WordPress 보안: 해커로부터 사이트를 보호하는 방법

게시 됨: 2021-10-15

비즈니스 사이트, 온라인 상점 또는 취미 블로그를 시작하든 WordPress는 유연성, 사용 용이성 및 고급 기능을 제공하여 놀라운 성공을 거둘 수 있도록 도와줍니다.

그러나 라이브를 시작할 준비가 되기 전에 보안에 대해 몇 분 동안 생각하십시오. 해커로부터 안전하게 사이트를 보호하고 팬과 고객을 위해 항상 일할 수 있도록 사이트를 최대한 보호하십시오.

WordPress 보안이 중요한 이유는 무엇입니까?

귀하의 웹사이트는 방문자에게 귀하가 누구인지, 귀하가 제공하는 콘텐츠 및 서비스의 종류, 귀하의 브랜드에서 기대할 수 있는 사항을 알려줍니다. 좋은 첫인상을 남기고 기존 팬들과 신뢰와 충성도를 쌓을 수 있는 곳입니다.

그렇기 때문에 웹사이트가 항상 가동되고 실행되고 있는지 확인하는 것이 중요합니다. 갑자기 맬웨어에 대한 링크가 포함되거나 해킹 후 매우 느리게 실행되기 시작하거나 완전히 오프라인 상태가 되면 평판에 영향을 미칩니다.

사이트가 해킹당하면 조회수, 매출 또는 광고 노출이 감소하여 돈을 잃을 수 있습니다. 정상 작동 상태로 복원하는 데 비용이 발생할 수 있습니다. 때로는 영구적으로 검색 엔진에서 순위를 잃을 수도 있습니다. 따라서 돈을 절약하고 얼굴을 보호하려면 웹 사이트가 잠겨 있고 안전한지 확인하십시오.

WordPress 웹 사이트는 어떻게 해킹됩니까?

Google은 최근 해커가 웹사이트에 액세스하는 주요 방법 목록을 발표했습니다. 그 중 몇 가지를 자세히 살펴보겠습니다.

손상된 비밀번호

무차별 대입 공격은 해커가 사이트에 잠입하는 가장 일반적인 방법 중 하나입니다. 그들은 올바른 것을 찾을 때까지 봇을 사용하여 초당 수천 개의 조합으로 다양한 사용자 이름과 비밀번호를 시도합니다.

안전하지 않은 플러그인 및 테마

플러그인 및 테마에서 발견된 취약점은 악의적인 행위자가 비교적 쉽게 침투할 수 있는 방법입니다. 고품질 테마 개발자는 정기적인 업데이트에서 이러한 취약점에 대한 패치를 릴리스하지만 모든 WordPress 사용자가 사이트를 자주 업데이트하는 것은 아닙니다. 또한 무효화된 무료 버전의 프리미엄 플러그인 및 테마에는 코드에 백도어가 포함되어 있는 경우가 많습니다. 즉, 해커가 원격으로 사이트에 로그인하여 원하는 작업을 수행할 수 있는 액세스 지점입니다.

취약한 보안 정책

필요하지 않은 사람들에게 사이트 액세스 권한을 부여하거나 안전하지 않은 비밀번호를 허용하는 것과 같은 보안이 취약하면 사람들이 웹사이트에 더 쉽게 액세스할 수 있습니다.

누군가가 웹사이트를 해킹하는 이유는 무엇입니까?

  1. 그들은 돈을 훔치고 싶어합니다 . 그들은 고객 신용 카드 정보를 수집하거나 사람들을 속이도록 설계된 악의적인 웹 사이트로 방문자를 안내할 수 있습니다.
  2. 그들은 정보를 캡처하기를 원합니다. 그들은 개인 데이터를 제3자에게 판매하거나 돈을 대가로 정보를 인질로 잡을 수 있습니다.
  3. 그들은 당신의 사이트를 없애고 싶어합니다 . 이것은 일반적으로 개인적인 동기를 가지고 있으며 일반적인 웹 사이트 소유자에게는 거의 위협이 되지 않습니다.
  4. 그들은 귀하의 사이트를 파손하려고 합니다. 다시 말하지만 이것은 일반적으로 개인입니다. 해커는 동의하지 않는 사람의 웹사이트를 훼손하여 성명을 발표할 수 있습니다.
  5. 그들은 다른 사람을 공격하고 싶어합니다 . 공격자는 웹사이트를 사용하여 인터넷에 맬웨어 또는 랜섬웨어를 퍼뜨리거나 웹 서버를 사용하여 다른 사람을 악의적으로 공격할 수 있습니다.
  6. 그들은 배우고 싶어합니다. 해커는 어떻게든 연습을 해야 하는 거겠죠? 그들은 귀하의 웹사이트를 미래에 더 크고 수익성 있는 목표를 위한 훈련장으로 사용할 수 있습니다.

해커로부터 WordPress 사이트를 보호하는 방법

1. 양질의 호스트를 선택하십시오

귀하의 호스팅 회사는 귀하의 보안 파트너이며 평판이 좋은 회사를 선택하는 것이 중요합니다. 지불한 만큼 얻을 수 있으며 많은 할인 호스트가 견고한 보안 관행을 구현하지 않습니다.

그러나 어느 것을 선택해야 하는지 어떻게 압니까? 다음은 보안 호스팅 제공업체에 대한 몇 가지 표시입니다.

  • 계획에 포함되거나 추가 요금이 부과되는 정기 백업.
  • 사이트 방문자의 데이터를 보호하는 SSL 인증서.
  • 귀하의 사이트가 해킹된 경우를 대비하여 연중무휴 지원을 제공합니다.
  • 서버의 파일과 데이터베이스를 보호하는 내장 방화벽.
  • 사이트에서 의심스러운 코드 및 활동에 대해 경고하는 보안 검사.
  • 좋은 평판. 리뷰와 추천은 종종 호스트의 품질을 결정하는 가장 좋은 방법입니다.

그리고 좋은 지식과 강력한 보안을 갖춘 회사는 어떤 추가 비용도 충분히 가치가 있다는 것을 기억하십시오. 다음은 시작하는 데 권장되는 WordPress 호스트 목록입니다.

2. 소프트웨어를 최신 상태로 유지

웹사이트를 안전하게 유지하는 가장 좋은 방법은 WordPress, 테마 및 플러그인과 같은 소프트웨어를 정기적으로 업데이트하는 것입니다. 새 릴리스는 종종 보안 취약점을 패치하므로 업데이트는 빠를수록 좋습니다.

안정적이고 한 번에 둘 이상의 요구 사항을 충족하는 신뢰할 수 있는 플러그인을 선택하여 WordPress 보안 위험을 최소화할 수도 있습니다. 예를 들어 Jetpack Security는 단일 Jetpack 플러그인에 내장된 전체 WordPress 보안 도구 제품군을 제공합니다. 따라서 수십 개의 플러그인을 설치하고 사이트에 대한 공격 위험을 증가시키지 않고도 추가 기능의 이점을 누릴 수도 있습니다.

3. 안전한 사용자 이름과 비밀번호 생성

고유한 사용자 이름과 보안 암호를 선택하여 해커가 추측할 수 있도록 하십시오. 20자 이상, 대문자, 소문자, 숫자, 기호를 사용하십시오.

추가 사용자가 있는 사이트를 구축하는 경우 각 사용자에 대해 올바른 권한을 설정했는지 확인하십시오. 예를 들어, 새로운 인턴이 핵심 파일이나 기타 중요한 데이터에 액세스하는 것을 원하지 않을 수 있습니다. 다음은 WooCommerce에 대한 사용자 권한에 대한 훌륭한 기사이지만 대부분은 모든 종류의 사이트에 적용됩니다.

그리고 개발자, 마케팅 대행사 또는 지원 담당자와 같은 제3자의 계정을 만드는 경우 작업을 완료한 후 액세스 권한을 제거해야 합니다.

4. 오프사이트 백업 설정

백업은 콘텐츠, 노력, 고객 또는 방문자 데이터를 보호하는 데 매우 중요합니다. 사이트에 문제가 있더라도 전체 백업을 준비하면 신속하게 다시 시작하여 실행할 수 있습니다.

그러나 올바른 종류 의 백업을 선택하는 것이 중요합니다. 예를 들어, 백업이 서버가 아닌 클라우드에 오프사이트에 저장되어 있는지 확인하십시오. 즉, 사이트에 액세스할 수 없거나 서버가 손상된 경우에도 깨끗한 버전을 복원할 수 있습니다.

그것이 Jetpack Backup이 빛나는 곳입니다. 모든 백업을 자체 사이트에 사용하는 동일한 보안 서버에 저장할 뿐만 아니라 추가 보호 계층을 위해 여러 개의 암호화된 백업을 보관합니다.

Jetpack 백업 복원

또한 실시간과 매일의 두 가지 옵션 중에서 선택할 수 있습니다.

실시간 백업 은 온라인 상점, 회원 포럼 또는 정기적으로 업데이트되는 웹사이트에 가장 적합한 선택입니다. Jetpack은 판매가 이루어지거나 페이지가 업데이트되거나 댓글이 추가될 때마다 사이트 사본을 저장합니다. 즉, 어떤 일이 일어나더라도 단 한 건의 판매나 정보도 잃지 않을 것입니다.

매일 백업 은 자주 업데이트되지 않는 정적 사이트에 적합합니다. Jetpack은 파일과 데이터베이스를 변경하지 않고 하루에 한 번 저장합니다.

가장 좋은 부분? 설정이 매우 쉽습니다. 복잡한 서버 구성이 필요하지 않습니다. 몇 가지 간단한 단계를 수행하고 도움이 필요하면 Jetpack의 타의 추종을 불허하는 고객 지원 팀에 연락하십시오.

최고의 WordPress 백업 플러그인을 독립 실행형 도구 또는 전체 보안 제품군의 일부로 사용할 수 있습니다.

5. 무차별 대입 공격 보호 추가

무차별 대입 공격은 해커가 봇을 사용하여 마침내 사이트에 액세스할 수 있을 때까지 초당 수천 개의 사용자 이름/암호 조합을 추측할 때 발생합니다. 이러한 공격은 사이트 정보를 위험에 빠뜨릴 뿐만 아니라 서버에 과부하를 주어 속도를 늦출 수도 있습니다.

보안 로그인 정보가 확실히 도움이 되지만 최선의 예방책은 이러한 정보를 차단하는 도구입니다. Jetpack의 무료 무차별 대입 공격 방지 기능은 의심스러운 IP 주소가 사이트에 도달하기 전에 차단합니다!

사이트에서 차단된 악성 공격의 수: 14,989

설정이 이보다 쉬울 수 없습니다. 기능을 켜기만 하면 됩니다. 대시보드에서 바로 차단된 공격 수를 볼 수 있습니다. 힌트: 평균은 5,193입니다!

6. 멀웨어 검사

해커가 침입한 경우 문제를 해결할 수 있도록 즉시 알고 싶습니다. 결국 사이트가 다운되거나 안전하지 않은 기간이 길수록 평판과 데이터에 대한 손상도 커집니다.

그러나 Jetpack Scan은 사이트에서 맬웨어, 악의적인 행위자 및 의심스러운 활동을 자동으로 검색하여 발견되는 경우 즉시 알려줍니다. 클릭 한 번으로 알려진 해킹의 대부분을 수정할 수 있어 시간과 비용을 모두 절약할 수 있습니다.

웹사이트에서 실행 중인 맬웨어 검사

복잡한 기술 언어를 해독하는 데 시간을 할애할 필요가 없습니다. Jetpack Scan 대시보드는 모든 것을 일반 용어로 설명하고 필요한 모든 단계를 안내합니다. 설정하고 잊어버리기만 하면 웹사이트가 연중무휴로 모니터링되므로 안심하고 사용할 수 있습니다.

WordPress 맬웨어 검사 도구에 대해 자세히 알아보십시오.

7. 다운타임 모니터링 구현

악의적인 공격이든 단순한 실수든 웹사이트가 다운되면 즉각적인 조치를 취해야 합니다. 그러나 사이트가 제대로 작동하는지 확인하기 위해 하루 종일 사이트를 새로고침할 시간이 없습니다!

Jetpack의 다운타임 알림

Jetpack의 WordPress 다운타임 모니터링 도구는 사이트를 연중무휴로 감시하고 응답을 중지하면 알려줍니다. 그런 다음 활동 로그를 사용하여 언제 무엇이 잘못되었는지 정확히 판별할 수 있으므로 적절하게 대응하고 몇 시간 또는 며칠이 아닌 몇 분 내에 복구 및 실행할 수 있습니다.

8. 사용하지 않는 플러그인 및 테마 삭제

사이트에 설치한 테마와 플러그인이 많을수록 해커가 이를 이용할 기회가 더 많아집니다. 플러그인은 추가 기능을 추가하는 좋은 방법이지만 약간의 정리 작업을 수행하고 더 이상 사용하지 않는 항목을 제거합니다.

또한 사이트 오류를 ​​해결할 때 대체할 수 있는 기본 테마 외에 추가 테마를 저장할 필요가 없습니다.

보너스: 이를 삭제하면 사이트 속도도 향상될 수 있습니다!

9. 관리자에 대한 이중 인증 켜기

이중 인증은 해커가 암호 실제 항목을 모두 알고 있어야 하므로 로그인 페이지를 보호하는 매우 효과적인 방법입니다. 관리자가 사이트에 로그인하면 휴대전화로 전송되는 일회용 코드를 입력해야 합니다.

Jetpack은 이 기능을 무료로 제공하므로 강력한 암호보다 한 단계 더 쉽게 이동할 수 있습니다. 여러 사용자가 있습니까? 그들 모두에 대해 2단계 인증을 쉽게 요구할 수 있습니다.

10. WordPress 방화벽 설정

WordPress 방화벽은 사이트로 들어오는 모든 트래픽을 모니터링하여 해커에 대한 바리케이드 역할을 합니다. 좋은 호스팅 계획에는 서버를 보호하는 방화벽이 포함되어 있지만 WordPress용으로 특별히 설치하는 것도 좋습니다.

좋은 방화벽 플러그인은 의심스러운 IP 주소, 악성 봇, "꺼진" 것처럼 보이는 트래픽과 같은 악의적인 행위자에 대한 정보 데이터베이스를 갖고 있으며 이들이 웹사이트를 공격하기 전에 차단합니다. WordPress 플러그인 저장소에서 가장 인기 있는 옵션을 볼 수 있습니다.

11. 사이트 활동을 주시하세요

웹사이트에서 일어나는 모든 일에 대한 로그가 있으면 쉽게 살펴보고 의심스러운 모든 것을 식별할 수 있습니다. 또한 사이트가 해킹된 경우 발생한 시간을 식별하고 어떤 조치를 취했는지 알 수 있으며 어떤 계정이 해킹되었는지 훨씬 더 쉽게 파악할 수 있습니다.

웹사이트에서 발생한 활동

WordPress에 대한 Jetpack의 활동 로그는 로그인 시도 및 게시된 페이지에서 삭제된 플러그인, 업데이트된 테마 및 변경된 설정에 이르기까지 발생하는 모든 주요 변경 사항을 추적합니다. 각 이벤트에 대해 타임스탬프, 변경한 사용자 및 수행한 작업에 대한 설명을 볼 수 있습니다. 그런 다음 이 정보를 사용하여 문제를 해결하거나 문제가 발생하기 직전의 백업을 복원할 수 있습니다.

내 WordPress 사이트가 안전하지 않으면 어떻게 됩니까?

대부분의 공격자는 특정 사용자를 대상으로 하는 것이 아니라 액세스하기 가장 쉬운 사이트를 찾고 있을 뿐입니다. 따라서 WordPress 사이트가 제대로 보호되지 않으면 해킹의 희생자가 될 가능성이 더 큽니다. 궁극적으로 다음과 같은 결과를 초래할 수 있습니다.

  • 손상된 평판 . 사이트에 보안 경고가 표시되거나 다운되거나 의심스러운 웹 사이트로 리디렉션되는 경우 사이트 방문자가 보기에 좋지 않습니다. 그들은 당신의 블로그나 비즈니스에 대한 신뢰를 잃어 매출이나 광고 수익을 잃을 수 있습니다.
  • 도난당한 고객 데이터 . 해커가 전자 상거래 상점에 액세스하면 자신이 사용하거나 제3자에게 판매할 수 있는 개인 정보를 수집할 수 있습니다.
  • 손상된 웹사이트 파일 . 웹 사이트의 일부 또는 전체를 잃을 수 있으며 잠재적으로 수년간의 노력이 필요합니다!
  • 검색 결과에서 제거 사이트가 해킹된 경우 Google에서 차단 목록에 추가하고 검색 결과에서 완전히 제거할 수 있습니다.
  • 사이트 트래픽 손실 . 낮은(또는 존재하지 않는) 검색 엔진 순위와 보안 경고가 표시된 사이트를 방문하고 싶지 않은 사람들 사이에서 사이트 트래픽이 크게 감소할 수 있습니다.
  • 광고 수익 감소 . 광고 네트워크는 클라이언트의 광고가 안전하지 않은 사이트에서 실행되는 것을 원하지 않습니다. 따라서 사이트가 해킹되면 광고 네트워크에서 제거될 수 있으며 완전히 차단되어 광고 수입을 줄이거나 없앨 수 있습니다. 제거하지 않더라도 감소된 트래픽은 광고 클릭에 부정적인 영향을 미칩니다.

내 WordPress 사이트가 해킹되었는지 어떻게 알 수 있습니까?

때때로 귀하의 웹사이트가 해킹을 당했는지 또는 다른 유형의 문제가 발생했는지 확인하기 어려울 수 있습니다. 그러나 다음은 사이트 해킹의 몇 가지 징후입니다.

  • URL을 로드할 때 웹사이트에 보안 경고가 표시됩니다.
  • 보안 플러그인이 문제를 보고합니다.
  • 호스트가 문제에 대해 이메일을 보냅니다.
  • 귀하의 웹사이트는 완전히 다른 곳으로 리디렉션되며 해당 리디렉션을 만들지 않았습니다.
  • 사이트 페이지에 이상한 코드 줄이 있습니다.
  • 귀하의 사이트가 완전히 다운되었지만 다른 원인으로 인한 것일 수도 있습니다.
  • 사이트의 광고는 의심스러운 웹사이트로 리디렉션됩니다.
  • 사이트가 갑자기 매우 느리게 로드되거나 다른 방식으로 이상하게 작동합니다.

내 WordPress 사이트가 해킹된 경우 어떻게 해야 합니까?

WordPress 사이트가 해킹된 경우 문제를 해결하고 파일 및 데이터베이스를 복구하기 위해 취할 수 있는 몇 가지 단계가 있습니다.

  1. 무슨 일이 일어 났는지 확인하십시오. Jetpack을 사용하는 경우 활동 로그를 보고 누가 로그인했는지, 언제, 무엇을 변경했는지 확인하세요. 이렇게 하면 손상된 계정을 식별하고 영향을 받는 파일을 파악하는 데 도움이 됩니다.
  2. 악성코드 검사를 실행합니다. Jetpack Scan과 같은 도구를 사용하여 웹사이트 파일에서 맬웨어 또는 기타 해킹 징후를 검색합니다. WordPress용 Jetpack의 멀웨어 검사 도구를 사용하면 대부분의 문제를 클릭 한 번으로 해결할 수도 있습니다.
  3. 백업을 복원합니다. 웹 사이트를 정기적으로 백업하는 경우 해킹이 발생하기 이전부터 복원하십시오. Jetpack Backup을 사용하는 경우 파일이 서버와 별도로 저장되므로 손상되지 않아야 합니다.
  4. 모든 비밀번호를 재설정하고 의심스러운 사용자를 삭제합니다 . WordPress 사이트 및 호스팅 제공업체의 모든 비밀번호를 재설정합니다. 생성하지 않은 의심스러운 사용자 계정이 있으면 삭제합니다.
  5. 웹사이트 보안 전문가를 고용하세요. 스스로 멀웨어를 제거할 수 없거나 사이트가 안전한지 확인하고 싶다면 Codeable과 같은 서비스에서 보안 전문가를 고용하는 것이 좋습니다.
  6. 플러그인, 테마 및 WordPress 버전을 업데이트하십시오. 이렇게 하면 해커가 이용할 수 있는 모든 취약점을 보호하는 데 도움이 됩니다.
  7. 사이트를 Google에 다시 제출하세요. 사이트가 차단된 경우 Google Search Console을 사용하여 검토를 요청하고 목록에서 제거하세요.

자세한 내용은 WordPress 사이트가 해킹된 경우 수행할 작업을 설명하는 가이드를 참조하세요.

출시 준비

처음부터 적절한 WordPress 보안에 작업을 넣으면 사이트가 성공할 수 있고 앞으로 몇 년 동안 안전하고 효율적으로 운영될 수 있습니다. 사이트 해킹을 예방하는 것이 해킹이 발생한 후 수정하는 것보다 훨씬 쉽습니다.

Jetpack Security 패키지를 사용하면 이 목록에 있는 대부분의 항목을 개발자나 복잡한 설정 없이 단 몇 분 만에 확인할 수 있습니다.

최고의 WordPress 보안 플러그인으로 시작하세요.