 사용
이 기능을 활성화 및 비활성화하는 가장 쉬운 방법은 플러그인을 사용하는 것입니다. MalCare를 사용하는 경우 버튼을 클릭하여 활성화한 다음 비활성화하면 됩니다.
이것은 극단적인 조치이지만 사이트를 처리하는 사용자가 많은 경우에 필요한 조치입니다. 또는 클라이언트가 불필요하게 플러그인을 설치하지 못하도록 제한하려는 경우.
wp-config.php 파일 보안
WordPress 설치에서 가장 중요한 파일 중 하나인 wp-config.php는 해커의 주요 대상입니다. 웹 사이트에 대한 데이터베이스 액세스 자격 증명을 포함하는 것 외에도 wp-config는 WordPress 웹 사이트 기능을 만드는 역할을 합니다.
파일 편집을 비활성화하는 것 외에도 보안 키를 변경하고 플러그인 설치를 허용하지 않는 두 가지 작업을 여기에서 수행할 수 있습니다.
wp-config.php 숨기기
첫 번째는 wp-config.php 파일을 한 단계 위로 이동하는 것입니다. 이것은 안전 조치가 아니라 맬웨어가 파일을 찾는 것을 더 어렵게 만들기 위한 것입니다. 파일을 이동해도 뚫을 수 없는 것은 아니므로 그에 따라 기대치를 설정하십시오.
참고:파일을 이동하는 것이 좋은 아이디어인지 여부에 대해 개발자 간에 합의가 없습니다. Contact Form 7 취약점과 같은 일부 경우에는 이 조치가 완전히 비효율적일 수 있습니다. 그러나 우리는 가능한 한 해킹하기 어렵게 만들자.
wp-config.php에 대한 액세스 거부
접근을 거부하는 것은 훨씬 더 구체적인 조치이며 이렇게 하면 파일을 전혀 이동할 필요가 없습니다. .htaccess 파일로 이동하여 맨 위에 다음 코드를 추가하십시오.
<파일 wp-config.php>
주문 허용, 거부
모두를 부정하다
wp-config.php 파일을 보호하기 위해 할 수 있는 몇 가지 작업이 있습니다. 이 문서에는 한 세션에서 수행할 수 있는 모든 체크리스트가 있습니다.
데이터베이스 분리
WordPress를 별도로 설치하여 둘 이상의 웹 사이트를 실행하는 경우 데이터베이스를 서로 구별하고 다른 위치에 저장하는 것이 좋습니다. 따라서 해커가 한 웹 사이트에 대한 액세스 권한을 얻더라도 다른 웹 사이트는 다른 웹 사이트 자체의 보안에 크게 좌우되기 때문에 최소한 이론적으로는 손상되지 않은 상태로 유지됩니다.
이것은 설치 중에 가장 잘 수행되지만 나중에 수행할 수 있으며 노력할 가치가 있습니다. 그러나 이를 위해서는 MySQL 및 해당 구성에 대해 어느 정도 익숙해야 합니다.
wp-admin 보안
로그인 보안을 한 단계 더 끌어올리려면(완전히 그래야만 함) SSL을 통해 로그인을 강제로 전송할 수 있습니다. SSL을 설치하고 혼합 콘텐츠 문제를 해결했는지 확인하세요.
그런 다음 지금까지 익숙한 wp-config.php 파일로 이동하여 다음 코드를 추가하십시오.
정의('FORCE_SSL_ADMIN', 참);
이것이 매우 간단한 단계라는 것을 알고 있지만 여기 복잡한 섹션에 포함된 이유가 있습니다. 플러그인이 SSL과 항상 잘 작동하는 것은 아니며 때로는 SSL이 비정상적인 방식으로 구성될 수 있습니다. 이것이 어떻게 작동하고 무엇을 주의해야 하는지에 대한 자세한 설명은 이 기사를 확인하십시오.
WordPress 보안 플러그인 사용
위에서 제안한 많은 작업을 쉽고 빠르게 수행하려면 MalCare를 설치하십시오.
좋은 WordPress 보안 플러그인은 웹 애플리케이션 방화벽, 봇 보호 및 스캐너와 함께 웹사이트에서 구현해야 하는 웹사이트 강화 조치를 결합합니다. 이제 기술적인 측면을 파악하는 데 많은 시간을 할애할 필요가 없습니다.
그러나 모든 플러그인이 동일한 편의성과 이점을 제공하는 것은 아닙니다. 플러그인이 꽤 많이 있지만 클릭 몇 번으로 빠르고 쉽게 작업을 완료할 수 있는 MalCare를 추천합니다.
플러그인을 설치하면 웹사이트가 이미 보호됩니다. 방법은 다음과 같습니다.
- 웹사이트를 정기적으로 검사하고 의심스러운 활동이 있는지 확인합니다.
- 악의적인 트래픽이 사이트를 방문하는 것을 차단하는 사전 예방적 방화벽
- 웹사이트에 존재하는 모든 멀웨어에 대한 실시간 알림
- 원클릭 악성코드 제거
이러한 모든 기능 외에도 웹 사이트에 구현할 수 있는 웹 사이트 강화 수준이 다양합니다. 모든 웹사이트 소유자가 자신의 웹사이트에서 이러한 보안 조치를 실행하기를 원하는 것은 아니기 때문에 이러한 조치는 선택 사항입니다. 필요에 따라 무엇을 할지 선택할 수 있습니다.
구현할 수 있는 웹사이트 강화의 세 가지 수준은 다음과 같습니다.
필수
이를 통해 신뢰할 수 없는 폴더에서 PHP 실행을 차단할 수 있습니다. 파일 편집을 비활성화할 수도 있습니다. 앞서 논의한 바와 같이 이것은 반드시 취해야 하는 단계입니다.
정상적인 상황에서는 실제로 WordPress의 파일 및 폴더에 간섭하지 않습니다. wp-admin 대시보드에서만 웹사이트를 운영할 수 있습니다. 또한 테마 및 플러그인의 파일 편집기에서 아무 것도 편집할 필요가 없습니다. 비활성화하면 해커가 사이트를 공격하는 데 사용할 수 있는 일부 문이 닫힙니다.
고급
플러그인 및 테마 설치를 차단할 수 있습니다. 즉, 아무도 귀하의 웹사이트에 새 것을 설치할 수 없습니다. 이 조치는 약간 극단적이며 해킹이 의심되거나 웹사이트에서 작업하는 사람이 너무 많은 경우에만 취해야 합니다. 새 플러그인/테마를 설치하려면 MalCare 대시보드에서 이를 비활성화해야 합니다.
편집증
여기에서 보안 키를 변경하고 모든 사용자의 비밀번호를 재설정할 수 있습니다. 종종 WordPress 웹 사이트는 각자의 로그인 권한이 있는 팀에 의해 운영됩니다. 이렇게 하면 해커가 자격 증명을 추측하고 사이트에 액세스할 수 있는 기회가 늘어납니다.
모든 보안 키와 비밀번호를 정기적으로 변경하는 것이 중요합니다. 대규모 팀이 있는 경우 프로세스를 자동화하고 속도를 높이는 데 도움이 됩니다.
해킹에서 복구하는 경우 다시 해킹되지 않도록 하기 위해 취해야 하는 필수 단계입니다.
이 외에도 웹사이트에서 다음과 같은 WordPress 보안 기능의 이점을 누릴 수 있습니다.
- 제한된 로그인 시도
- CAPTCHA 기반 로그인
- 무단 액세스 경고
- 사이트의 파일 수정/업데이트를 보여주는 활동 로그
- 또한 모든 IP 요청을 분석하여 무차별 대입 공격과 같은 해킹으로부터 보호합니다.
- 또한 SQL 주입 공격, SEO 스팸 및 DDOS 공격에 사용되는 웹사이트와 같은 일반적인 WordPress 보안 위협을 방지합니다.
모든 기능을 갖춘 WordPress 보안 플러그인은 그 부분의 합 그 이상입니다. 이러한 조치는 그 자체로 위협에 대한 효과적인 보호이지만 함께 사용하면 악의적인 활동에 대한 강력한 장벽을 구축합니다. 지금 MalCare를 설치하고 웹사이트를 보호하기 위해 최선을 다했다는 사실을 알고 안심하십시오.
추가 크레딧
다음 팁은 WordPress 강화 범주에 속하지 않지만 여전히 보안에 민감한 웹 사이트 관리자를 위한 모범 사례입니다. 위의 목록을 완료한 후 이러한 조치를 수행하는 것이 좋습니다.
웹사이트 백업
이 목록에서 확실히 흥미로운 항목은 백업입니다. 우린 알아; 동급 최고의 WordPress용 백업 플러그인을 개발합니다.
좋은 백업의 중요성은 나쁜 시나리오에서 가장 잘 설명됩니다. 웹 사이트를 구축하는 데 몇 달과 몇 년을 보냈다고 상상해 보십시오. 고객이 있고 매력적인 콘텐츠가 있으며 광고로 수익을 창출하고 평판이 있습니다. 그리고 훗, 어느 날 사라졌다. 웹 호스트의 맬웨어 감염 또는 서버 오류일 수 있습니다. 백만 가지 이유 중 하나. 상상하다. 이러한 상황에서 백업을 위해 무엇을 제공하시겠습니까?
백업이 중요합니다. 그것은 단지 상식입니다.
맬웨어로부터 컴퓨터 유지
때때로 우리를 넘어지게 하는 것은 명백한 것들입니다. 어떤 컴퓨터를 사용하든지 또는 실제로 WiFi가 웹사이트 보안에 영향을 미칩니다. 컴퓨터에 키로거가 있다면 WordPress를 강화하는 것은 의미가 없습니다. 로그인 자격 증명을 해커에게 넘겼습니다.
항상 모든 것을 최신 상태로 유지
WordPress 자체와는 별도로 테마와 플러그인을 업데이트하는 것이 중요합니다. 취약점은 매일 발견되며 플러그인 개발자는 이러한 취약점을 해결하기 위한 패치를 출시합니다.
플러그인이나 테마를 사용하지 않는다면 제거하세요. 나중에 다시 필요하면 언제든지 다시 설치할 수 있습니다.
제쳐두고, 이것은 플러그인을 구매하는 핵심 이유입니다. 유료 플러그인은 종종 적극적으로 유지 관리되며 직면할 수 있는 문제에 대한 지원 채널이 있습니다. MalCare에서는 해킹된 웹 사이트에 대한 경험을 사용하여 보안 플러그인을 매일 개선합니다. 적극적으로 유지 관리되는 플러그인은 보안에 대한 투자입니다.
SFTP 사용
FTP를 사용하여 파일을 서버로 전송하는 경우 대신 SFTP로 전환하는 것이 좋습니다. SSH를 사용한다는 점을 제외하면 파일 전송과 거의 동일한 방식으로 작동합니다. 전송되는 데이터는 암호화되어 전송 중에는 읽을 수 없습니다. 또한 SFTP는 사용자와 서버 모두에 대한 인증을 사용합니다.
SFTP는 새로운 표준이 되었으며 결과적으로 FTP를 대체하고 있습니다. 구성은 거의 동일하므로 레거시 프로토콜을 계속 사용할 이유가 없습니다.
신뢰할 수 있는 웹 호스트 사용
대부분의 보안 기사(예:이 기사)는 웹 사이트 관리자로서 웹 사이트를 안전하게 유지하기 위해 수행할 수 있는 작업에 중점을 둡니다. 물론 할 수 있는 일은 많고 대부분의 취약점은 설치된 애플리케이션에서 발생합니다. 그러나 이것이 서버가 무적이라는 것을 의미하지는 않습니다.
웹 호스트가 서버를 보호하는 역할을 하지 않는다면 할 수 있는 일은 거의 없습니다. 서버는 디지털 다양성뿐만 아니라 공격에 취약합니다. 예를 들어 서버가 물리적으로 안전한 위치에 있습니까? 해커가 방에 액세스하여 그런 식으로 데이터를 훔칠 수 있습니까? 이것은 중요한 고려 사항이지만 다시 한 번 웹 사이트 관리자는 이와 관련하여 제한된 제어 권한을 갖습니다.
그래서 당신은 무엇을 할 수 있습니까? 신뢰할 수 있는 웹 호스트를 선택하십시오. 좋은 웹 호스트는 그들의 관행에 대해 투명하고 공격으로부터 서버를 보호하기 위해 취하는 구체적인 조치를 포함합니다. 저렴한 웹 호스트가 장기적으로 매우 값비싼 결정이 될 수 있기 때문에 이것은 비용을 절감할 장소가 아닙니다.
결론
WordPress 보안 플러그인 설치의 중요성은 아무리 강조해도 지나치지 않습니다.
맬웨어를 제거하는 것은 힘들고 어려운 과정이며 실수와 비용이 많이 드는 오류가 발생할 수 있습니다. 전문가만이 프로세스를 수행해야 하며 이는 비용이 많이 드는 제안이 될 수 있습니다. 또한 그 시점에서 이미 데이터, 트래픽, 평판 등을 잃었을 것입니다.
네, 보안에 선제적으로 접근하고 좋은 WordPress 보안 플러그인을 설치하십시오. 그런 다음 이 기사로 돌아와 강화 조치를 구현한 다음 마지막으로 웹사이트를 감사하여 일반적인 WordPress 강화 실수를 확인하십시오.
미래의 자신은 당신의 선견지명에 감사할 것입니다.
FAQ
WordPress 강화란 무엇입니까?
WordPress 강화는 웹 사이트의 보안을 강화하는 설정 및 구성을 설명하는 데 사용되는 포괄적인 용어입니다. 이러한 기술은 웹사이트 자산의 범위를 포괄하고 알려진 취약한 진입점을 강화하여 감염 위험을 줄입니다.
워드프레스를 강화해야 하는 이유
웹 사이트의 보안과 방문자 데이터의 안전에 관심이 있다면 이것이 WordPress를 강화해야 하는 이유입니다. 이는 취약점을 해결하고 맬웨어 감염 위험을 줄이기 위해 취하는 간단한 조치입니다.
맬웨어를 제거하는 것은 애초에 감염을 예방하는 것보다 훨씬 어렵다는 것을 기억하십시오.
워드프레스를 강화하기 어려운가요?
대시보드를 통해 간단하고 수행할 수 있는 WordPress를 강화하기 위해 취할 수 있는 조치가 있습니다. 그것들은 어렵지 않습니다. 조금 더 복잡한 다른 것들이 있지만 WordPress 보안 플러그인을 설치하면 그 복잡성을 완화하는 데 많은 도움이 될 것입니다. 사실을 직시하세요. 플러그인을 설치하는 것은 전혀 어렵지 않습니다.
보안 플러그인이 있는 경우 WordPress를 강화해야 하나요?
예, 좋은 WordPress 보안 플러그인에는 중요한 WordPress 강화 조치가 꽤 많이 포함되어 있지만 모든 것을 수행할 수는 없습니다. 이는 강력한 암호를 선택하거나 강력한 인증 프로토콜을 구현하는 것과 같은 작업이 보안 플러그인의 범위를 벗어나기 때문에 매우 간단합니다.