WordPress 사이트가 해킹되는 이유와 방지 방법

최종 업데이트 - 2021년 7월 8일

WordPress는 웹사이트나 블로그를 만드는 데 사용되는 인기 있는 CMS(콘텐츠 관리 시스템) 입니다. WordPress가 인기를 끄는 이유 중 하나는 간단하다는 것입니다. 사용자는 WordPress를 사용하여 코딩 경험이 없어도 웹사이트에서 콘텐츠를 쉽게 생성, 수정 및 관리할 수 있습니다. 이로 인해 많은 회사와 개인이 WordPress를 사용하여 사이트를 구축하게 되었습니다.

W3techs 의 최근 보고서 에 따르면 WordPress는 전체 웹사이트의 34.5%에서 사용됩니다. 즉, 사용하는 모든 세 번째 웹 사이트가 WordPress로 구축되었습니다. CMS 솔루션 중에서 WordPress의 시장 점유율은 훨씬 높아서 전체 웹사이트의 60% 이상이 WordPress에서 실행됩니다. Joomla는 2위를 차지했지만 큰 차이로 사이트 수의 5-10%에서 사용됩니다.

WordPress 사이트가 해킹되는 이유는 무엇입니까?

인터넷의 다른 웹 사이트보다 공격에 취약하지 않을 수 있지만 WordPress 사이트는 훨씬 더 일반적이기 때문에 해킹을 당할 가능성이 더 큽니다. WordPress의 엄청난 인기를 감안할 때 공격자는 이러한 사이트에서 발견된 취약점을 악용할 방법을 찾고자 하는 더 많은 인센티브를 갖게 됩니다.

공격자가 WordPress에서 취약점을 발견하면 인터넷의 거의 모든 다른 시스템보다 훨씬 더 많은 대상을 갖게 됩니다. 또한 WordPress는 코딩 경험이 없는 많은 사용자를 끌어들이기 때문에 공격자가 악용할 수 있는 취약성으로부터 웹사이트를 보호하는 데 필요한 조치를 취할 가능성이 훨씬 적습니다. WordPress 사이트가 해킹되는 또 다른 이유는 "스포츠"와 연습입니다. 많은 초보자들은 해킹 기술을 연습하고 개선할 수 있는 방법을 찾기 위해 보안이 취약한 사이트를 찾으려고 합니다.

WordPress 웹 사이트가 해킹되는 7가지 방법 및 방지 방법

WordPress 사이트가 해킹되는 일반적인 이유를 이해하고 이에 따라 예방 조치를 취해야 합니다.

약한 비밀번호

비밀번호는 WordPress 웹사이트의 키로 작동하므로 보호할 수 있을 만큼 충분히 강력해야 합니다. 연구에 따르면 모든 데이터 침해의 약 80% 가 취약한 암호로 인해 발생합니다.

해결 방법 : 이 취약점을 수정하는 것은 간단합니다. 강력한 암호를 사용하십시오. 예를 들어 LastPass 와 같은 타사 암호 관리자를 사용할 수도 있습니다 .

WordPress 사용자 이름을 변경하지 않음

워드프레스 계정을 열면 사용자 이름은 'admin'이고 모두가 이것을 알고 있습니다. 이러한 이유로 위협 행위자가 웹사이트를 해킹하려고 할 때 시도하는 첫 번째 사용자 이름입니다. 이 계정은 루트 권한을 제공하며 사이트를 휴지통으로 이동하고 연결된 네트워크에 액세스하며 데이터를 훔치거나 삭제하거나 몸값을 지불하는 데 사용할 수 있습니다.

해결 방법 : 사용자 이름이 admin인 경우 가능한 한 빨리 다른 사용자 이름으로 변경하십시오.

안전하지 않은 웹 호스팅

WordPress 웹사이트는 다른 모든 웹사이트와 마찬가지로 서버에서 호스팅됩니다. 올바른 공급자를 선택하는 것이 웹사이트 보안의 핵심입니다. 이 가이드에 언급된 다른 모든 팁을 구현하더라도 공급자가 약한 보호를 제공하면 웹사이트가 여전히 해킹당할 수 있습니다.

해결 방법 : 예산 내에서 최고의 WordPress 호스팅 제공업체를 선택하고 웹사이트가 안전한 플랫폼에서 호스팅되는지 확인하십시오.

잘못된 파일 권한

파일 권한은 웹 서버가 웹 사이트에서 저장하고 사용하는 파일에 대한 액세스를 제어할 수 있도록 호스팅 서버에서 사용하는 규칙입니다. 이러한 파일에 잘못된 권한을 부여하면 해커가 파일에 액세스하고 수정할 수 있어 웹사이트에 모든 종류의 문제가 발생할 수 있습니다.

해결 방법 : 모든 WordPress 파일이 값 권한 644로 설정되어 있고 모든 폴더가 755로 설정되어 있는지 확인합니다.

일반적인 사이버 위협에 대한 취약한 보안

가장 강력한 암호를 가지고 있고 가장 안전한 호스트를 사용하더라도 사이버 공격에 여전히 취약합니다. 예를 들어 SQL 인젝션은 맬웨어로 웹사이트를 감염시키는 데 사용되는 일반적인 공격입니다.

해결 방법 : 가장 일반적인 위협과 이러한 위협으로부터 웹사이트를 보호하는 방법에 대해 알아봅니다. 시작하기에 좋은 곳은 OWASP(Open Web Application Security Project) 상위 10 개 ―가장 시급한 10개의 취약점을 자세히 설명하는 목록입니다. OWASP는 또한 사이버 보안 관행을 개선하는 데 사용할 수 있는 교육 리소스를 제공합니다.

오래된 WordPress 버전 사용

일부 WordPress 사용자는 웹 사이트에 오류가 발생할 수 있으므로 웹 사이트를 최신 버전의 WordPress로 업데이트하는 것을 두려워합니다. 그러나 이러한 업데이트 중 상당수가 보안 허점을 패치하기 위해 릴리스되기 때문에 업데이트를 피하는 것은 심각한 문제입니다.

수정 방법 : 최신 버그 수정 및 보안 패치를 받을 수 있도록 항상 최신 버전으로 업데이트해야 합니다. 업데이트가 웹사이트를 엉망으로 만들지 않을까 걱정된다면, 특히 버전 업데이트 전에 완전한 WordPress 백업을 만드는 것이 항상 좋은 방법입니다.

오래된 테마 또는 플러그인 사용

WordPress 테마 및 플러그인은 실행되는 핵심 소프트웨어와 크게 다르지 않으며 업데이트를 유지하는 것도 똑같이 중요합니다. 오래된 버전은 취약점에 노출될 수 있습니다.

해결 방법 : 모든 테마와 플러그인이 최신 버전인지 확인하세요.

마무리

워드프레스 웹사이트는 항상 해킹을 당합니다. 이것은 사실이며, 그렇게 다루어야 합니다. 전자상거래 웹사이트는 일반 사이트보다 더 많은 보상을 제공하기 때문에 공격에 특히 취약합니다. 많은 거래를 처리하는 성공적인 전자 상거래 플랫폼은 종종 민감한 정보를 저장합니다.

웹사이트가 침해되면 공격자가 정보를 훔칠 수 있습니다. 이것은 특히 웹 사이트가 유럽 연합과 관련된 사용자에게 서비스를 제공하는 경우 웹 사이트를 나쁜 상황에 놓이게 합니다. 이 정보는 "유럽 연합 및 유럽 경제 지역의 모든 개별 시민"의 민감한 정보를 보호하는 일반 데이터 보호 규정(EU GDPR)에 의해 보호됩니다. GDPR을 준수하지 않으면 재정적 손실과 평판 손실이 발생할 수 있습니다.

명심해야 할 또 다른 규정 준수 기관은 신용 카드 소지자의 민감한 금융 정보를 보호하는 PCI DSS(Payment Card Industry Data Security Standard)입니다. PCI는 신용 카드 데이터를 처리, 저장, 전송 및 접촉하는 모든 판매자에게 적용됩니다. 이는 전자 상거래 플랫폼이 PCI를 준수해야 함을 의미합니다. PCI는 벌금을 통해 규정 준수를 시행하는 주요 신용 카드 회사에서 유지 관리하고 규제합니다.