소규모 비즈니스를 위해 소규모 블로그나 웹사이트를 운영하는 경우 사이트가 해커의 표적이 되지 않으며 사이트를 보호하기 위한 조치를 취할 필요가 없다고 생각할 수 있습니다. 나쁜 점은 온라인 공격의 대부분이 자동화된 봇넷이며 중소기업이든 대기업이든 상관하지 않는다는 것입니다.
이 기사에서는 WordPress 로그인 페이지를 보호하기 위해 취할 수 있는 몇 가지 보안 조치를 보여줍니다.
1. 이중 인증 통합
2단계 또는 2단계 인증은 이제 모든 온라인 계정을 보호하기 위한 불가피한 단계가 되었습니다. 사용자는 주로 가장 중요한 온라인 계정에 이 보안 계층을 사용합니다. 이제 WordPress 사이트에 사용할 수 있습니다.
자주 업데이트되고 설정이 쉽기 때문에 권장하는 플러그인은 Google OTP입니다. 시작하기 전에 모바일 장치에 Authenticator 앱을 다운로드했는지 확인하십시오. Android, iOS 및 Blackberry에서 사용할 수 있습니다.
1. Google OTP 플러그인을 설치하고 활성화합니다.
2. "사용자 -> 내 프로필"로 이동하여 Google OTP 설정까지 아래로 스크롤합니다.
3. "활성" 옆에 있는 상자를 클릭하고 설명 필드에 간단한 설명을 추가합니다. 설명은 여러 코드를 설정한 경우 모바일 앱에서 웹사이트를 식별하는 데 도움이 됩니다.
4. "QR 스캔" 버튼을 클릭하여 패턴을 보이게 합니다. 모바일 앱을 열고 이 QR 패턴을 스캔하세요. 그러면 로그인 중에 추가할 수 있는 6자리 코드가 생성됩니다.
이 코드는 10초마다 변경되므로 해당 시간에 추가해야 합니다. WordPress 사이트에 로그인할 때마다 기기에서 Authenticator 앱을 열어 두십시오. 코드를 입력하고 로그인 버튼을 누르는 데 10초밖에 걸리지 않습니다.
2. 보안 플러그인 사용
많은 보안 플러그인이 있지만 아래 목록에는 로그인 페이지를 보호하기 위한 플러그인이 포함되어 있습니다.
- WPS 로그인 숨기기:기본 WordPress 페이지는 "wp-login.php"입니다. 이 플러그인을 사용하면 로그인 페이지를 원하는 맞춤 URL로 변경할 수 있습니다.
- WP 제한 로그인 시도:이 플러그인은 무차별 대입 공격에 대한 방어 역할을 합니다. 사용자의 로그인 시도 횟수를 설정할 수 있습니다. 사용자가 지정된 횟수만큼 로그인에 실패하면 해당 사용자의 IP가 사이트에서 일시적으로 차단됩니다. 그 외에도 보안 문자 확인을 추가하여 봇을 제거합니다.
- Loginizer:무차별 대입 공격 및 기타 공격으로부터 로그인 페이지를 보호하는 올인원 플러그인입니다. Two Factor Auth, reCAPTCHA, PasswordLess Login 및 기타 로그인 전용 보안 기능이 많이 있습니다.
3. 특정 IP 주소만 로그인 페이지에 액세스하도록 허용
사이트에 대한 사용자가 소수인 경우 로그인 페이지에 액세스할 수 있는 IP 주소의 화이트리스트를 추가할 수 있습니다. 이렇게 하려면 "wp-admin" 폴더에 ".htaccess" 파일을 생성하기만 하면 됩니다(웹 호스트의 cPanel 사용).
새로 생성된 ".htaccess" 파일에 다음 코드를 추가합니다.
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "WordPress Admin Access Control" AuthType Basic <LIMIT GET> order deny,allow deny from all # Ab's IP address allow from xx.xx.xx.xxx # Ketul's IP address allow from xx.xx.xx.xxx # John's IP address allow from xx.xx.xx.xxx </LIMIT>
화이트리스트에 추가하려는 IP 주소로 "xx"를 변경하기만 하면 됩니다. 또한 그 위에 주석을 추가하여 사용자를 지정할 수 있습니다. 이렇게 하면 언급된 IP 주소만 "wp-admin" 페이지에 액세스할 수 있습니다. 다른 IP 주소에서 액세스하면 403 오류가 표시됩니다. 이렇게 하면 로그인 페이지에 대한 액세스를 제한하고 사이트 보안을 강화할 수 있습니다.
4. HTTPS로 전환
WordPress 사이트 또는 블로그의 보안에 정말로 관심이 있다면 HTTPS는 반드시 업그레이드해야 하는 프로토콜입니다. HTTPS는 기본적으로 웹 브라우저와 웹 서버 간의 연결을 암호화하므로 공격자가 전송 중인 데이터를 스푸핑하기 어렵게 만듭니다. 컴퓨터 장치에 숨겨진 악성 스크립트, 로그인 양식 및 기타 입력 필드에서 데이터를 훔칠 수 있는 스크립트로부터 사용자를 보호할 수 있습니다.
보안 외에도 Google 검색 결과에서 HTTPS가 아닌 다른 사이트보다 이점을 얻을 수 있습니다. 또한 HTTPS 연결에 필요한 SSL 인증서가 이전보다 훨씬 저렴해졌습니다.
결론
WordPress 로그인 페이지를 보호하는 것은 사이트 보안을 보장하는 첫 번째 단계입니다. 위에서 언급한 단계를 수행하면 무차별 대입 공격과 대부분의 해킹을 견딜 수 있는 견고한 로그인 페이지를 갖게 됩니다.