WordPress 보안에 대한 필요성이 빠르게 증가하고 있습니다. 보고서에 따르면 WordPress 사이트는 분당 90,978회의 공격을 경험합니다. WordPress는 출시 이후 2,450개 이상의 취약점을 패치했습니다. 사이트를 보호하기 위해 이미 취하고 있는 기본적인 보안 조치 외에도 웹사이트에서 WordPress DDoS(분산 서비스 거부)를 방지하는 방법을 비롯한 몇 가지 고급 WordPress 보안 조치가 있습니다.
1. HTTP 추적 기능 끄기
XSS(교차 사이트 스크립팅) 및 XST(교차 사이트 추적)와 같은 공격은 HTTP 추적 기능이 활성화된 시스템을 대상으로 합니다. 대부분의 웹 서버는 기본적으로 디버깅과 같은 활동에 사용하는 HTTP 추적과 함께 작동하도록 설정됩니다. 해커는 헤더 요청을 사용하여 Cross Site Tracing 공격을 실행하여 쿠키와 같은 민감한 정보를 훔칩니다. OWASP Top Ten Project는 WordPress 웹사이트의 취약점 및 공격에 대한 포괄적인 목록을 제공합니다.
모든 취약점 유형 중에서 Cross Site Scripting이 1위를 차지했습니다. 실제로 모든 웹사이트의 46.9%가 이러한 유형의 공격에 취약합니다. HTTP 추적 기능을 비활성화하려면 .htaccess 파일에 다음 코드를 추가하세요.
RewriteEngine OnRewriteCond %{REQUEST_METHOD} ^TRACERewriteRule .* - [F] 2. WordPress 설치 헤더 출력 제거
WordPress 웹사이트의 다른 부분과 관련된 서비스를 사용하려면 헤더에 많은 출력을 추가해야 합니다. 테마의 "functions.php" 파일에 아래 코드를 추가하여 이러한 출력을 제거할 수 있습니다.
remove_action( 'wp_head', 'index_rel_link' );remove_action( 'wp_head', 'feed_links', 2 );remove_action( 'wp_head', 'feed_links_extra', 3 );remove_action', ''wp_head;remove_action( 'wp_head', 'wlwmanifest_link' );remove_action( 'wp_head', 'parent_post_rel_link', 10, 0 );remove_action( 'wp_head', 'start_post_re_head_link_,_jawp_head', 'start_post_re_head_link', 10, 0 )'; ', 10, 0 );remove_action( 'wp_head', 'wp_generator' );remove_action( 'wp_head', 'wp_shortlink_wp_head', 10, 0 );remove_action( 'wp_head', 1 '인덱스 없음',3. WordPress의 기본 데이터베이스 접두사 변경
WordPress 데이터베이스 테이블의 기본 접두사 값은 "wp_"입니다. 해커와 유해한 봇은 이 접두사 값을 사용하여 데이터베이스 테이블 이름을 성공적으로 추측할 수 있습니다. wp-config.php 파일은 워드프레스 데이터베이스 접두사 값이 설정되는 곳이므로 워드프레스 설치 시 이 접두사 값을 변경하는 것이 더 쉽습니다. Change Table Prefix 플러그인을 사용할 수 있습니다. 수동으로 수행하려면 아래 단계를 따르세요.
1. 데이터베이스를 완전히 백업하고 백업을 안전한 곳에 저장합니다. 다음은 사용할 수 있는 백업 플러그인입니다.
2. 웹 호스트 제어판에서 "phpmyadmin"을 사용하여 WordPress 데이터베이스를 텍스트 파일로 완전히 덤프합니다. 이 텍스트 파일도 백업하십시오.
3. 그런 다음 코드 편집기를 사용하여 모든 'wp_' 접두사 값을 고유한 접두사로 바꿉니다.
4. 관리자 패널에서 모든 플러그인을 비활성화합니다.
5. 이제 위의 세 번째 단계에서 편집한 파일을 사용하여 phpMyAdmin을 통해 이전 데이터베이스를 제거한 후 새 데이터베이스를 가져옵니다.
6. 새로운 데이터베이스 접두어 값을 사용하여 "wp-config.php" 파일을 편집합니다.
7. 이제 WordPress 플러그인을 다시 활성화하십시오.
8. 영구 링크 설정을 저장하려면 설정으로 이동한 다음 영구 링크로 이동합니다. 이렇게 하면 웹사이트의 영구 링크 구조가 새로 고쳐집니다. 데이터베이스 접두사를 변경해도 도메인 이름, URL 및 영구 링크 설정이 변경되어서는 안 됩니다.
4. 잠재적으로 위험한 쿼리 문자열 차단
XSS(교차 사이트 스크립팅) 공격을 방지하려면 .htaccess 파일에 다음 코드를 추가하십시오. 먼저 코드를 추가하기 전에 잠재적으로 위험한 쿼리 문자열을 식별합니다. 이 규칙 집합에 의해 URL 요청에서 많은 악성 삽입이 제거됩니다. 여기서 주목해야 할 두 가지 중요한 사항이 있습니다.
- 일부 플러그인 또는 테마는 이미 사용 중인 문자열을 제외하지 않으면 기능을 중단합니다.
- 아래 문자열이 가장 일반적이지만 더 많은 문자열을 추가할 수도 있습니다.
RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC]RewriteCond %{QUERY_STRING} ../ [NC,OR]RewriteCond %{QUERY_STRING} boot.ini [NC,OR]RewriteCond %{ QUERY_STRING} 태그=[NC,OR]RewriteCond %{QUERY_STRING} ftp:[NC,OR]RewriteCond %{QUERY_STRING} http:[NC,OR]RewriteCond %{QUERY_STRING} https:[NC,OR]RewriteCond %{QUERY_STRING} mosConfig [NC,OR]RewriteCond %{QUERY_STRING} ^.*([|]|(|)|<|>|'|"|;|?|*).* [NC,OR]RewriteCond %{QUERY_STRING} ^ .*(%22|%27|%3C|%3E|%5C|%7B|%7C).* [NC,OR]다시 쓰기 조건 %{QUERY_STRING} ^.*(%0|%A|%B|% C|%D|%E|%F|127.0).* [NC,OR]RewriteCond %{QUERY_STRING} ^.*(globals|encode|config|localhost|loopback).* [NC,OR]RewriteCond %{QUERY_STRING } ^.*(요청|선택|삽입|결합|선언|삭제).* [NC]RewriteRule ^(.*)$ - [F,L] 5. Deflect를 사용하여 DDoS 공격 방지
신생 웹사이트, 독립 미디어 그룹, 대부분의 인권 활동가/단체 사이트에는 일반적으로 DDoS(분산 서비스 거부) 공격을 견딜 수 있는 기술 및 재정 자원이 없습니다. 바로 여기에서 Deflect가 등장합니다. Deflect는 상용 DDoS 완화 옵션보다 더 나은 솔루션으로 스스로를 포지셔닝합니다.
상업용 DDoS 완화 옵션은 많은 비용이 들며 보호 중인 웹 사이트가 정기적으로 DDoS 공격을 받을 경우 서비스 약관을 변경할 수 있습니다. Deflect는 웹사이트를 지속적으로 보호하여 DDoS 공격을 사전에 차단합니다.
웹 사이트에서 Deflect를 사용하는 경우의 부수적인 이점은 클라이언트의 서버 및 시스템 관리자 리소스에 대한 부담을 줄여 비용을 절약할 수 있다는 것입니다. Deflect는 크리에이티브 커먼즈 라이선스에 따라 모든 소스 코드와 문서를 공개 도메인에 보관합니다. 이를 통해 누구나 자신의 Deflect 네트워크를 설정하여 DDoS 공격을 완화할 수 있습니다. 웹사이트에서 무료로 가입하고 바로 서비스를 사용할 수 있습니다.
6. SSL(Secure Sockets Layer) 및 방화벽 보호 사용
Sucuri와 같은 보안 서비스는 SSL(Secure Sockets Layer) 인증서 설치 및 PCI 호환 방화벽 보호와 같은 보안 옵션을 제공합니다. 비기술적 사용자를 포함하여 모든 사람이 쉽게 액세스할 수 있는 옵션입니다.
이와 같은 보안 솔루션을 쉽게 설정하고 백그라운드에서 작동하도록 할 수 있으며 경우에 따라 필요에 따라 자체 업데이트(예:Sucuri)할 수 있습니다. 이것은 매우 효과적이고 유지 관리가 적은 보안 옵션입니다.
여러 WordPress 플러그인을 사용하여 사이트에 SSL(Secure Sockets Layer) 인증서를 추가할 수 있습니다. 가장 권장되는 WordPress SSL 플러그인에는 CM HTTPS Pro, really Simple SSL, WP Force SSL, SSL Insecure Content Fixer 및 Easy HTTPS Redirection이 있습니다.
마무리하기
위에 설명된 사항을 사용하면 사이트 보안이 크게 향상됩니다. WordPress 보안은 항상 발전하고 있다는 사실을 알아두는 것이 좋습니다. 목표는 위험을 제거하는 것이 아니라 완화하는 것입니다. 그렇게 하는 것이 거의 불가능하기 때문입니다. WordPress 보안은 동적이며 여러 계층에서 작동하므로 한 가지 플러그인에 모두 적용되거나 한 가지 전략에 모두 적용되는 방식이 없습니다.