평신도를위한 10 실용적인 WordPress 보안 팁

작성자 :
  • 워드 프레스
  • 업데이트 : Jun 06, 2018

20 년 전 처음 소개 된 이래 WordPress는 세계에서 가장 유명한 콘텐츠 관리 시스템으로 안전하게 성장했습니다. 오늘, 4 분의 1 이상 존재하는 웹 사이트는 WordPress에서 실행됩니다.

그러나 태어날 때부터 대중적인 것이 많을수록 사악한 수단으로 더 많은 사람들이 그것을 활용하고 싶어합니다. Microsoft Windows 및 엄청난 수의 맬웨어, 바이러스 및 기타 악용 이 하나의 특정 운영 체제 만 대상으로 설계되었습니다.

가장 큰 취약점이있는 10 WordPress 버전출처). 2017의 연구는 Alexa 74 만 웹 사이트에서 WordPress의 1 버전을 확인했습니다. 이 버전의 11은 유효하지 않습니다 (예 : 버전 6.6.6출처).

WordPress 블로그가 중요한 목표가 된 이유는 무엇입니까?

해커가 WordPress 블로그를 제어하려는 이유가 궁금한 경우, 다음과 같은 몇 가지 이유가 있습니다.

  • 그것을 사용하여 은밀하게 스팸 전자 메일을 보냅니다.
  • 메일 링리스트 나 신용 카드 정보와 같은 데이터를 훔칩니다.
  • 나중에 사용할 수있는 봇넷에 사이트 추가하기

다행히도, WordPress는 당신에게 자신을 방어 할 수있는 많은 기회를 제공하는 플랫폼입니다. 여러 웹 사이트와 블로그를 직접 설정하고 관리하는 데 도움이되었으므로 WordPress 사이트의 보안을 유지하기 위해 할 수있는 기본적인 것들을 함께 나누고 자합니다.

다음은 사용할 수있는 10 실행 가능한 보안 팁입니다.

팁 #1. 좋은 관리자 사용자 이름 선택

경험상 대부분의 사이트 해킹 시도는 세 가지 주요 사용자 이름 중 하나를 선택하여 로그인을 시도합니다. 첫 번째 두 개는 항상 'admin'또는 'administrator'이며 세 번째 도메인은 일반적으로 도메인 이름을 기반으로합니다.

예를 들어 사이트가 crazymonkey33.com 인 경우 해커는 'crazymonkey33'을 사용하여 로그인을 시도 할 수 있습니다.

좋은 생각.

팁 #2. 강력한 암호를 사용해야합니다.

지금까지는 사람들이 자신의 계정을 보호하기 위해 강력하고 복잡한 암호를 사용하는 것을 알고 있다고 생각할 수 있지만 여전히 '암호'가 훌륭한 사람이라고 생각하는 사람이 많이 있습니다.

강력한 암호에는 다음 항목이 포함됩니다.

  • 대문자와 소문자
  • 영숫자 (AZ 및 az)
  • 특수 문자 (!, @, #, $ 등)를 포함하십시오.
  • 길이가 8 자 이상이어야합니다.

암호가 무작위로 선택할수록보다 안전합니다. 문제가 발생하면이 임의의 암호 생성기를 사용해보십시오. https://passwordsgenerator.net/

팁 #3. reCaptcha 구현하기

WP 블로그에서 Wall Bots를 제거합니다.

reCaptcha는 사이트에서 자동화 된 도구가 작동하지 않도록 설계되었습니다. 물론 오늘날 해킹 도구의 복잡성을 감안할 때 이러한 도구는 쉽게 건너 뛸 수 있지만 적어도 보안 계층은 추가됩니다.

있다 많은 reCaptcha 플러그인 당신은 당신의 설치와 함께 사용할 수 있습니다.

팁 #4. 이중 인증 사용 (2FA)

2FA는 로그인 확인을 요구하는 인증 방법입니다. 예를 들어 사용자 이름과 비밀번호로 로그인하면 시스템에서 휴대 전화로 SMS를 보내거나 신원을 확인하기 위해 입력해야하는 코드를 이메일로 전송할 수 있습니다.

이 인증 방법은 좋은 보호 기능을 제공하며 오늘날 많은 은행과 금융 기관에서 사용됩니다. 다시 말하지만, 이러한 요구 사항은 2FA 플러그인.

miniOrange (2FA 플러그인)가 다음 비디오에서 WordPress 로그인과 함께 작동하는 방법을 확인하십시오.

T

팁 #5. 로그인 URL 이름 바꾸기

대부분의 해커는 기본적으로 sample.com/wp-admin과 같은 기본 Wordpress 로그인 페이지를 통해 로그인을 시도합니다.

다른 보호 레이어를 추가하려면 다음과 같은 도구를 사용하여 로그인 페이지 URL을 빠르고 쉽게 변경하십시오. WPS 비공개 로그인.

팁 #6. wp-admin 디렉토리를 보호하십시오

보안 디렉토리를 호스트 디렉토리에 추가하십시오.

wp-admin 디렉토리는 WordPress 설치의 핵심입니다. 추가 보호 수단으로이 디렉토리를 암호로 보호하십시오.

그렇게하려면 호스팅 계정 제어판에 로그인해야합니다. 사용 중인지 여부 의 cPanel or Plesk를, 당신이 찾고있는 옵션은 '암호로 보호 된 디렉토리'.

팁 #7. SSL을 사용하여 데이터 암호화

HTTP 대 HTTPS 연결 (출처 : Sucuri)

사이트 자체는 물론 사용자와 서버 간의 연결을 보호하기를 원할 것입니다. 여기서는 SSL을 사용하여 통신을 암호화합니다. 암호화 된 연결을 사용하면 해커가 서버와 통신 할 때 데이터 (예 : 암호)를 가로 챌 수 없습니다.

그 외에도 검색 엔진이 '안전하지 않은'사이트로 점점 불리 해지고 있기 때문에 SSL을 구현하는 것이 좋습니다.

포괄적 인 SSL에 대해 자세히 알아보십시오. AZ 가이드 - SSL.

팁 #8. 모든 소프트웨어가 최신 버전인지 확인하십시오.

좋은 소프트웨어 나 비싼 소프트웨어가 아무리 많아도 항상 악용 될 수있는 새로운 약점이 있습니다. WordPress도 예외는 아니며 팀은 수정 및 업데이트 된 최신 버전을 지속적으로 릴리스하고 있습니다.

해커들은 거의 항상 약점을 이용하려고 노력하며 알려지지 않은 채로 남겨진 악용 사례는 단순히 문제를 묻는 것입니다. 이는 자원이 적은 많은 중소기업에서 종종 생성되는 플러그인의 경우 2 배가됩니다.

플러그인을 사용하는 경우 정기적으로 업데이트를 릴리스하거나 업데이트 된 유사한 기능을 가진 플러그인을 찾아보십시오.

이 말을했으면 사용하지 않는 것이 좋습니다. 자동 WordPress 및 플러그인 업데이트특히 라이브 사이트를 운영하는 경우 일부 업데이트는 내부적으로 또는 다른 플러그인 및 설정과 충돌하여 문제를 일으킬 수 있습니다.

라이브 사이트를 반영하고 업데이트를 테스트하는 테스트 환경을 만드는 것이 이상적입니다. 모든 것이 잘 작동하면 라이브 사이트에 업데이트를 적용 할 수 있습니다.

Plesk와 같은 제어판에서 이러한 목적으로 사이트 복제본을 만들 수 있습니다.

팁 #9. CDN (Content Distribution Network)을 활용하십시오.

이렇게하면 사이트가 해킹 당하지 않을 수 있지만 해커 공격으로부터 악의적 인 공격을 완화하는 데 도움이됩니다. 일부 해커들은 웹 사이트를 파괴하여 대중에게 접근하기 어렵게 만들고 있습니다. CDN은 사이트에서 분산 서비스 거부 (DoS) 공격을 완화하는 데 도움이됩니다.

그 외에도 일부 콘텐츠를 캐싱하여 사이트 속도를 약간 높일 수 있습니다. 이 옵션을 탐색하려면 CloudFlare를 예로 들어보십시오. CloudFlare는 다중 계층 가격 책정 수준에서 CDN 서비스를 제공하므로 기본 기능을 무료로 사용할 수도 있습니다. https://www.cloudflare.com

팁 #10. 백업, 백업 및 백업!

어떤 보안 대책이나 신중한 자세를 취하더라도 사고가 발생합니다. 적절한 백업 서비스를 제공하기 만하면 수백 시간의 업무 시간과 엄청난 양의 긴장을 피할 수 있습니다.

일반적으로 귀하의 웹 호스트는 최소한의 기본적인 백업 기능을 제공 할 것입니다. 그러나 당신이 나를 좋아하는 편집증이라면 항상 독자적인 백업을 수행하십시오. 백업은 파일을 복사하는 것만 큼 간단하지 않지만 데이터베이스의 정보도 고려합니다.

검증되고 입증 된 백업 솔루션을 찾으십시오. 비상 사태가 발생할 경우 눈물을 흘리지 말고 소액 투자로도 가치가 있습니다. 좋아하는 것 BackupBuddy 데이터베이스를 포함한 모든 것을 한 번에 저장할 수 있습니다.

보너스 팁 : 귀하의 웹 호스트 카운트!

전통적으로 웹 호스팅 회사는 단순히 웹 사이트 호스팅 공간을 제공했지만 시간이 변경되었습니다. 보안 강화에 대한 시급한 필요성을 인식하고있는 웹 호스팅 제공 업체는 웹 호스팅을 보완하는 많은 부가가치 서비스를 제공하면서 강화 해 왔습니다.

예를 들어 보자. HostGator에, 게임에있는 더 확립 된 이름 중의 하나. 기본 Cloudflare 기능 외에도 HostGator ($ 10 + / mo 가격)에는 스팸 방지, 자동 맬웨어 제거, 자동 백업, 도메인 프라이버시 등이 함께 제공됩니다.

관리 WordPress 호스팅 제공 업체, 킨스타, 하드웨어 방화벽을 구축하고 맞춤형 시스템으로 서버의 맬웨어 및 DDoS 공격을 적극적으로 모니터링합니다.

이 문제가 아직 발생하지 않았다면 호스트가 제공하는 보안 기능을 살펴보고 현재 제공되는 보안 기능과 비교해 보시기 바랍니다.

포괄적 인 목록을 보시려면 체크 아웃하십시오. WHSR의 웹 호스트 편집.

이제 뭐?

당신이 야만적 인 행동을 취하기 전에 100 만개의 보안 솔루션을 찾고있는 공황 상태에서 인터넷을 수색하기 시작하십시오. 심호흡하십시오. 다른 모든 것들과 마찬가지로, 누군가가 당신을 이미 공포에 빠뜨리고 해결책을 찾도록 도왔을 것입니다.

찾을 수있는 보안 솔루션을 최대한 많이 구현하더라도 확인 너 안전 해?

여기에 뭔가가 있습니다. 보안 닌자 귀하의 사이트에서 약점을 찾아내는 데 도움이됩니다.

빠른 데모 : 보안 닌자가 작동하는 방식.

보안 닌자와 같은 것을 사용해야 할 몇 가지 중요한 이유가 있지만 사이트 보안을 위해 여러 단계에서 사용하는 것이 좋습니다.

먼저 변경 사항을 적용하기 전에 웹 사이트에서 '있는 그대로'실행하십시오. 결과를 제공하기 전에 플러그인이 찌르면 사이트를 홍보하십시오.

그 결과에 따라 사이트 보안을 유지하십시오. 보안 Ninja는 방역을 탐색하기 위해 50 이상의 테스트를 수행합니다. 변경 한 후에도 사이트를 다시 테스트하기 위해 사이트를 변경하거나 플러그인을 업데이트 할 때마다 다시 실행하십시오.

보안 닌자에 약간의 작업이있는 것으로 들리면 Security Ninja에는 추가 모듈이 포함되어 있습니다 (프로 버전, 단일 사이트 $ 29) 문제를 해결하는 데 도움을 줄 수 있습니다.

이 모듈의 다른 주요 기능은 다음과 같습니다.

  • WP 코어 파일을 스캔하여 문제가있는 파일 식별
  • 한 번의 클릭으로 수정 된 파일 복원
  • 수정 된 WP 자동 업데이트 수정
  • 수백만 개의 공격받은 사이트에서 수집 한 600 백만 개의 불량 IP 금지
  • 목록 자동 업데이트, 유지 보수 또는 수동 작업 필요 없음
  • 무차별 대입 공격으로부터 로그인 폼 보호

최종 생각

이 모든 것이 평균적인 WordPress 사용자에게 약간 과장된 것처럼 보일 수 있지만, 모든 것이 (그리고 그 이상) 필요하다는 것을 확신합니다. 세계적인 해킹 통계 및 기타 정보를 잠시 무시하면 내가 관리하는 데 가장 애매한 사이트 중 일부에 대한 개인 정보를 공유 할 수 있습니다.

원래 간단한 전기 사이트로 시작 했으므로 www.timothyshim.com. 분명히 그것은 내가 설정 한 시간이었고 대부분의 시간은 단순히 참조 포인트로 사용되었습니다. 매월 1 개월 동안이 사이트는 기본적으로 아무것도하지 않으며 데이터를 수집하지 않습니다.무차별 공격과 복잡한 공격의 조합 인 30 공격에 직면합니다.

필요한 것은 그 중 하나가 성공하는 것입니다. 정말 안 좋은 날.

Timothy Shim 정보

Timothy Shim은 작가, 편집자 및 기술 괴짜입니다. 정보 기술 분야에서 경력을 쌓기 시작하면서 그는 빠르게 인쇄물을 발견하고 ComputerWorld, PC.com, Business Today 및 The Asian Banker를 포함한 국제, 지역 및 국내 언론 매체에서 근무했습니다. 그의 전문 기술은 소비자 관점뿐만 아니라 기업 관점에서 기술 분야에 자리 잡고 있습니다.