해커로부터 WordPress 사이트를 보호하는 방법

게시 됨: 2021-12-30

내 WordPress 사이트를 해커로부터 보호하는 방법은 무엇입니까? 이것이 너무 자주 묻는 질문이라면 혼자가 아닙니다. WordPress 플랫폼의 인기 덕분에 WordPress 웹 사이트는 항상 공격과 해킹의 위험이 더 높습니다. 고맙게도 해커로부터 WordPress 사이트를 보호 할 수 있는 신뢰할 수 있는 방법이 있습니다. 그리고 아니요, WordPress 전문가가 아니어도 사이트에 적용할 수 있습니다.

이 기사에서는 해커로부터 WordPress 사이트를 보호하기 위해 취할 수 있는 14단계를 공유합니다. 시작하자.

해커로부터 WordPress 사이트를 보호하는 방법?

웹 사이트의 크기나 도메인에 관계없이 인터넷에서 악성 네트워크를 더 널리 퍼뜨릴 방법을 항상 찾고 있는 해커로부터 안전한 웹 사이트는 없습니다. 자동화된 스크립트를 배포하여 WordPress 사이트를 '크롤링'하고 취약점을 감지하거나 이를 사용하여 WordPress 계정에 액세스하든 웹사이트의 어떤 부분도 해커로부터 안전하지 않습니다.

해커로부터 WordPress 보호는 본질적으로 맬웨어, 무차별 대입 공격 및 기타 위협으로부터 웹사이트의 각 부분을 보호하는 것을 의미합니다. 공유할 14가지 안전 조치는 강력한 기반을 제공하므로 다음과 같은 작업을 수행할 수 있습니다.

1. 보안 웹 호스트 사용

안전한 호스팅 서버와 환경은 WordPress 사이트를 보호하는 데 중요한 요소입니다. 호스팅 회사가 정기적인 백업, 방화벽 보호 및 맬웨어 검사와 같은 서비스를 통해 호스팅된 사이트를 해킹으로부터 안전하게 유지하는 것을 우선시해야 합니다.

현재 공유 호스트에서 호스팅 중인 경우 보안 환경을 더 강력하게 보장하는 클라우드 호스트 또는 관리 호스트로 마이그레이션하는 것을 고려하십시오.

2. 강력한 암호 사용

강력한 암호는 해커로부터 WordPress를 보호 하고 무차별 대입 공격을 막는 가장 쉬운 방법일 것입니다. "123456" 또는 "password"와 같이 추측하기 쉬운 암호의 사용을 엄격히 피하십시오. 대신 모든 비밀번호가 10-12자 이상이어야 하며 알파벳, 숫자 및 특수 문자가 혼합되어 있어야 합니다.

강력한 비밀번호 사용

사용자가 많은 경우 1Password 또는 LastPass와 같은 암호 관리 도구를 사용하여 각 사용자에 대해 더 강력한 암호를 자동으로 생성하고 저장할 수 있습니다.

3. 이중 인증(2FA) 활성화

강력한 로그인 자격 증명은 무차별 대입 공격을 막는 데 항상 효과적이지만 이중 요소 인증(또는 2FA)을 사용하여 로그인 페이지 보호의 추가 계층을 사용할 수 있습니다. 이 조치는 '악의적인' 사용자가 올바른 로그인 자격 증명을 추측할 수 있더라도 '정품' 사용자의 장치에만 전송되는 올바른 확인 코드를 입력해야 함을 보장합니다.

2단계 인증

2FA를 구현하려면 Google Authenticator와 같은 2FA 플러그인을 설치하고 활성화하기만 하면 됩니다.

4. 로그인 시도 제한

계정 입력에 성공하기 위해 무차별 대입 공격은 올바른 사용자 자격 증명을 추측하기 위해 반복적으로 시도합니다. 기본적으로 WordPress 사이트는 로그인 시도 횟수에 제한이 없습니다. 그러나 로그인 시도 횟수를 3번 또는 4번으로 제한해서는 안 됩니다.

로그인 시도 제한

로그인 시도가 여러 번 실패한 후 보안 문자 화면을 표시하는 보안 문자 도구를 설치하기만 하면 됩니다. 이 도구는 '인간' 사용자 또는 '봇'이 로그인 계정에 액세스를 시도하는지 확인하는 데에도 효과적입니다.

5. 기본 사용자 이름 "admin " 변경

사용 편의성을 위해 WordPress는 처음에 모든 새 WordPress 계정에 대해 기본 관리자를 할당합니다. 이 관리자는 WordPress 웹 사이트를 설정하고 추가 사용자를 만드는 초기 단계에서 유용합니다. 그러나 "admin" 사용자 이름을 사용하면 보안 문제가 발생합니다.

무차별 대입 공격을 어렵게 만들려면 이 사용자 이름을 추측하기 어려운 고유한 사용자 이름으로 변경하십시오. 가장 좋은 방법은 새 관리자(더 강력한 사용자 이름으로)를 만든 다음 기본 "admin" 사용자를 제거하는 것입니다.

6. 핵심, 플러그인, 테마 업데이트 유지

대부분의 WordPress 취약점은 오래된 Core WordPress 버전 또는 설치된 플러그인 및 테마의 결과입니다. 해커는 자신에게 유리하게 악용할 수 있는 이전 소프트웨어 버전을 지속적으로 찾습니다. 해커에 대한 최선의 보호는 WordPress 사이트를 최신 버전으로 업데이트하는 것입니다.

WordPress 호스팅 계정에서 정기적인 업데이트를 적용하거나 자동 업데이트를 활성화할 수 있습니다. 사이트를 최신 상태로 유지하면 추가적인 이점이 있습니다. 대부분의 WordPress 테마 및 플러그인 업데이트에는 WordPress 웹 사이트를 더 빠르고 원활하게 만들 수 있는 속도 및 성능 향상 기능이 포함되어 있습니다.

7. 웹사이트를 정기적으로 백업

WordPress를 해킹으로부터 보호 할 수 있는 보안 조치는 아니지만 건전한 백업 및 복원 전략을 사용하면 가동 중지 시간과 수익 손실을 최소화할 수 있습니다. 전자 상거래 사이트를 운영하는 경우 백업을 통해 가동 중지 시간이나 고객 기록 또는 거래 손실 위험을 감수할 수 있습니다.

핵심 웹사이트 파일과 데이터베이스의 웹사이트를 수동으로 백업할 수 있지만 BlogVault 또는 BackupBuddy와 같은 WordPress 백업 플러그인을 사용하면 전체 백업 프로세스를 자동화하고 예약하므로 시간을 절약할 수 있습니다. 만약 너라면

8. SSL 인증서 추가

사이트에 SSL 인증서를 추가하면 기본적으로 덜 선호하는 HTTP 프로토콜에서 보안 HTTP(또는 HTTPS) 프로토콜로 웹사이트를 마이그레이션하게 됩니다. HTTPS는 귀하와 귀하의 안전을 위해 귀하의 웹사이트와 사용자 간에 전송되는 모든 데이터를 암호화합니다.

HTTPS 및 SSL

어떻게 HTTPS로 이동할 수 있습니까? 웹 호스팅 회사에서 또는 Let's Encrypt와 같은 SSL 플러그인을 사용하여 얻을 수 있는 SSL 인증서를 추가하십시오.

9. 파일 편집 비활성화

WordPress 파일 편집기를 사용하면 해커가 웹사이트를 제어하고 사이트에서 '유해한' PHP 코드를 실행할 수 있습니다. 이는 관리자 계정이 손상된 경우 보안 위협이 될 수 있습니다. 가장 좋은 해결책은 WordPress 시스템의 wp-config.php 파일에 다음 코드를 추가하여 파일 편집을 비활성화하는 것입니다.

 define( 'DISALLOW_FILE_EDIT', true );

10. 사이트 액세스 및 사용자 역할 제한

모든 사용자에 대한 무제한 웹사이트 액세스는 특히 관리자 대시보드에 대한 주요 WordPress 위험이 될 수 있습니다. 좋은 점은 이제 사용자 역할에 따라 선택한 웹 페이지에 대한 액세스를 제한할 수 있다는 것입니다. 이렇게 하려면 "Restrict Content Pro" 플러그인을 설치하고 제한된 사용자 액세스를 원하는 페이지를 구성해야 합니다.

11. 디렉토리 브라우징 비활성화

해커는 WordPress 디렉토리 탐색 기능을 사용하여 취약점이 있을 수 있는 파일을 찾습니다. 또한 이 기능을 사용하여 WordPress 파일을 복사하거나 폴더 구조에 대해 자세히 알아볼 수 있습니다. 가장 좋은 해결책은 디렉토리 탐색을 비활성화하여 해커가 오용하지 못하도록 하는 것입니다. 설치 폴더의 .htaccess 파일 끝에 다음 코드 줄을 추가하면 됩니다.

옵션 - 인덱스

12. PHP 실행을 비활성화합니다.

해커는 악성 코드를 삽입하고 PHP 파일을 사용하여 실행할 수 있습니다. PHP 파일 실행을 비활성화하여 WordPress 사이트 보안을 향상시킬 수 있습니다. PHP 실행을 비활성화하려면 WordPress 설치의 "업로드" 폴더에서 .htaccess 파일을 열고 다음 코드를 추가합니다.

 <Files *.php> deny from all </Files>

13. WordPress 보안 플러그인 사용

지금까지 설명된 단계는 알려진 위협으로부터 사용자를 보호하는 데 큰 역할을 하지만 해커와 해커의 혁신적인 방식을 따라잡기가 어려울 수 있습니다. 아직 알려지지 않았거나 드문 공격 또는 여러 유형의 맬웨어로부터 웹사이트를 보호하는 가장 효과적인 방법 중 하나는 보안을 위한 전용 WordPress 플러그인에 투자하는 것입니다.

MalCare 및 Wordfence와 같은 WordPress 보안 플러그인은 덜 알려진 멀웨어를 탐지할 수 있으며 전체 멀웨어 검사 프로세스를 예약하고 자동화할 수 있습니다. MalCare에는 원클릭 맬웨어 제거 프로세스도 있으므로 사이트를 정리하기 위해 외부 기술 지원에 의존할 필요가 없습니다.

말케어

14. WordPress 방화벽 활성화

해커로부터 WordPress 사이트를 보호하는 또 다른 간단한 방법이 있다면 그들이 귀하의 사이트에 접근하기 어렵게 만드는 것입니다. 방화벽은 해커가 만든 '의심스러운' IP 요청에 대한 마지막 방어선 역할을 합니다. 사람들이 집이나 사무실에 들어오는 것을 허용하거나 차단하는 경비원과 같은 역할을 합니다.

파이어웰

방화벽은 '양호한' IP 주소와 '나쁜' IP 주소를 모두 추적하여 해당 IP 주소의 요청을 자동으로 허용하거나 차단합니다.

MalCare 및 Sucuri와 같은 대부분의 보안 플러그인에는 모든 악성 트래픽을 차단하는 방화벽이 내장되어 있습니다.

해커로부터 WordPress 사이트를 보호해야 하는 이유는 무엇입니까?

해커로부터 WordPress 사이트를 보호하는 방법을 아는 것은 더 이상 나중에 미룰 수 있는 일이 아닙니다. 해킹이 웹 존재 또는 SEO 순위 이상에 영향을 미치기 때문입니다. 몇 시간 동안이라도 성공적인 맬웨어 또는 무차별 대입 공격은 수익에 심각한 피해를 입히고 브랜드 권위를 훼손할 수 있습니다.

공격 유형에 따라 WordPress 해킹은 다음 중 일부 또는 전체를 유발할 수 있습니다.

  • 유해한 "팝업" 광고로 웹사이트 홈페이지를 완전히 훼손
  • 귀하의 웹사이트가 스팸성 키워드에 대한 순위를 매길 수 있는 SEO 노력의 오용
  • 방문자가 가짜 제품 또는 금지된 의약품을 판매하는 다른 원치 않는 웹사이트로 리디렉션됨
  • 실제 비즈니스 이메일 주소를 사용하여 고객에게 발송되는 스팸 또는 "피싱" 이메일
  • 중요한 고객 기록, 금융 거래 세부 정보 및 기타 민감한 데이터의 손실을 초래하는 데이터 침해

이 기사가 맬웨어와 해킹으로부터 WordPress 사이트를 보호하는 방법을 정확히 알 수 있도록 팁과 전략에 도움이 되기를 바랍니다.

우리가 논의한 14가지 보안 조치에 대해 어떻게 생각하십니까? 이 목록에 추가할 것이 있습니까? 의견에 알려주십시오.

자슬란트