Computer >> 컴퓨터 >  >> 프로그램 작성 >> HTML

웹사이트를 보호하는 방법은 무엇입니까? (전체 웹사이트 보안 가이드)

몇 가지 해킹은 완전히 예방할 수 있는 이유로 인해 발생합니다. 업데이트가 제때 완료되지 않거나 안전하지 않은 암호 등입니다.

우리는 이것을 어떻게 압니까? 우리는 25000개 이상의 해킹된 사이트를 도왔고 웹사이트 보안에 대한 상당한 경험이 있습니다. .

이 웹사이트 보안 필수 가이드에서는 웹사이트를 보호하는 방법을 보여줍니다. :

  • 웹사이트 보안을 처음 접하고 그 의미를 완전히 이해하지 못하더라도
  • 이전에 웹사이트 보안을 시도했지만 실패했더라도
  • 압도에 시달리고 어디서부터 시작해야 할지 모르겠더라도
  • "나는 해커와 어울리지 않는데 왜 시도를 할까?"라고 생각하셨을지라도...

그러나 훨씬 더 중요한 것은 웹사이트 보안에 대해 처음부터 생각하는 방법에 대해 이야기할 것입니다. 이렇게 하면 웹사이트에 대한 올바른 결정을 내릴 수 있습니다.

틀;DR: 웹사이트를 보호하는 가장 쉬운 방법은 보안 플러그인을 설치하는 것입니다. 웹 사이트 보안에 참여할 시간이 없는 사람들에게 적합합니다. 플러그인을 설정하고 잊어버리십시오. 그러나 시간과 대역폭을 감당할 수 있다면 이러한 조치를 읽고 구현하는 것이 좋습니다.

웹사이트 보안이란 무엇입니까?

웹사이트 보안을 위한 조치를 취하는 것은 좋지만 웹사이트 보안은 지속적인 프로세스라는 사실을 인식하는 것이 중요합니다. 해커는 창의적이기 때문에 위협은 끊임없이 진화합니다.

아래 기사에서 좋은 보안 플러그인이 맬웨어 측면에서 대부분의 힘든 작업을 수행하지만 조심하고 경계하는 것이 웹사이트 보안을 결정한다는 것을 알 수 있습니다.

해커로부터 웹사이트를 보호하는 방법은 무엇입니까? (실행 가능한 단계)

웹사이트를 보호하기 위한 실행 가능한 계획을 세우려면 첫 번째 단계는 웹사이트가 어떻게 해킹되는지 이해하는 것입니다. 우리의 연구에 따르면 웹사이트는 주로 다음 3가지 방법을 통해 해킹됩니다.

웹사이트를 보호하는 방법은 무엇입니까? (전체 웹사이트 보안 가이드)
웹사이트가 해킹된 이유

  • 90+% → 플러그인 또는 테마의 취약점
  • 5+% → 사용자 이름 및/또는 비밀번호 도용
  • <1% → 열악한 웹 호스트 서비스

이 배포는 웹사이트 보안을 계획하는 방법과 가장 많은 시간과 리소스를 할당할 위치의 기초가 되어야 합니다.

1. 취약점으로부터 웹사이트 보호

해커는 취약한 웹 사이트를 지속적으로 감시합니다. 웹사이트가 크든 작든 상관없습니다. 그들은 거의 모든 웹 사이트를 해킹하여 얻을 수 있는 것이 많습니다. 경험에 따르면 모든 해킹의 90% 이상이 해커가 취약점을 식별하고 이를 악용했기 때문에 발생합니다.

취약점이 무엇인지 조금 더 자세히 살펴보겠습니다. 이는 향후 웹사이트 보안 전략을 신중하게 구성할 수 있도록 이해하는 것이 중요합니다.

취약점이란 정확히 무엇입니까?

귀하의 웹 사이트는 WordPress, 플러그인 및 테마의 3가지 주요 구성 요소로 구성됩니다. 이들은 모두 기본적으로 소프트웨어이며 다른 소프트웨어와 마찬가지로 때때로 오작동을 일으키는 버그가 포함되어 있습니다.

버그는 다양한 결과를 초래할 수 있습니다. 일부는 웹사이트 속도를 늦추거나 누군가 방문했을 때 오류를 발생시킵니다. 이것들은 성가시고 문제가 있지만 더 심각한 것은 권한이 없는 사용자(예:해커)가 웹사이트에 액세스할 수 있도록 허용합니다. 이러한 종류의 버그를 취약점이라고 합니다.

취약점 유형

취약점은 이전 단락에서 했던 것처럼 코드의 버그로 요약될 수 있습니다. 그러나 다른 유형보다 더 자주 나타나는 몇 가지 특정 유형이 있습니다.

  • 오래된 소프트웨어:핵심, 플러그인 및 테마를 최신 상태로 유지하는 것이 중요합니다.
  • 불량한 사용자 역할 관리:모든 사용자에게 전체 관리자 액세스 권한을 부여하지 마십시오.
  • 위생되지 않은 입력:입력 필드는 저장 및/또는 실행 전에 입력을 확인해야 합니다.

보안되지 않은 웹사이트에서 해킹 가능

취약점은 그들이 허용하는 공격의 종류와 밀접하게 연관되어 있으며 종종 같은 의미로 사용됩니다. WordPress가 경험하는 가장 일반적인 공격은 다음과 같습니다.

  • 코드 삽입:입력 필드를 통해 악성 코드가 삽입되고 웹사이트 코드 또는 데이터베이스에 의해 실행됩니다. SQL 인젝션에서 자주 볼 수 있는 코드 인젝션의 변형으로, 특히 WordPress와 같은 데이터베이스 기반 애플리케이션에서 심각합니다.
  • 교차 사이트 스크립팅 공격:이 유형의 취약점은 사용자 쿠키를 훔쳐 사용자를 가장하거나 세션을 가로채기도 합니다. 대상 사용자의 액세스는 웹사이트를 공격하는 데 사용됩니다.
  • 무차별 대입 공격:이름에서 알 수 있듯이 이러한 유형의 공격에는 기교가 없습니다. 해커는 올바른 사용자 이름과 비밀번호를 찾아내기 위해 로그인 페이지에 사용자 이름과 비밀번호 조합을 공격합니다.
  • SEO 스팸:모든 스팸은 심각하지만 이 공격은 웹사이트에 가장 피해를 주는 곳인 SEO를 공격합니다. 웹사이트 소유자는 해커가 팝업 및 불법 또는 회색 시장 항목에 대한 링크를 삽입하여 부당한 이득을 취하기 위해 SEO 작업에 리소스를 사용합니다. SEO 스팸 공격도 감지하기 어려우며, 웹사이트는 처음에 감염된 사실을 깨닫기도 전에 스팸의 해로운 영향을 경험하게 됩니다.
  • 피싱 공격:이러한 공격에서 해커는 사용자가 정보를 기꺼이 포기하도록 속이기 위해 합법적인 법인을 가장하려고 시도합니다. 피싱은 이러한 자격 증명을 얻기 위해 이메일과 해킹된 웹사이트와 함께 작동합니다.

취약점의 영향은 무엇입니까?

플러그인과 테마는 수천 개의 웹 사이트에 설치되므로 이 하나의 결함의 영향이 크게 증폭됩니다.

책임 있는 플러그인 및 테마 개발자는 업데이트를 릴리스하여 제품의 이러한 보안 허점을 막기 위해 노력합니다. 이것이 실제로 가능하면 프리미엄 플러그인을 선택하는 것이 좋습니다. 웹사이트 보안 전략에서 정기적인 소프트웨어 유지 관리는 아무리 강조해도 지나치지 않습니다.

좋아, 그래서 버그가 패치되었습니다. 우린 이제 안전해, 그렇지? 글쎄요. 취약점 발견은 웹사이트 소유자에게 위험한 시기입니다.

취약점이 발견되면 어떻게 됩니까?

보안 연구원이 취약점을 발견하는 경우가 많습니다. 그들은 플러그인이나 테마 개발자에게 자신의 발견을 공개합니다. 이전 섹션에서 말했듯이 책임 있는 개발자는 문제를 해결하고 업데이트를 출시하기 위해 경쟁할 것입니다.

취약점이 수정되면 보안 연구원이 조사 결과를 게시합니다. 개발자가 수정 사항을 릴리스 했으므로 웹 사이트는 안전합니다. 맞습니까?

별로.

해커는 또한 취약점에 대해 읽고 버전을 업데이트하지 않은 웹사이트를 찾습니다. 공개 취약성은 이제 노력 없이 웹사이트를 악용할 수 있기 때문에 초보 해커(스크립트 키디라고도 함)를 끌어들이는 경향이 있습니다. 그들은 표적이 어디에 있는지 정확히 알고 있습니다.

취약점으로부터 사이트를 보호하기 위해 해야 할 일

이제 웹사이트 보안을 보장하고 해커로부터 사이트를 보호하기 위해 취할 수 있는 구체적인 단계에 대해 설명합니다. 이 단계는 간단해 보일 수 있지만 웹사이트를 안전하게 유지하는 강력한 방법입니다.

1. 백업 가져오기

백업은 보안 전략에서 가장 과소평가된 부분입니다. 정기적인 백업의 중요성은 아무리 강조해도 지나치지 않습니다. 그것들은 당신의 안전망이며, 상황이 악화될 때 당신이 의지할 수 있는 유일한 것입니다. 백업을 통해 빠르게 제자리로 돌아올 수 있습니다.

그러나 모든 백업 플러그인이 동일하게 구축되는 것은 아닙니다. 많은 사람들이 가장 필요할 때, 즉 복구할 때 실패합니다. 올바른 플러그인을 선택하는 데에는 몇 가지 요소가 있습니다. 이러한 기준을 염두에 두고 사용 가능한 최고의 WordPress 백업 플러그인을 검토했습니다.

2. 플러그인 및 테마를 최신 상태로 유지

이것은 특히 업데이트가 얼마나 중요한지에 대한 이전 섹션을 읽은 경우 매우 분명하게 들릴 수 있습니다. 그러나 대시보드의 빨간색 알림을 무시하고 더 긴급한 작업을 수행하는 것은 매우 쉽습니다.

그러므로 우리는 반복할 것입니다. 플러그인 및 테마 개발자는 보안 수정 사항이 포함된 업데이트를 릴리스합니다. 업데이트 설치를 연기하기로 선택했더라도(하지만 그렇게 하지 마세요) 적어도 릴리스 노트를 살펴본 후에는 그렇게 하십시오.

3. 좋은 품질의 플러그인 및 테마 선택

이 시점에서 우리는 플러그인과 테마가 웹사이트에 얼마나 중요한지 충분히 설명했습니다. 완벽하게 완벽한 소프트웨어는 없을 것 같지만 웹사이트에 적합한 플러그인과 테마를 선택할 때 염두에 두어야 할 핵심 요소가 있습니다.

  • 플러그인이 정기적으로 업데이트됩니까 :개발자가 지속적으로 유지 관리하는 플러그인이나 테마는 취약점이 발견될 경우 보안 패치를 받을 가능성이 높습니다.
  • 플러그인이 인기가 있습니까 :양날의 검입니다. 수백만 개의 설치가 있는 인기 있는 플러그인이 해커의 표적이 될 것입니다. 그러나 이러한 플러그인은 더 많은 사람들이 모니터링하고 있기 때문에 더 안전한 경향이 있습니다.
  • 프리미엄 플러그인인가요 :유료 플러그인은 개발자의 작업을 지원하므로 무료 플러그인보다 포기할 가능성이 훨씬 적습니다. 그렇다고 오픈 소스 소프트웨어가 결코 안전하지 않다는 것은 아니지만 프리미엄 제품을 사용하면 고객 지원 및 제품 품질에 대해 비용을 지불해야 합니다.
  • nulled 플러그인 및 테마를 설치하지 마세요. :무료로 제공되는 프리미엄 소프트웨어는 여러 면에서 문제가 있습니다. Nulled 소프트웨어에는 한 번 설치된 웹사이트에 해커가 액세스할 수 있도록 하는 맬웨어 또는 백도어가 있는 경우가 많습니다.

4. 방화벽 사용

해커나 해커가 귀하와 같은 웹사이트를 공격하도록 설계한 봇을 막을 수 있는 확실한 방법은 없습니다. 그러나 방화벽을 설치하면 확률을 상당히 줄일 수 있습니다.
다음은 선택할 수 있는 최고의 WordPress 방화벽 목록입니다.

2. 사용자 이름과 비밀번호 보호

We’ve found around 5% of hacked websites were vulnerable to attack because of weak passwords. This may seem a small number when compared to outright malicious activity, but it is still significant enough to command your attention.

Losing the admin password to your site is like losing keys to your home or car. With the key, the thief has complete control over your prized possessions. Likewise, with the password, hackers have complete access to your website. At this point, not even a firewall or a security plugin can prevent hackers from causing damage to your website.

The need for strong passwords continues to be very strongly advocated, but because of the difficulties associated with it, it’s often ignored by website users.

Before we go into mechanisms to have strong credentials, let’s address some common questions people have about them.

How is it possible to steal a password?

The answer may come as a surprise:the hacker tries to guess the password. By this, we don’t mean they are trying out various passwords manually, but there are bots to do this. This is also known as a brute force attack, or if the bot is guessing words, a dictionary attack.

These attacks work very well because of several reasons:

  • Easy-to-guess passwords: common words, short words, the word ‘password’ itself in different permutations
  • Data from previous hacks: there is a reason why people recommend using different passwords for different services and websites

How to safeguard against password theft

웹사이트를 보호하는 방법은 무엇입니까? (전체 웹사이트 보안 가이드)

1. Use a strong password

Strong passwords use a combination of letters, numbers, and symbols in random configurations, because those are hard to crack. It may take hacker bots years to get find the correct one.

You could try creating a strong password on your own, or use a password generator. Then you can use plugins to enforce strong passwords.

Strong, hard-to-crack passwords can be difficult to remember, so we recommend using password managers like LastPass.

2. Limit login attempts

A good way to thwart a brute force attack is to block attackers after multiple failed login attempts. This is an effective mechanism, since, this type of attack consists of hackers’ bots repeatedly trying different passwords.

MalCare firewall comes integrated with this feature. Limiting login attempts is a highly effective way to secure your website without many downsides

웹사이트를 보호하는 방법은 무엇입니까? (전체 웹사이트 보안 가이드)

If an authorised user has inadvertently reached this point, they can click through the link to find a captcha confirming they are indeed human.

3. Implement two-factor authentication

Several services use two-factor authentication during the login process, which essentially means you need to have two (ideally) separate tokens to access your account. Most commonly, these involve a combination of passwords and a limited-time token like a pin code or QR code sent to your email or a device.

There are several plugins that implement two-factor authentication or 2FA, and they vary depending on the services they provide. 2FA comes integrated in MalCare’s security suite as well.

4. Implement CAPTCHA protection

CAPTCHAs can only be resolved by humans. They are designed to prevent hacker bots from accessing an account. You can use it to protect your website.

Here’s a neat little article by Kinsta that’ll help you get started.

5. Use a firewall

Certain website security firewalls like MalCare’s also keep track of malicious IPs at a global level. The firewall learns from all the sites with the plugin installed. It then automatically blocks bad IPs even before they have attempted to crack your password. This, in combination with limit-login capability, can protect your site from hackers trying to force their way in.

웹사이트를 보호하는 방법은 무엇입니까? (전체 웹사이트 보안 가이드)

3. Choose a good web hosting provider

There is a tendency to blame the web host for anything that goes wrong with a website. While web hosts are generally responsible for many aspects of a website, they are rarely at fault when a website gets hacked.

In fact, the opposite is generally true, web hosts improve website security.

Of course, there are some web hosts who play a role in the compromise of websites hosted on their server. It rarely happens, but when it does, it’s a major incident that compromises thousands of websites.

4. Install an SSL certificate

Secure Sockets Layer, more commonly known as SSL, is a security protocol that encrypts all communication to and from a website. Once installed, it appears as a padlock at the beginning of your website’s URL.

The benefits of using an SSL certificate are as follows:

  • All data passing to and from your website is encrypted
  • It is a badge of trust for your website. In fact, most browsers will flag sites without SSL as ‘Not secure’ in the address bar.
  • Google loves websites with an SSL certificate and even rewards them with a higher ranking.

Easily install an SSL certificate on your website. It barely takes any time, and it is well worth the effort spent.

Good website security practices

As we said at the outset, website security is an ongoing practice. In this section, we are listing out practices that are good to inculcate in your overall website security strategy. Once you get into the habit of doing so, the small investment of your time and effort will pay for itself many times over with a secure website.

1. Change your password frequently

We understand that setting difficult-to-guess passwords is tricky, especially because they are often synonymous with difficult-to-remember. We can also imagine the dismay at being asked to change this most excellent password regularly.

The reason is that passwords are the weakest links in security; especially if you use the same passwords for multiple accounts. Even if one site experiences a breach, you can safely assume that all your accounts are potentially compromised. There are news stories about breaches every few weeks–and those are just the reported ones. Something to keep in mind.

Regularly can also mean different things to different people. Some financial institutions, like banks, mandate that passwords be changed every 90 days. Using a password manager is the way forward.

2. Review website users + track new admin users

Hackers often leave behind admin users, so that they can regain access to a site. Hence, reviewing admin users on a regular basis can improve website security.

Secondly, website collaborators can change. If a user no longer needs access, it is best to remove their access. The reason is two-fold:you don’t want the user to make any more changes to your website; their inactive accounts can be compromised by hackers.

Over time, as we build our site with newer content and design, we keep adding new users to our site. We should review these users periodically. You may be following good security practices yourself, but another user getting compromised will cause your site to be affected.

When adding users, give only necessary access levels as far as possible. For instance, If someone is only writing articles don’t give them admin access.

3. Set up activity log on your site

We are big fans of having activity logs for our website. It has saved our bacon multiple times.

Hackers don’t use core WordPress APIs to modify a website, therefore many of the changes they make will not reflect in an activity log. However, they can leave footprints behind, such as creating admin accounts for themselves to access the site. These unexpected actions can help detect hacks.

Conversely, if changes are made by a collaborator, then activity logs can help avoid unnecessary panic, when you see changes made to your website.

4. Block PHP in the Uploads folder

A whole class of vulnerabilities (Remote Code Execution, to be precise) lets hackers upload malicious PHP files to the Uploads folder. The hacker can then use it to execute any code they want on your website. In other words, they have complete control over your website.

The attack can be neutered effectively if you block the execution of PHP files in the Uploads folder. 괜찮아요. Blocking PHP files in the Uploads folder is safe because they shouldn’t be present there, in the first place. Uploads folder is where you store your media, not scripts.

If you are using, MalCare security plugin, you can block PHP execution in the Uploads folder with the click of a button. For Apache/Litespeed based sites, we can add rules to htaccess to enforce this protection.

Things to avoid when securing your website

A quick Google search will give you numerous tips and strategies to secure your website. Several security plugins will also present multiple options to protect your site against password crackers. Securing your website is a great deal about what you should do; however, there are also some things you should avoid.

The reasons vary for each of the points we talk about below, but at its core, there should be a tangible security benefit to your measures—especially if you are asking your users to jump through additional security hoops. For example, if you apply both captcha and 2-factor authentication, getting into your site becomes trying, with little additional benefit.

You may get an additional sense of security from applying all available options, but in cost-benefit analysis, they don’t cut mustard.

1. Hide wp-login page

You’ll see this one on a lot of forums:change the wp-login page to a custom URL for your site. The logic is, if the hackers can’t find the login page, they can’t use brute force attacks to gain entry to your site.

There are a few flaws with this:

  • WordPress also lets you log in using XML-RPC
  • It will make your site difficult to use. If you forget the special URL you have created for yourself in lieu of wp-login, then recovering from this can be difficult.
  • If you use a common URL or the default one that comes with the security plugin, it will be easy for the hackers to guess anyway, therefore defeating the purpose entirely.
  • Hiding this page involves applying complicated settings to your site which can have other unexpected side effects.

Therefore, in our opinion, it is just not worth the effort.

2. Geo-blocking

Another commonly recommended security measure is geo-blocking. You may not need or expect legitimate traffic from certain countries, and hence decide to restrict access. MalCare supports this feature, but we don’t recommend you do this because:

  • IPs for regions are not perfect and can have errors.
  • If you block yourself out by mistake, reverting this will be difficult.
  • You might end up blocking good bots such as Google which can harm your site.

A good firewall can and will protect your website against malicious bots and undesirable traffic. We’ve covered the benefits of firewalls in a previous section.

3. Password protect wp-admin directory

The wp-admin folder is one of the most crucial folders on your website. Naturally, it attracts a lot of attention from hackers. Therefore, protecting it with a password may seem like a brilliant move, but it’s counterproductive.

Password protecting your wp-admin directory breaks AJAX functionality on your WordPress website. AJAX is a coding technique that loads parts of your website from the server without changing the currently displayed page.

If this sounds like gobbledegook, it essentially means that it makes your website dynamic, without constantly reloading it for users every time something changes.

Think about scrolling on the newsfeed of a social networking site. New stories or tweets load while you are still reading the ones already on your screen, and you can refresh the newsfeed when you want to load the new content.

4. Hide WordPress version

The logic behind hiding the WordPress version of your website is related to security updates. If your website doesn’t have the latest version of WordPress, a hacker may be able to exploit a vulnerability that exists in an older version.

However, hiding your WordPress version has no benefit whatsoever. There are several ways to determine a website’s WordPress version:inspecting the site’s frontend code, checking the RSS feed, etc. All of which are legitimate, incidentally.

The way to combat WordPress vulnerabilities in older versions is to keep your version updated to the latest one. Many website administrators are afraid that updating a live site may cause something to break. Therefore, it is best to do so on a staging site first.

What to do if your website has been hacked?

웹사이트를 보호하는 방법은 무엇입니까? (전체 웹사이트 보안 가이드)

If your site has been hacked recently, it is even more important for you to be extremely diligent about the security of your site. If not done correctly, it can lead to the site getting hacked repeatedly and the whole situation becoming a total nightmare.

  • Clean the malware first :Use a good security plugin, like MalCare, to automatically remove malware without a trace.
  • Update everything :As we said before, software updates are vital. Make sure you have the latest versions of WordPress, themes and plugins. If you don’t, there is a good chance this is the reason your website got hacked in the first place.
  • Review every admin user: Scrutinise every admin account carefully. We’ve said this already in this article, but hackers create admin accounts to regain access to a website that they have hacked, in case the malware has been discovered.
  • Change all passwords: Assume your credentials have been compromised and change passwords. Hopefully you do not use the same password for different products and services, otherwise you should change those passwords as well.
  • Change DB credentials (if possible): The wp-config.php file contains the credentials the WordPress site uses to connect to the database of the site. In many cases, access to the database is restricted even if the DB credentials are compromised. However, with some hosts, hackers can use this information to directly modify the database. This can cause the site to be reinfected.
  • Change security keys: WordPress uses security keys to manage sessions for logged-in users. Read more about what they are and how to make a website secure by changing them.
  • Set up a WordPress firewall: We’ve already covered this in detail in this article. A WordPress firewall is your best defence against malicious bots and bad traffic.

Conclusion

We started this article on how to secure a website with a clear signpost:the first step is to think about website security in the right way. It is an ongoing process. A good standard practice to have in any organization is to conduct periodic website security audits.

The threat landscape is constantly changing, and hackers will find more creative ways to defeat defences. Security experts remain constantly vigilant, and this is the main takeaway from all of what we have learned in our years of research:don’t get complacent.

Have thoughts to share? Drop us a line, or connect with us on social media. Love to hear your thoughts.

FAQ

What is website security?

Website security is putting together a plan to protect your website and users from hackers and their malware. It involves understanding the components of your website, how they work together and what vulnerabilities they have.

Once this foundation is in place, then you need to formulate a comprehensive security plan to protect against vulnerabilities. This involves a series of configuration steps, implementation of policies, and keeping up to date with respect to threats.

A key factor in achieving website security is to understand that it is not a one-time activity. Security evolves, because threats evolve.


Why website security is important?

WordPress is used by millions of people, so it is probably secure, right? Yes and no.

Yes, because WordPress core files are secure, and even when a vulnerability is discovered, it is addressed very quickly.

No, because your website isn’t just the WordPress core. It is a combination of plugins and themes, used to help make your website more functional, interactive and attractive. These plugins and themes extend the functionality of WordPress, but also increase the opportunities for vulnerabilities. Good plugin and theme developers will fix vulnerabilities quickly. However the danger is significantly greater.

To protect your website—including the time, money and other resources you have invested in it—and to safeguard your visitors from having their data and identities stolen, you need to secure your website. If you are WordPress user, you can go through our wordpress security guide to secure your site.


How to secure a website from hackers?

You can take several steps to secure your website from hackers: 

1. Keep your WordPress, plugins and themes up to date
2. Install a good firewall
3. Implement login protection
4. Install SSL 
5. Use two-factor authentication for logins
6. Review user roles regularly
7. Set up an activity log