WordPress 사이트를 보호하려면 온라인에서 많은 조언을 찾을 수 있습니다. 그 중 일부는 좋은 것도 있고, 비록 좋은 의미이기는 하지만 완전히 해로운 것도 있습니다.
WordPress 보안과 관련하여 소스를 신뢰하고 신뢰할 수 있을 뿐만 아니라 실행 가능하고 적용 가능한 정보를 찾을 수 있어야 합니다. 2020년 한 해에만 맬웨어 공격이 150% 이상 증가했으며 그 수는 단기간에 줄어들지 않을 것 같습니다. 따라서 WordPress 사이트를 보호하는 것이 최우선 순위가 되어야 합니다.
WordPress 사이트를 보호하는 가장 좋은 방법은 보안 플러그인을 설치하고 무거운 작업을 처리하도록 하는 것입니다. 그러나 이것이 없어도 아래에 설명된 WordPress 보안 체크리스트를 따르면 웹사이트를 상당 부분 보호할 수 있습니다.
틀;DR: MalCare로 WordPress 사이트를 보호하고 정기적인 보안 관련 유지 관리를 피하십시오. WordPress 보안은 패치해야 하는 미로와 같은 격차입니다. 중요한 정보를 놓치지 않도록 WordPress 보안 체크리스트를 참조하세요.
WordPress 사이트를 보호하는 가장 쉬운 방법
앞서 말했듯이 WordPress 사이트를 보호하는 가장 좋은 방법은 보안 플러그인, 특히 MalCare를 사용하는 것입니다. MalCare는 WordPress 보안 체크리스트를 자동으로 처리할 뿐만 아니라 모든 세부 사항을 추적하는 것에 대해 걱정할 필요 없이 수행합니다.
MalCare에는 사이트를 안전하게 유지하기 위해 함께 작동하는 여러 기능이 있습니다. 그러나 상위 세 가지 기능은 사이트에 맬웨어가 없는 상태를 유지하도록 보장합니다(검색, 방화벽 및 정리). MalCare를 사용하면 WordPress 사이트에서 자동 검사를 예약하고 의심스러운 것이 감지되면 알림을 받을 수 있습니다. MalCare는 또한 대부분의 공격을 차단하는 지능형 방화벽으로 사이트를 보호합니다. 그리고 가장 중요한 것은 사이트가 해킹당했을 때 완벽한 사이트가 없다는 점을 감안할 때 MalCare는 버튼을 한 번만 클릭하여 몇 분 안에 사이트를 정리합니다.
![최고의 WordPress 보안 체크리스트 [궁극적인 가이드]](https://www0ce1.b-cdn.net/wp-content/uploads/2022/02/MalCare-security.png)
MalCare를 선택해야 하는 또 다른 이유는 수동 보안 조치를 사용하면 항상 인적 오류의 가능성이 있기 때문입니다. 그러나 보안 오류로 인해 몇 달러 이상이 발생할 수 있습니다. 해킹이 악화되면 데이터 도난, 웹사이트 손상, 고객 손실, 그리고 가장 중요한 것은 비즈니스에 대한 신뢰 상실로 이어질 수 있습니다.
궁극의 WordPress 보안 체크리스트
WordPress 사이트에는 모든 요소를 추적하는 것이 너무 많은 요소가 있습니다. 작업을 처리해야 하는 시간 빈도에 따라 WordPress 보안 체크리스트를 작성했습니다.
일상적인 보안을 위해
웹사이트 보안은 지속적인 프로세스이며 일회성 약속이 아닙니다. 그러나 일상적인 작업을 자동화할 수 있는 방법이 있습니다. 이러한 작업은 사이트가 예측하지 못한 문제나 위협으로부터 보호되도록 합니다.
사이트 스캔
매일 사이트에서 맬웨어를 검사하는 것이 중요합니다. 웹 사이트는 인터넷에서 38초마다 해킹되며 귀하의 웹사이트가 그 중 하나일 가능성이 높습니다. 사이트를 정기적으로 검사하면 사이트의 위협이나 맬웨어를 가장 먼저 알게 되고 공격자가 사이트에 피해를 주기 전에 조치를 취하는 데 도움이 됩니다.
![최고의 WordPress 보안 체크리스트 [궁극적인 가이드]](https://www0ce1.b-cdn.net/wp-content/uploads/2021/11/hacked-site-scan.png)
매일 수동으로 사이트를 스캔하는 것이 지루해 보인다면 MalCare와 같은 보안 솔루션을 선택할 수 있습니다. 이 솔루션을 사용하면 매일 자동 스캔을 예약할 수 있으므로 스캔을 놓치거나 개인적으로 실행해야 하는 걱정을 할 필요가 없습니다. .
웹사이트 백업
WordPress 웹 사이트를 백업해야 하는 몇 가지 이유가 있지만 가장 중요한 것은 보안입니다. 제 시간에 감지되지 않으면 맬웨어가 WordPress 사이트에 혼란을 야기하여 결과적으로 데이터 손실 또는 웹 사이트 손상으로 이어질 수 있습니다. 종종 웹 호스트는 감염된 경우 서버에서 사이트를 삭제하며 사이트에 대한 독립적인 백업이 없으면 처음부터 시작해야 합니다.
중요한 웹 사이트를 매일 백업하여 중요한 것이 손실되지 않도록 하는 것이 중요합니다. 실시간 백업이 필요한 WooCommerce 사이트의 경우 특히 그렇습니다. BlogVault와 같은 편리한 솔루션을 사용하면 이 프로세스를 매우 쉽게 수행할 수 있습니다. BlogVault를 사용하면 요구 사항에 따라 매일 또는 실시간으로 백업을 예약할 수 있으며 이러한 백업을 외부 서버에 저장하여 웹사이트 서버가 해킹되더라도 백업은 여전히 안전하게 유지됩니다.
월간 보안용
활동 로그 확인
맬웨어, 애드웨어 또는 기타 악성 프로그램의 해킹 및 설치는 일반적으로 비밀리에 발생합니다. 종종 눈에 보이는 유일한 추적은 사이트의 활동 로그, 수행된 활동 및 변경 사항에 대한 시간순 기록에서 찾을 수 있습니다. 따라서 사이트의 활동 로그를 매월 확인하여 불일치 또는 의심스러운 활동을 찾는 것이 좋습니다. 어떤 IP 주소가 관련되었는지, 어떻게 발생했는지 등 사이트가 해킹된 경우 여러 가지 중요한 세부 정보를 추적하는 데 도움이 될 수 있습니다.
![최고의 WordPress 보안 체크리스트 [궁극적인 가이드]](/article/uploadfiles/202210/2022103112125907.png)
귀하의 사이트가 높은 프로덕션 사이트인 경우, 즉 매일 또는 매주 콘텐츠를 게시하는 경우 사이트에 많은 변경 사항이 있기 때문에 한 달에 한 번 활동 로그를 확인하는 것이 부담스러울 수 있습니다. 이 경우 일주일에 한 번 또는 2주에 한 번 활동 로그를 확인할 수 있습니다.
WordPress는 기본적으로 활동 로그를 제공하지 않으므로 플러그인에 의존해야 합니다. 또는 MalCare는 완전한 WordPress 보안과 함께 상세하고 이해하기 쉬운 활동 로그를 제공합니다.
웹사이트 업데이트
이상적으로는 새 업데이트가 출시되는 즉시 WordPress 사이트를 업데이트해야 하지만 월별 업데이트를 수행하는 것도 효과가 있습니다. 월별 업데이트 일정을 따르면 사이트가 제대로 보호되고 새로운 취약점이 패치되는지 확인할 수 있습니다.
업데이트는 사이트를 손상시키는 것으로 알려져 있기 때문에 종종 무서운 것입니다. 그러나 BlogVault와 같은 플러그인을 사용하는 경우 스테이징 사이트에서 업데이트를 테스트하고 변경 사항을 라이브 사이트와 원활하게 병합할 수 있습니다.
검색 콘솔 확인
WordPress 사이트를 Google의 Search Console에 추가하면 SEO와 관련된 여러 이점이 있지만 사이트 보안에도 도움이 될 수 있습니다. Google’s Search Console has a Security Issues tab that flags any malware it detects on your site, so checking it from time to time can help you detect malware.
![최고의 WordPress 보안 체크리스트 [궁극적인 가이드]](https://www0ce1.b-cdn.net/wp-content/uploads/2022/02/SC.png)
If you scan your site with MalCare regularly, you will have already detected the malware on your site. But it is still a good practice to see if Google thinks there is any suspicious activity ongoing on your site.
Remove unused themes and plugins
Removing old and unused themes and plugins serves two purposes. The first is to speed up your site, as too many files can cause bloat and server slowdowns. The second is to make sure that your site cannot be attacked through them. Unused themes and plugins are often ignored and not updated, creating vulnerabilities that can be easily taken advantage of. So make sure to run a monthly check on all the themes and plugins you use and remove those that have served their purpose.
Note:Also check for any fake plugins on your site. Malware is often hidden as a plugin folder but fake plugins only have one or two files, can’t be located on the WordPress repository and have weird names like ‘azzz’ or ‘tiff’.
Update your credentials
Using the same credentials for too long or reusing them across multiple accounts is a major risk. To protect your WordPress site, update your passwords at least once a month. This ensures that any hacker who may have acquired your password cannot use it, and it also logs you out of your account on all devices. While slightly inconvenient, it ensures that you can control access to your website.
Check user roles and privileges
The user accounts on your WordPress site are as important as the admin account. If a hacker gets access to any account, they can infect your site, upgrade their role privileges, and even lock you out of your own site.
Make sure that every user on the site has only the necessary privileges, and old user accounts are deleted. Also check if any user privileges have been escalated without your authorization, it could be a sign of malware.
Block malicious IPs
Blocking or restricting malicious IPs can make life significantly easier for you. If you are getting hacked, you can trace the IP address it’s happening from, and simply block it. This stops anyone with that IP address from accessing your site. This method is used to combat hackers, stop bots or trolls, and keep unauthorized users out. If you use a firewall, it will automatically block malicious IPs for you.
You can also block an entire geographical area, if you are experiencing repeated attacks coming from the region.
Test your backups
If the worst should happen and your WordPress site goes down, you can rely on your backups to get it up and running again. But you need to make sure that your backups are safe as well. In case your backups have already been hacked, restoring them will be pointless. Similarly, you also need to test if they’re functional, or else you’ll be restoring a broken site. You can test your backups easily if you use BlogVault, and make sure that they are reliable.
Update WordPress salts
WordPress uses salts as part of its encryption process. A salt is a random string of characters that is added to a password before encryption. The resulting string is a hash, and that is what is stored in the database. That way, if a hacker is able to get the hashed passwords out of the database, AND decrypt them, they still don’t know what part of the password is actually the password and what is the salt. The only way they would know this is if they get access to the salts and security keys in the config file.
It is similar to how passwords are stored in browser cookies. The reason you can stay logged into any site is that the session information is stored in cookies. But if plaintext passwords were stored there, it would be dangerous. So WordPress stores the salted and hashed version instead. Having access to the salt doesn’t mean you can decrypt hashes, but it does reduce the level of security. Therefore, it is important to updates your WordPress salts periodically.
For long term security
Check SSL
SSL is a security protocol designed to encrypt any communication to and from your website server. This stops attackers from accessing, reading, or changing any information that is being transferred.
Usually, you secure your site with SSL when getting your domain or hosting plan. However, SSL certificates expire approximately every two years, and you need to ensure that it is renewed at the earliest. This is doubly important if users perform transactions on your website, as any security breach can lead to credit card details or bank account details getting leaked.
Check hosting plans
If you forget to renew your hosting plan on time, your WordPress account will be suspended. This can cause a number of issues. Your site traffic will take a hit, you’ll lose customers, and you might even wind up losing data. Checking your hosting services regularly also allows you to analyze your site traffic and server usage. Overly high server usage is a common symptom of a brute force attack, and catching such attacks earlier stands a better chance of stopping them. When you are alerted to a brute force attack early, you can act and secure your site before the hackers gain access to your site.
One-time measures for complete security
While WordPress security needs to be reviewed constantly, there are some measures that you can take once and not have to update constantly.
Invest in a strong firewall
A firewall protects your WordPress site by filtering out malicious traffic, and stopping most attacks before they can infect your website. There are several kinds of firewalls, like web application firewalls, network firewalls, or cloud-based firewalls. A strong web application firewall such as MalCare’s allows you to filter your website traffic, and block visitors by the number of login attempts or geographic location.
Implement HTTP Authentication
HTTP Authentication is a protocol that allows access to a web resource only to those who are meant to access it. HTTP authentication restricts access by asking for a username and password when a certain web page is requested. Now obviously, you cannot do this for your entire website, but implementing it for your admin dashboard or login page can significantly reduce the number of bot attacks.
Use Two-Factor Authentication
Two-factor authentication is a method that requires a user to present two separate keys to access an account. For example, if you are trying to access your email, usually you need to provide the username and password, but when you implement two-factor authentication, you will also have to provide a key that is created in real-time such as a one-time password or PIN. This lowers the number of login attempts and does not overwhelm your website server with login requests. It also protects your website against brute force attacks. You can use a plugin like 2FA to enable two-factor authentication for your site.
Limit login attempts
We’ve already talked about how login attempts need to be limited. WordPress, by default, allows unlimited login attempts, and this offers a ripe opportunity for hackers to try accessing your WordPress account with brute force attacks. The easiest way to limit login attempts is to use a security plugin like MalCare, or you can add custom code to your function.php file.
Disable XML-RPC
Similar to WP REST API, XML-RPC is a WordPress feature that allows you to publish content remotely. It is useful if you use the WordPress app or need to enable trackbacks and pingbacks but otherwise, it can be exploited by hackers to gain access to your site through brute force attacks. The easiest solution here is to disable it with a plugin or manually.
Disable Directory Browsing
When your server doesn’t find an index file for a website, it shows an index of the contents of the directory. If a hacker can access this information, they can check if you have any files that are vulnerable on your website. This opens your website to major security risks.
In order to avoid this, you can disable directory browsing by adding a line of code to your .htaccess file. Follow these steps to disable directory browsing on your WordPress site.
- Download the .htaccess file on your site through an FTP client.
- Open the file and add the following code to the bottom of the file:
Options All -Indexes
- Now save the file, and reupload it. You will have to delete the original file from your site first.
Restrict File Permissions
The file permissions on your site determine who can access what parts of your site and who can modify them. Usually, your web host configures all of this information for you. But it is still a good practice to understand file permissions and ensure that they are configured optimally.
If you want to understand how file permissions work and how you can optimize them for your site security, go through our guide which is detailed and beginner-friendly.
Hide wp-config file
The wp-config file on your website is full of sensitive information such as passwords, keys, and salts. If hackers gain access to the file, it will be like rolling a red carpet to the website for them. The wp-config file is located in the public_html folder by default, so hackers know where to look for it. But you can change the location of the file, and it still functions just as well, while hiding sensitive information effectively.
Disabling PHP Execution in Specific Folders
Hackers can upload PHP files on your site disguised as core WordPress files and gain access to your site. Some folders like wp-uploads shouldn’t have PHP files at all. So what do you do in this case?
You can disable PHP execution in these folders so that even if hackers manage to get in these files through any backdoors, they cannot gain access to your site.
![최고의 WordPress 보안 체크리스트 [궁극적인 가이드]](https://www0ce1.b-cdn.net/wp-content/uploads/2022/02/new.png)
Why Website Security is Important
WordPress is a secure platform, but it is very popular and attracts all sorts of attention. Some of which are nefarious. In order to make sure that hackers can’t gain access to your site, you need to ensure that your website security is up to date, or else you could face dire consequences like:
- Loss of customers
- Data loss
- Leaked private credentials
- Revenue loss
- Legal issues
- Hit to the brand reputation
- Loss of trust
Final Thoughts
WordPress security is not a mystery. If you take a few steps to secure your site, you will be able to fend off attacks and malware, and avoid any damages. We hope that this WordPress security checklist helps you tighten your security measures.
If you want a hassle-free solution that does not compromise your security, MalCare is the only option. With automated scans, an advanced firewall, and one-click cleanups, MalCare is a 360 degree solution that protects your site.
FAQs
How do I secure my WordPress site?
The easiest method to secure your WordPress site is to install a security plugin like MalCare. MalCare scans your website everyday to ensure that your website is safe, and protects your website with its advanced firewall. It also offers a one-click cleanup in case there is a hack.
Does WordPress have security issues?
WordPress is a secure platform used by over half of the websites on the internet. However, it is because of this popularity that it attracts the attention of hackers. You can secure your WordPress site with a security plugin to ensure that your site is safe from these elements.
How do I secure my WordPress site without plugins?
If you wish to secure your site without using plugins, you need to perform several security checks regularly. You will have to perform site scans, take backups, look for suspicious behavior in the site’s activity log, and manually clean up any malware that you may detect. The list of ways hackers can get into your site is endless, and the only way you can secure your site without having to constantly be on alert is to use a security plugin.