웹사이트는 어떻게 해킹됩니까?

WordPress 웹 사이트 소유자는 보안이 해킹 및 악의적인 공격으로부터 작업을 안전하게 유지하는 데 중요한 역할을 한다는 것을 이미 알고 있습니다. 그러나 웹 사이트는 정확히 어떻게 해킹됩니까? 해커가 공격으로 WordPress 사이트를 제거하려고 시도하고 종종 성공하는 프로세스는 무엇입니까?

웹이 지난 수십 년 동안 비약적으로 성장했지만 웹사이트가 악의적인 행위자에 의해 해킹되는 방식은 크게 바뀌지 않았습니다. 사이트와 방문자를 안전하게 유지하기 위해 해야 할 가장 중요한 일은 이러한 변하지 않는 신뢰가 무엇인지 완전히 이해하여 한 발 앞서 나가는 것입니다.

이 포괄적인 가이드에서는 웹사이트가 해킹되는 방식, 사이트가 해킹당했다는 징후 등을 정확히 보여줍니다. 한 번 보자.

해킹된 웹사이트의 대규모 규모

12억 개(B 포함)가 훨씬 넘는 웹사이트가 오늘날의 World Wide Web 버전을 구성하고 있습니다. 그리고 평균 3초의 웹사이트 로딩 시간을 가정한다면, 1초도 쉬지 않고 존재하는 모든 사이트를 방문하는 데 160년 이상이 걸릴 것입니다.

그것은 개별 개체가 안전하게 감시하는 것이 완전히 불가능한 엄청나게 방대한 웹입니다. Google의 세이프 브라우징과 같은 서비스는 안전하지 않을 수 있는 사이트에 대해 사용자에게 경고하려고 합니다. 현재 매일 300만 개 이상의 경고를 사용자에게 전달합니다.

이는 로스앤젤레스와 뉴욕시 인구를 합친 크기와 비슷합니다.

간단히 말해서, 웹사이트는 항상 나쁜 의도를 가진 사람들의 큰 표적이 될 것입니다. 그리고 모든 해킹의 전반적인 영향은 비즈니스에 치명적입니다.

하지만 좋은 소식이 있습니다.

해롭고 지속적으로 발생하는 큰 위협이 있지만, 우리에 대한 우리의 인식과 올바른 도구의 사용은 우리 사이트를 공격으로부터 안전하게 유지하는 데 큰 도움이 될 것입니다.

웹사이트는 어떻게 해킹됩니까? 3가지 기본 방법

인터넷의 지난 30년 동안 우리는 해킹이 거의 항상 세 가지 범주로 분류됨을 확인했습니다.

1. 액세스 제어
2. 소프트웨어 취약점
3. 타사 통합

현실은 당신이 Fortune 500대 기업 사이트를 운영하든 지역 신발 가게를 운영하든 상관없이 해커가 그들의 기술에 접근하는 방식이 거의 동일하게 보일 것입니다.

그러나 다른 점은 각 비즈니스가 처음에 어떻게 스스로를 악용할 수 있는지에 대한 것입니다.

• 대규모 조직에서는 종종 "다른 사람이 보안을 처리하고 있다고 생각했습니다."라는 핑계를 댑니다. 이러한 유형의 안개와 잘못된 의사 소통은 크고 복잡한 조직에서 일반적입니다.
• 소규모 기업은 해커가 표적으로 삼기에는 규모가 너무 작다고 생각하는 경우가 많습니다. 그들은 종종 해커가 그들을 건드리지 않을 것이라는 잘못된 가정하에 있습니다. 이렇게 하면 가장 작은 웹 사이트에서도 실제로 얼마나 많은 개인 정보를 가져올 수 있는지 쉽게 알 수 없습니다.

이러한 두 경우 모두 해커는 보안에 대한 경계가 거의 없는 영역에서 목표를 수행할 인센티브와 도구를 가지고 있습니다.

웹 사이트 환경에는 많은 활동이 있습니다.

각 해킹 유형의 사양을 살펴보기 전에 먼저 웹이 실제로 작동하는 방식에 대한 매우 중요한 기반을 설정해 보겠습니다.

모든 웹사이트는 상호 연결되고 함께 작동하는 일련의 시스템에 의존합니다. DNS(도메인 이름 서버), 웹 서버 및 다양한 서버를 수용하고 인터넷에 연결하는 인프라와 같은 구성 요소가 있습니다.

비교적 단순하게 들릴지라도 기본 생태계는 매우 복잡합니다.

많은 개별 구성 요소가 전문 서비스 제공업체에서 제공됩니다. 단일 서비스 제공자로부터 다양한 서비스를 받고 있더라도 자체적으로 작동하는 등식의 고유한 부분이 무수히 많습니다.

귀하의 웹사이트를 현대적인 소비자 차량으로 생각하십시오. 겉으로 보기에는 견고하고 유선형으로 보이지만 그 아래에는 모든 작동을 가능하게 하는 수많은 움직이는 부품이 있습니다.

이 가이드의 목적상 사이트 작동 방식에 대한 모든 세부 정보를 이해하는 것은 중요하지 않습니다. 그러나 이러한 개별 구성 요소 모두가 전체 WordPress 사이트 보안에 영향을 미친다는 것을 아는 것이 중요합니다.

그리고 그들은 각각 귀하의 사이트가 해킹되는 방식에 기여할 가능성이 있습니다.

1. 접근통제

이것은 특히 권한 부여 및 인증 프로세스를 말합니다. 간단히 말해서 액세스 제어는 WordPress 웹 사이트에 로그인하는 방법입니다.

이는 단순히 웹사이트의 관리자 패널에 로그인하는 방식을 넘어선 것입니다. 우리가 이미 설정한 것처럼 사이트 뒤에서 함께 작동하는 다양한 상호 연결된 로그인이 있습니다.

액세스 제어에 대해 생각할 때 고려해야 할 6가지 특정 영역이 있습니다.

어떻게 합니까:

• 호스트 패널에 로그인하시겠습니까?
• 서버(SSH, SFTP, FTP)에 로그인하시겠습니까?
• 웹사이트에 로그인하시겠습니까?
• 개인용 컴퓨터에 로그인하시겠습니까?
• 소셜 미디어 플랫폼에 로그인하시겠습니까?
• 이러한 각 변수에 대한 사용자 이름과 비밀번호 자격 증명을 저장하시겠습니까?

액세스 제어를 간과하는 것은 너무 쉽습니다. 그러나 각 개별 액세스 포인트는 전체 생태계에 대한 해커 액세스를 제공할 수 있습니다.

해커는 또한 안전하지 않은 단일 로그인 지점에 액세스하기 위해 다양한 전술을 사용합니다. 모든 잠재적인 입구를 확인하고 집 암호 또는 키의 사본을 몰래(또는 속이는) 집 도둑과 같다고 생각하십시오.

• 무차별 대입 공격 은 가장 풀기 쉽고 가장 효과적인 방법이 될 수 있습니다. 무차별 대입 공격을 통해 해커는 신뢰할 수 있는 사이트 사용자로 로그인하기 위해 잠재적인 사용자 이름과 암호 조합을 추측하려고 합니다.
• 사회 공학 공격 이 인기를 얻고 있습니다. 해커는 사용자가 자발적으로 ID와 암호 조합을 입력하도록 속이는 피싱 페이지를 구축합니다.
• XSS( 교차 사이트 스크립팅 ) 및 CSRF(교차 사이트 요청 위조) 공격 에는 사용자의 브라우저를 통해 사용자의 로그인 자격 증명을 가로채는 것이 포함됩니다.
• 중간자 공격 (MITM) 도 사용됩니다. 이를 통해 사용자가 완전히 안전하지 않은 네트워크에서 작업할 때 사용자의 사용자 이름과 암호를 쉽게 가로챌 수 있습니다.
• 사용자를 모니터링하는 키로거 및 추가 맬웨어는 입력을 추적한 다음 사용자를 감염시킨 해커에게 다시 보고합니다.

그러나 어떤 유형의 공격이 수행되든 해커의 목표는 항상 동일합니다. 신뢰할 수 있는 로그인을 통해 사이트에 직접 액세스할 수 있습니다.

공격 스타일에 관계없이 목표는 동일합니다. 로그인을 통해 직접 액세스합니다.

iThemes 보안 플러그인은 사용자의 보안을 위해 더 많은 보호 기능을 추가합니다. 사이트의 보안은 사용자가 강력한 암호로 보안 로그인을 하는 것에 달려 있습니다. 그렇기 때문에 iThemes Security는 2단계 인증, 세션 하이재킹 보호 기능이 있는 신뢰할 수 있는 장치, 사용자 식별을 확인하기 위한 암호 없는 로그인, 암호 보호 위반을 포함하여 사용자를 위한 여러 보안 계층을 제공합니다. 사용자 보안 검사를 실행하여 사용자 보안의 가장 중요한 요소를 신속하게 감사하고 수정할 수도 있습니다.

iThemes Security가 추가하는 다음 보안 계층은 웹사이트에서 가장 공격을 많이 받는 부분인 WordPress 로그인 화면을 보호하는 것입니다. iThemes Security는 웹사이트에 대한 잘못된 로그인 시도를 감시하기 위해 두 가지 유형의 무차별 대입 보호를 제공합니다. 사용자 또는 봇이 연속적으로 잘못된 로그인 시도를 너무 많이 시도하면 잠긴 상태가 되고 일정 기간 동안 더 이상 시도할 수 없습니다.

2. 소프트웨어 취약점

실제로 대다수의 WordPress 웹사이트 소유자는 소프트웨어 개발자가 권장하는 패치 없이는 오늘날 소프트웨어의 보안 취약점을 해결할 수 없습니다. 문제는 많은 개발자가 자신이 작성한 코드가 사이트에 도입하는 위협을 고려하지 않는다는 것입니다.

의도한 UX(사용자 경험)에 눈에 띄게 영향을 미치지 않는 작은 버그가 악용되어 소프트웨어가 의도하지 않은 작업을 수행하도록 할 수 있습니다. 그리고 가장 숙련된 해커는 이러한 버그를 잠재적인 취약점으로 봅니다.

가장 일반적인 방법 중 하나는 잘못된 POST 헤더 또는 잘못된 URL(Uniform Resource Locator)을 사용하여 다양한 공격을 시작하는 것입니다.

여기에는 다음이 포함됩니다.

• 대상 사이트 및 시스템의 전체 원격 인수를 허용하는 원격 코드 실행(RCE)
• 사용자가 필드에서 제공한 입력을 사용하여 악성 파일을 시스템에 업로드하는 원격/로컬 파일 포함(R/LFI)
• 서버에 공격 시퀀스를 보내는 악성 코드로 텍스트 입력 필드를 조작하는 SQL 주입(SQLi)

자산 통제와 유사한 방식으로 소프트웨어의 취약점은 웹사이트의 범위를 넘어 확장됩니다. 이러한 취약점은 웹사이트가 의존하는 상호 연결된 모든 기술 내에서 발견되고 악용될 수 있습니다.

그리고 대부분의 최신 사이트는 WordPress 플러그인 및 테마와 같은 타사 확장을 혼합하여 사용하며, 이는 모두 해킹 침입의 잠재적인 지점입니다.

취약한 플러그인, 테마 및 WordPress 핵심 버전은 웹사이트의 가장 큰 보안 위험이기 때문에 iThemes Security는 웹사이트를 스캔합니다. iThemes 보안 사이트 스캔을 사용하면 사이트의 플러그인, 테마 또는 WordPress 핵심 버전이 취약하고 업데이트가 필요할 때마다 알 수 있습니다. 그리고 더 좋은 점은 ... 자동으로 업데이트를 실행합니다. 사이트 스캔은 사용 가능한 가장 포괄적인 취약성 데이터베이스를 기반으로 하므로 항상 최신 보호 기능을 사용할 수 있습니다. 사이트 스캔은 또한 Google 세이프 브라우징과 통합되어 사이트의 차단 목록 상태와 알려진 맬웨어 또는 의심스러운 파일이 있는지 확인합니다.

iThemes Security의 사이트 스캔이 사이트를 보호하는 방법은 다음과 같습니다.

• 취약점에 대해 하루에 두 번 웹사이트 검사 – 웹사이트의 플러그인, 테마 및 WordPress 핵심 버전은 최신 취약점 공개를 위해 WPScan 취약점 데이터베이스와 비교하여 확인됩니다.
• 보안 수정 사항이 있는 경우 자동 업데이트 – 버전 관리와 함께 iThemes Security는 취약점이 있는 경우 플러그인, 테마 또는 WordPress 핵심 버전을 자동으로 업데이트합니다.
• 사이트 스캔에서 취약점이 감지되면 이메일로 전송 – 사이트에서 플러그인, 테마 또는 WordPress 코어의 취약한 버전을 실행 중인 경우 이메일 보고서를 받을 수 있습니다. 검사 결과를 수신하는 이메일 주소를 사용자 지정합니다.

3. 제3자 서비스 및 통합

마지막으로 타사 서비스 및 통합을 통해 발생하는 악용이 있습니다.

대부분의 경우 악성 광고로 이어지는 광고 네트워크를 통한 광고 형태를 취합니다.

이러한 해킹에는 CDN(콘텐츠 배포 네트워크)과 같은 변수를 포함하여 사이트 및 호스팅에서 사용하는 서비스가 포함됩니다.

타사 통합 및 서비스는 사이트 관리 경험의 서로 다른 부분 간에 충분한 상호 연결을 제공합니다. 사실, 사람들이 WordPress, Drupal 및 Joomla와 같은 확장 가능한 콘텐츠 관리 시스템 옵션에 대해 좋아하는 것 중 하나입니다.

그러나 상호 연결성은 해커가 악용할 수 있는 지점도 제공합니다.

가장 큰 문제 중 하나는 해커가 웹사이트 소유자가 제어할 수 없는 방식으로 이러한 서비스 및 통합을 악용하는 방법입니다. 사이트 빌더 또는 관리자는 통합 중 하나를 사용하기로 선택할 때 타사 제공업체를 매우 신뢰합니다.

물론 많은 사람들이 통합 보안을 위해 부지런히 노력하고 있습니다.

그러나 다른 것들과 마찬가지로 고유한 위험이 있습니다. 그리고 해커가 항상 주시하는 것입니다.

iThemes Security가 타사 액세스를 보호하기 위해 작동하는 방법 중 하나는 XML-RPC 및 REST API에 대한 보안 앱 암호를 사용하는 것입니다. 이 업데이트에서는 REST API 요청에 대한 사용자 이름/비밀번호 인증을 사용할 수 있으므로 REST API를 사용하는 외부 도구의 연결을 계속 허용하면서 REST API를 잠글 수 있습니다(권장 사항에 따름).

해킹으로부터 웹사이트 보호하기

워드프레스 웹사이트 보안은 중요합니다. WordPress 웹 사이트 보안의 큰 부분은 교육과 인식입니다. 이 가이드를 읽는 것만으로도 사이트를 더 안전하게 보호할 수 있습니다.

앞으로 수행해야 할 특정 단계가 있습니다. 그리고 이를 달성할 수 있도록 돕는 것이 우리의 목표입니다. 불행히도 많은 웹 사이트 소유자가 마침내 보안에 대해 진지하게 생각하는 것은 이미 문제가 발생한 후에야 발생합니다.

대신, 고통보다 앞서서 고통에서 벗어나기 위해 다음 단계를 수행하십시오.

1. 심층 방어 원칙을 사용합니다. 여기에는 양파와 같은 보안 계층 ​​구축이 포함됩니다. 각 관행은 해커가 생태계에 침투하는 것을 더 어렵게 만듭니다.
2. 최소 권한 모범 사례를 활용하십시오. 각 사이트 사용자의 로그인이 허용하는 작업을 제한해야 합니다.
3. 가능한 모든 곳에서 이중 요소 인증 및 다중 요소 인증을 생성합니다. 이렇게 하면 특정 사용자 액세스 포인트를 더욱 안전하게 보호할 수 있습니다.
4. 웹사이트 방화벽을 사용하세요. 이것은 해커가 소프트웨어의 취약점을 악용하는 방법을 제한하는 데 놀라운 역할을 합니다.
5. 정기적으로 백업을 예약하십시오. 이에 대한 솔루션으로 BackupBuddy WordPress 백업 플러그인을 다운로드하여 설치합니다. 이렇게 하면 사이트가 해킹된 경우 몇 번의 클릭만으로 사이트를 복구할 수 있습니다.
6. 주요 검색 엔진의 관점을 얻으십시오. Bing 웹마스터 도구와 Google Search Console은 모두 사이트 보안을 보는 방식에 대한 유용한 보고서를 제공합니다.

WordPress 사이트 소유자로서 이러한 보안 기반을 다루는 가장 좋은 방법은 iThemes Security Pro 플러그인을 사용하는 것입니다.

그런 다음 항상 100% 보안을 유지할 수 있는 확실한 방법은 없다는 것을 이해하십시오. 웹사이트 환경에서 사용하는 도구는 전반적인 위험을 크게 줄여줍니다. 그러나 보안은 단일 작업이나 이벤트가 아닙니다. 일련의 행동입니다.

이 모든 것은 사이트를 가장 안전하게 보호하는 방법을 안내하는 iThemes Security Pro와 같은 훌륭한 도구에서 시작됩니다.

이제 수행할 작업과 찾고 있는 작업을 알았으므로 이 가이드에서 다룬 보안 시나리오 중 하나를 접하게 될 것입니다. 그러나 이제 문제를 해결하기 위해 무엇을 해야 하는지 더 잘 알게 될 것입니다.

WordPress 보안 및 보호를 위한 최고의 WordPress 보안 플러그인

WordPress는 현재 모든 웹사이트의 40% 이상을 차지하므로 악의적인 의도를 가진 해커의 쉬운 표적이 되었습니다. iThemes Security Pro 플러그인은 WordPress 보안에서 추측을 배제하여 WordPress 웹사이트를 쉽게 보호하고 보호할 수 있습니다. 귀하의 WordPress 사이트를 지속적으로 모니터링하고 보호하는 전임 보안 전문가를 직원으로 두는 것과 같습니다.

iThemes 보안 프로 받기

크리스틴 라이트

Kristen은 2011년부터 WordPress 사용자를 돕기 위한 자습서를 작성해 왔습니다. 여기 iThemes의 마케팅 이사로서 그녀는 효과적인 WordPress 웹사이트를 구축, 관리 및 유지하는 가장 좋은 방법을 찾는 데 전념하고 있습니다. Kristen은 또한 일기 쓰기(그녀의 보조 프로젝트인 The Transformation Year 를 확인하십시오!), 하이킹 및 캠핑, 스텝 에어로빅, 요리, 가족과 함께 하는 일상적인 모험을 즐기며 보다 현대적인 삶을 살기를 희망합니다.