이러한 일반적인 WooCommerce 보안 신화를 믿습니까?

최종 업데이트 - 2021년 7월 8일

WooCommerce는 수백만 명의 사람들에게 친숙한 CMS인 WordPress로 전자 상거래 상점을 구축하는 가장 간단한 방법이기 때문에 수십만 명의 사용자를 보유하고 있습니다. 그 규모의 커뮤니티에는 수많은 신화와 오해는 말할 것도 없고 광범위한 전문 지식과 경험이 있습니다.

이 기사에서는 WooCommerce 소매업체와 논의하면서 접하게 된 보안 관련 신화 몇 가지를 살펴보겠습니다.

웹 호스팅 제공업체는 WooCommerce 보안을 책임집니다.

이 신화에는 진실의 핵심이 있습니다. WooCommerce 호스팅 제공업체는 데이터 센터, 네트워크 및 서버 보안을 관리해야 합니다. 운영 체제를 포함한 서버 소프트웨어를 업데이트해야 합니다. 서버가 취약한 소프트웨어를 실행하지 않는지 확인해야 합니다. 그러나 호스팅 제공업체가 WooCommerce 스토어를 안전하게 유지하기 위해 할 수 있는 일에는 한계가 있습니다.

WooCommerce 스토어 소유자가 맬웨어가 포함된 플러그인이나 테마를 설치하는 경우 호스팅 제공업체가 할 수 있는 일은 없습니다. WordPress, WooCommerce 및 기타 플러그인과 테마를 업데이트하는 것을 잊습니다. 또는 기본 관리자 계정으로 쉽게 추측할 수 있는 암호를 사용합니다.

호스팅 제공업체와 스토어 소유자는 WooCommerce 보안에 대한 책임을 분담합니다. 상점은 호스팅 파트너십의 어느 쪽이든 실수를 통해 취약해질 수 있습니다.

귀하의 상점은 해킹당할 만큼 중요하지 않습니다

이 신화의 기저에 깔린 잘못된 가정은 범죄자들이 수만 명의 고객을 보유한 매장만 표적으로 삼는다는 것입니다. 대형 상점이 더 가치 있는 표적이기 때문에 그럴듯해 보입니다. 더 많은 리소스, 더 많은 개인 데이터를 악용할 수 있고 더 많은 방문자가 맬웨어에 감염되고 더 많은 신용 카드 번호를 훔칠 수 있습니다.

그러나 실제로는 작은 상점조차도 범죄자에게 유용합니다. 취약한 WooCommerce 스토어 또는 모든 웹 애플리케이션을 손상시키는 데 드는 비용은 아주 적습니다. 대부분의 상점은 알려진 취약점과 명백한 약점을 사용하는 자동화된 봇에 의해 손상됩니다. 봇은 수천 개의 매장을 스캔하고 매장에 하루 방문자가 10,000명이든 10,000명이든 상관하지 않습니다. 둘 다 적절하게 보호되지 않으면 손상되고 악용될 수 있습니다.

큰 가게는 범죄자들에게 더 가치가 있고 작은 가게에는 주지 않는다는 주의를 줄 수 있지만 보안 취약점이 있는 웹 애플리케이션은 크기에 관계없이 결국 손상될 것입니다.

WordPress 비밀번호를 공유해도 됩니다.

소매업체는 개발자, 디자이너 또는 기타 직원에게 때때로 WooCommerce 스토어에 대한 관리자 액세스 권한을 부여해야 할 수 있습니다. 두 가지 방법이 있습니다.

1. 상점 소유자 또는 다른 신뢰할 수 있는 개인이 사용하는 기존 관리자 계정의 사용자 이름과 비밀번호를 제공하십시오.
2. 전문가만 사용할 수 있는 새 관리자 계정을 만드세요.

이 중 첫 번째 방법이 단기적으로는 더 편리하지만 사이트 보안에 중요한 영향을 미칩니다. 어느 시점에서 부여된 액세스 권한을 철회해야 하며, 이는 여러 사용자가 동일한 비밀번호를 공유하는 경우 더 어렵습니다. 실제로 공유 계정은 거의 삭제되지 않으며 공유 암호도 거의 변경되지 않습니다. 불만을 품은 전 직원이 한 번도 변경되지 않은 오래된 비밀번호를 사용하여 기업이 해킹을 당하는 것은 드문 일이 아닙니다.

모든 사용자(관리자 사용자 여부와 관계없이)가 자신의 계정을 가지고 있으면 각자에게 필요한 액세스 권한만 부여될 수 있으며 나중에 불편함 없이 철회할 수 있습니다.

WordPress 테마는 보안 위험이 아닙니다.

워드프레스 테마는 워드프레스 스토어의 모양을 바꾸지만 그 영향력은 피상적인 디자인 변화보다 더 깊습니다. WordPress 테마는 플러그인 못지않게 소프트웨어입니다. 안전하지 않은 테마는 안전하지 않은 플러그인만큼 위험합니다. 대부분의 경우 공식 리포지토리 및 테마 개발자 웹사이트에서 다운로드한 테마는 최신 상태로 유지된다면 안전합니다. 다른 곳에서 가져온 테마는 더 위험합니다.

이 신화는 무효(해적) 프리미엄 테마를 설치하는 WooCommerce 소매업체에게 특히 심합니다. nulled 테마에 맬웨어를 삽입하는 것은 범죄자들이 가장 선호하는 전술입니다. 순진한 WooCommerce 상점 소유자가 테마를 설치할 때 범죄자가 사이트에 대한 전체 액세스 권한을 부여하는 백도어도 설치합니다.

방화벽은 WooCommerce 스토어를 안전하게 보호합니다

방화벽에는 여러 가지 유형이 있으며 서로 다른 범주의 공격을 차단하기 위해 작동합니다. WooCommerce 호스팅 공급자가 제공하는 방화벽은 네트워크 계층(계층 3이라고도 함)에서 작동합니다. 특정 포트나 특정 IP 주소에서 오는 트래픽을 중지할 수 있습니다. 웹 애플리케이션 자체의 결함을 악용하려는 악의적인 공격을 막을 수는 없습니다. Layer 3 방화벽에서는 포트 80에 대한 합법적인 웹 요청처럼 보입니다.

레이어 7(애플리케이션 레이어) 방화벽은 SQL 인젝션 공격, 사이트 간 스크립팅 공격, WordPress, WooCommerce 또는 플러그인의 소프트웨어 결함을 악용하려는 공격과 같은 공격을 포착하는 데 필요합니다. WAF(웹 응용 프로그램 방화벽)라고도 하는 이 방화벽은 귀중한 방어 계층입니다.

최고의 WooCommerce 호스팅 제공업체는 내장된 WAF 기능을 제공하지만 WooCommerce 소매업체는 Sucuri 또는 WordFence 플러그인 을 통해 WAF를 설치할 수 있습니다.

플러그인 업데이트는 사이트를 안전하게 유지하기에 충분합니다

모든 플러그인이 최신 상태인데도 플러그인 취약점으로 인해 WooCommerce 스토어가 해킹될 수 있나요? 예, 그럴 수 있습니다. 플러그인에는 제로데이 취약점이 있을 수 있습니다. 즉, 개발자가 알지 못하기 때문에 패치되지 않은 취약점입니다. WooCommerce 스토어 소유자가 이에 대해 할 수 있는 일은 많지 않습니다. 그러나 최신 상점에는 또 다른 위험 요인이 있습니다.

플러그인 업데이트에 부지런하기 때문에 플러그인 개발자도 마찬가지라고 생각하는 것은 잘못된 생각입니다. WooCommerce 스토어 소유자는 종교적으로 플러그인을 업데이트할 수 있지만 개발자가 18개월 전에 업데이트 릴리스를 중단했다면 어떻게 될까요? 개발자가 절대 고칠 수 없는 취약점이 있을 수 있으며 업데이트 알림에만 집중하는 상점 주인은 더 현명하지 않을 것입니다.

플러그인 업데이트 외에도 WooCommerce 소매업체는 플러그인 개발자가 최근에 업데이트를 출시했는지 확인해야 합니다. 몇 달 동안 업데이트되지 않은 플러그인이 반드시 안전하지 않은 것은 아니지만 어느 정도 의심이 가는 부분이 있습니다.

플러그인이 중단되지 않았는지, 개발자가 어느 시점에서 업데이트된 버전을 출시할 계획이 있는지 확인하는 것이 좋습니다. 플러그인이 개발자의 관심을 받고 있는지 확인할 수 없으면 대안을 찾는 것이 좋습니다.

WooCommerce 스토어를 안전하게 유지하는 것이 중요합니다

WooCommerce는 강력하고 사용하기 쉬운 전자 상거래 솔루션이며 다른 CMS 또는 전자 상거래 응용 프로그램만큼 안전합니다. 그러나 이를 안전하게 유지하려면 소매업체는 최소한 웹 애플리케이션 보안의 기본 사항을 이해해야 합니다. 이 기사가 WooCommerce 보안에 대한 일부 오해를 뒤집고 소매업체가 매장과 고객을 안전하게 보호하는 데 도움이 되었기를 바랍니다.