WordPress 웹사이트를 보호하기 위해 취해야 할 확실한 보안 조치를 이미 알고 있을 것입니다.
사이트의 비밀번호를 "강력하게" 만들어야 한다는 것을 알고 있을 것입니다(특수 문자, 대문자, 소문자 및 숫자의 혼합). "admin"을 사용자 이름으로 사용해서는 안 되며, 비밀번호는 자주 변경해야 합니다. WordPress 사이트에서 이미 이중 인증을 사용하고 있으며 사이트를 백업해 두었을 것입니다. 또한 무료로 또는 알 수 없는 출처에서 프리미엄 플러그인을 다운로드하지 않습니다. 그럼 또 뭐가 있을까요?
여기에서는 거의 알려지지 않았지만 WordPress 사이트를 보호하기 위해 사용할 수 있고 사용해야 하는 매우 효과적인 방법을 사용하여 WordPress 보안 팁을 몇 가지 더 논의합니다.
1. 로그인 페이지 이름 변경 또는 재배치
사이트의 기본 로그인 페이지는 "www.websitename.com/wp-login.php"(또는 "www.websitename.com/wp-admin")입니다. 사이트를 보호하는 방법 중 하나는 로그인 페이지를 숨기거나 숨겨 해커가 쉽게 찾을 수 없도록 하는 것입니다. 매번 로그인 시도 횟수와 로그인 시도 사이의 시간 간격을 제한하여 로그인 액세스를 제어하면 보안도 향상됩니다.
Jetpack이 이미 설치되어 있는 경우 "무차별 대입 보호" 모듈을 활성화할 수 있습니다. 이 모듈이 활성화되면 Jetpack은 웹사이트에 대한 악의적인 로그인 시도 횟수로 대시보드를 업데이트합니다. 여러 IP 주소를 화이트리스트에 추가할 수도 있습니다. Jetpack에서 "설정", "보호", "구성"으로 차례로 이동하면 아래 이미지와 같은 모양이 표시됩니다.
Cerber Security and Limit Login Attempt는 Jetpack의 대체 플러그인입니다. Jetpack을 사용하지 않으려면 로그인 제한이 옵션입니다. 작성 날짜 기준으로 플러그인은 40,000회 이상 설치되었으며 사용자 111명 중 108명이 별 5개를 주었습니다.
로그인 제한은 사용하기가 매우 쉽지만 "강화" 섹션을 구성하면 사이트 보안이 향상됩니다. 트랙백 및 핑백을 포함하는 XML-RPC 서버에 대한 모든 액세스는 기본적으로 차단됩니다. 어떤 이유로든 WordPress의 나머지 API에 액세스하려는 경우(예:블로그의 Android 또는 iOS 앱에 필요) WP rest API 및 XML-RPC에 액세스할 수 있도록 하세요.
2. 안전한 곳에서 호스팅
WordPress 사이트의 보안 위반 중 무려 41%가 사이트 자체가 아니라 호스트 측에서 발생하기 때문에 호스트가 안전한지 확인하는 것이 상식입니다. 사실, 호스팅은 보안과 관련하여 가장 큰 비중을 차지합니다. 해킹의 8%만이 취약한 비밀번호로 인해 발생하고, 29%는 테마로, 22%는 플러그인으로 인해 발생합니다. 따라서 사이트 안전의 약 절반이 호스팅에 의존합니다.
공유 호스팅을 사용하는 경우 계정에 계정 격리가 포함되어 있는지 확인하세요. 귀하의 계정은 다른 사람의 웹사이트에서 일어나는 모든 일로부터 보호됩니다. 그러나 WordPress 사용자를 염두에 두고 설계된 서비스를 사용하는 것이 가장 좋습니다. 이러한 서비스에는 WordPress 방화벽, 제로 데이 맬웨어 공격 방지, 업데이트된 MySQL 및 PHP, 전문 WordPress 서버, WordPress에 정통한 고객 서비스가 포함됩니다. WP Engine, Siteground 및 Pagely와 같은 호스트는 강력한 안전 기록을 보유하고 있습니다.
3. 최신 상태를 유지하고 업데이트된 소프트웨어만 사용
컴퓨터에 업데이트된 바이러스 백신 및 기타 관련 맬웨어 방지 보호 기능을 사용해야 한다는 것을 알고 있습니다. 이 예방 조치는 플러그인 및 테마에도 적용됩니다. 최신 상태로 유지하고 저장소에 사용하지 않는 테마나 플러그인이 있으면 제거하십시오. 사이트에 적합한 경우 플러그인과 테마가 자동으로 업데이트되도록 설정하는 것이 좋습니다. 자동 업데이트를 설정하려면 wp-config.php에 일부 코드를 넣으십시오. 다음은 플러그인에 대한 코드입니다.
add_filter( 'auto_update_plugin', '__return_true' );
테마의 경우 다음 코드를 사용하세요.
add_filter( 'auto_update_theme', '__return_true' );
사이트 유지 관리에 대한 수동 접근 방식을 원하는 경우 WordPress 업데이트 자동화를 고려할 수 있습니다. 그러나 자동 업데이트를 설정하면 특히 최신 WordPress 업데이트와 호환되지 않는 플러그인이 사이트에서 실행되는 경우 사이트가 중단될 수 있습니다. WordPress 사이트에 대한 자동 업데이트를 설정하려면 wp-config.php에 아래 코드를 삽입하세요. 파일:
# Enable all core updates, including minor and major: define( 'WP_AUTO_UPDATE_CORE', true );
4. 플러그인 테마 편집기 및 PHP 오류 보고 제거
정기적으로 설정을 조정 및 변경하지 않는 경우(또는 플러그인 및 테마에 대한 다른 유지 관리를 실행하지 않는 경우) 플러그인 및 테마용 내장 편집기를 비활성화하십시오. 이것은 귀하의 웹사이트 보안을 위한 것입니다.
승인된 WordPress 사용자는 이 편집기에 액세스할 수 있으므로 계정이 해킹될 경우 사이트가 보안 침해에 취약합니다. 실제로 해커는 해당 편집기에서 코드를 수정하여 사이트를 중단할 수 있습니다. 편집기를 비활성화하려면 wp-config.php에 아래 코드를 삽입하세요. :
define( 'DISALLOW_FILE_EDIT', true );
오류 보고가 좋습니다. 문제 해결에 도움이 됩니다. 유일한 문제(그리고 큰 문제)는 오류 메시지가 서버 경로와 함께 전달된다는 것입니다. 해커는 서버 경로를 보고 쉽게 웹사이트 구조를 명확하게 이해할 수 있습니다. PHP 오류 보고는 훌륭하지만 완전히 비활성화하는 것이 가장 좋습니다. wp-config.php에 대해 아래 코드 스니펫을 사용하십시오. 파일:
error_reporting(0); @ini_set(‘display_errors’, 0);
5. .htaccess를 사용하여 특수 목적 파일 보호
.htaccess 파일은 WordPress 웹사이트의 핵심이기 때문에 중요합니다. 이 파일은 사이트의 영구 링크 구조와 보안을 담당합니다. #BEGIN WordPress 외부 및 #END WordPress 태그를 사용하면 웹사이트 디렉토리에 있는 파일의 가시성을 변경하기 위해 .htaccess 파일에 추가할 수 있는 코드 조각의 수에 제한이 없습니다.
아직 하지 않았다면 사이트의 wp-config.php 파일을 숨깁니다. 이 파일은 사이트 활동의 중추적 역할을 하며 개인 정보 및 사이트와 관련된 기타 중요한 세부 정보를 포함합니다. 아래 코드 스니펫을 사용하여 숨길 수 있습니다.
order allow,deny deny from all
관리자 액세스를 제한하려면 새 .htaccess 파일을 만들고 "wp-admin" 디렉터리에 업로드하기만 하면 됩니다. 그런 다음 다음 코드를 삽입하세요.
order deny,allow allow from 192.168.5.1 deny from all
올바른 위치에 IP 주소를 입력하십시오. 여러 IP 주소에서 wp-admin에 대한 액세스를 허용하려면 해당 IP 주소를 allow from IP Address와 같이 별도의 줄에 나열하십시오. . 거의 같은 방식으로 wp-login.php에 대한 액세스를 제한할 수 있습니다. 이 코드 스니펫을 .htaccess:
order deny,allow Deny from all # allow access from my IP address allow from 192.168.5.1
모든 IP 주소를 차단하지 않고 wp-admin 또는 wp-login.php에 액세스하려는 특정 IP 주소만 차단하려면 다음 코드를 사용하여 개별 IP 주소를 차단할 수 있습니다.
order allow,deny deny from 456.123.8.9 allow from all
사이트 디렉토리를 탐색할 수 없도록 하여 사람들이 사이트 디렉토리를 보지 못하도록 차단할 수도 있습니다. 다음 코드 스니펫을 사용하여 수행할 수 있습니다.
Options All -Indexes
결론
이것은 WordPress 웹 사이트의 보안을 개선하는 데 도움이 되는 실행 가능한 가이드였습니다. 이러한 옵션 중 가장 중요한 것은 지금 구현하기 매우 간단한 옵션입니다. 사이트 보안의 절반이 호스트에 있기 때문에 보안에 대한 깨끗한 평판을 가진 호스트를 찾으십시오.
가장 유용했던 보안 팁과 그 이유는 무엇입니까? 여기에 나열되지 않은 다른 보안 팁이 있습니까? 댓글에 언급하세요.