10 WordPress 모범 사례

WordPress 웹 사이트는 웹의 40% 이상을 구성하여 사이버 범죄자의 주요 대상이됩니다. 소규모 블로그에서 엔터프라이즈 사이트에 이르기까지 인기는 캐치와 함께 제공됩니다. 해커는 끊임없이 이용할 수있는 방법을 찾고 있습니다. 단일 보안 경과는 훼손된 페이지, 도난 데이터 또는 완전한 사이트 인수, 비용 시간, 돈 및 신뢰로 이어질 수 있습니다. 좋은 소식은 WordPress 사이트를 확보하는 것이 복잡 할 필요는 없다는 것입니다. 똑똑하고 실행 가능한 습관으로 시작합니다. 이 게시물에서는 보안이 위협으로부터 귀하의 사이트와 마음의 평화를 보호하기위한 WordPress 모범 사례를 살펴볼 것입니다.

시작합시다.

10 WordPress 모범 사례

이 10 가지 관행의 초점 목록은 구식 소프트웨어, 약한 로그인 및 서버 측 간격과 같은 가장 큰 위험을 해결하면서 구현하기 쉽습니다. 이 단계는 공격을 차단하고 손상을 최소화하며 사이트를 원활하게 실행하여 오늘날의 가장 일반적인 위협에 대한 균형 잡힌 방어를 제공합니다.

1. WordPress Core, 테마 및 플러그인을 업데이트하십시오

WordPress 사이트를 보호하기위한 가장 쉬운 단계 중 하나는 핵심 소프트웨어, 테마 및 플러그인을 최신 상태로 유지하는 것입니다. 구식 소프트웨어는 해커의 놀이터로 사이트에 대한 주요 액세스 권한을 부여합니다. 배치되지 않은 각 버전은 해커가 자동 스크립트로 악용 할 수있는 알려진 취약점을 보유 할 수 있습니다. 예를 들어, 오래된 플러그인에는 악의적 인 코드 주입이 가능한 결함이있을 수 있으며, 구식 WordPress 코어는 사이트를 에스컬레이션 공격에 노출시킬 수 있습니다.

테마도 역할을합니다. 방치되지 않은 코드가있는 무시 된 테마는 문제의 진입 점이 될 수 있습니다. 개발자는 새로운 기능뿐만 아니라 이러한 보안 구멍을 패치하기 위해 업데이트를 출시합니다. 예를 들어 Divi와 같은 테마를 가져 가십시오. 유연성과 프론트 엔드 비주얼 빌더에게 인기있는 선택이지만, 종종 눈에 띄지 않는 것은 보안 및 성능을 해결하기 위해 업데이트를 부지런히 출시하는 것입니다. Divi와 같은 잘 지원되는 테마를 고수한다는 것은 버려진 코드를 다루는 가능성이 적으며, 무료 또는 덜 알려진 테마로 일반적인 위험을 초래할 가능성이 적습니다. WordPress와 플러그인을 최신 상태로 유지하면 견고한 기초가 있습니다.

사이트 관리 도구로 업데이트하십시오

특히 여러 사이트를 관리 할 때 업데이트를 수동으로 확인하는 것이 지루할 수 있습니다. 이곳은 사이트 관리 도구가 유용한 곳입니다. 사용 가능한 업데이트를 알려주고 몇 번의 클릭으로 적용 할 수 있으며 프로세스를 자동화 할 수도 있습니다.

Divi Dash는 특히 Divi 사용자 인 경우 훌륭한 선택입니다. 이 무료 도구 (Divi 라이센스 포함)는 중앙 대시 보드를 제공하여 무제한 웹 사이트에서 WordPress 코어, 테마 및 플러그인을 모니터링하고 업데이트합니다. 많은 노력없이 사이트를 안전하게 유지하면서 용어로 실행하도록 업데이트를 예약 할 수도 있습니다.

Divi Dash는 Divi 라이센스를 구매하여 무제한 웹 사이트에서 무료로 사용할 수 있습니다.

Divi + Divi Dash를 얻으십시오

Divi Dash와 같은 도구를 통해 업데이트를 앞두고 있음을 통해 사이트를 유지하는 것이 아니라 위협에 대한 강화를 강화합니다. 이것은 보안을위한 WordPress의 모범 사례와 완벽하게 일치하여 취약점이 악용되기 전에 패치되도록합니다.

2. 강력한 암호와 2 단계 인증 (2FA)을 사용하십시오.

비밀번호는 사이트의 첫 번째 방어선이지만 약한 암호는 해커를위한 공개 초대입니다. Cybercriminals는 Brute Force Attack을 사용하여 비밀번호 123과 같은 일반적인 암호를 통해 순환하거나 데이터 유출에서 몇 초 안에 약한 로그인을 크랙하기 위해 도난당한 자격 증명을 사용합니다. 손상된 계정은 WordPress 사이트를 완전히 제어하여 공격자가 데이터를 훔치거나 페이지를 편집하거나 맬웨어를 설치할 수 있습니다. 글자, 숫자 및 기호의 혼합을 사용하면 비밀번호를 기하 급수적으로 추측하거나 크래킹 할 수 있습니다. 해커가 시도하는 첫 번째 일이기 때문에 admin 과 같은 기본 사용자 이름을 버리는 것도 마찬가지로 중요합니다.

그러나 강력한 비밀번호는 완벽하지 않습니다. 또한 2 단계 인증 (2FA)이 필요합니다. 휴대 전화로 전송되거나 앱에서 생성 된 코드와 같이 비밀번호 이외의 것을 요구하여 두 번째 보안 계층을 추가합니다. 해커는 비밀번호를 잡아라더라도 두 번째 요소없이 붙어 있습니다. 올바른 도구를 사용하면 WordPress에서 2FA를 설정하는 것이 쉽습니다. Solid Security와 같은 보안 플러그인을 사용하면 모든 사용자를 위해 시행 할 수있는 옵션과 함께 몇 분 안에이를 활성화 할 수 있습니다.

플러그인을 선택하고, 2FA를 활성화하고, 기본 사용자 이름을 고유 한 것으로 바꾸십시오. 이러한 간단한 움직임은 WordPress 보안 모범 사례의 초석 인 웹 사이트에 대한 무단 액세스에 대한 강력한 장벽을 만듭니다.

3. 안전한 사용자 역할 및 권한을 사용하십시오

WordPress 사이트에 액세스 할 수있는 모든 사용자는 악의, 실수 또는 해킹 된 계정을 통한 잠재적 인 진입 점입니다. 안전한 사용자 역할 및 권한으로 액세스를 제한하는 것은 내부 위반의 위험을 줄이는 강력한 방법입니다. 기고자의 계정이 손상되면 편집자 권한 만있는 공격자는 플러그인이나 페이지 삭제 페이지를 설치할 수 없지만 관리자 위반은 재난을 일으킬 수 있습니다. 모든 것에 접근 할 필요가없는 사용자는 우발적 인 손상 확률을 높이고 위협 및 오류에 대한 제한된 액세스를 제공합니다.

WordPress는 관리자, 편집자, 저자, 기고자 및 가입자 등 내장 사용자 역할을 통해이를 간단하게 만들어줍니다. 누군가가 필요로하는 것에 따라 최소한의 권한을 할당하십시오. 예를 들어, 블로그 라이터는 게시물을 작성하고 게시 할 수 있도록 저자로 만들어야하지만 사이트 설정을 만질 수는 없습니다. 사용자를 할당하는 역할에 관계없이 자신을 위해 관리자 계정을 예약하거나 플러그인, 테마 또는 핵심 설정을 진정으로 관리 해야하는 신뢰할 수있는 소수의 사람들이 예약하십시오. 권한을 강화함으로써 공격 표면을 축소하고 사이트의 민감한 영역을 잠그는 상태로 유지합니다.

4. 보안 호스팅 제공 업체를 선택하십시오

WordPress 호스팅 제공 업체는 WordPress 사이트를 주차 할 수있는 장소가 아니라 보안 전략의 기초입니다. 제대로 안전하지 않은 호스트는 다른 모범 사례를 모두 못 박았더라도 사이트를 노출시킬 수 있습니다. 호스팅 보안에 큰 영향을 미칩니다. 보안에 큰 영향을 미칩니다 : 서버 수준 보호, 취약성 패치 속도, 데이터가 공격으로 인한 위반 또는 가동 중지 시간으로부터 안전하게 유지되는지 여부가 결정됩니다. 저렴하거나 덜 알려진 호스트는 방화벽, 업데이트 또는 백업을 뛰어 넘어 해커를 위해 사이트를 낮은 과일로 전환 할 수 있습니다. 반면, 안전한 공급자는 요새처럼 행동하여 사이트를 위협으로부터 보호하기 전에 위협으로부터 보호합니다.

WordPress 호스트를 선택할 때 강력한 보안 기능의 우선 순위를 정하십시오. 사이트와 방문자간에 데이터를 암호화 할 무료 SSL 인증서를 찾으십시오. WAF (Web Application Firewall)는 필수품이며 SQL 주입 및 크로스 사이트 스크립팅 시도와 같은 악성 트래픽을 필터링합니다. 자동 백업은 랜섬웨어 또는 우발적 인 데이터 손실에서 절약 할 수 있으며 DDOS 보호는 트래픽 홍수 중에 사이트를 온라인으로 유지합니다.

Hostinger 및 Siteground와 같은 제공자는 호스팅을위한 최고의 선택으로 두드러집니다. Hostinger는 예산 친화적 인 가격으로 모든 계획, 일일 백업 및 보안을 제공하여 위협을 차단하기 위해 무료 SSL을 제공합니다. SiteGroun 올바른 호스트를 선택하는 것은 보안을위한 WordPress 모범 사례의 핵심 부분입니다.

5. 좋은 보안 플러그인을 설치하십시오

WordPress에는 현대의 위협을 막을만큼 강력한 보안 도구가 없지만 훌륭한 보안 플러그인은 그 차이를 연결할 수 있습니다. 우리는 이미 일부 보안 플러그인이 귀하의 사이트를 2FA로 안전하게 유지하는 데 도움이되는 방법에 대해 이미 다루었지만 일반적으로 그보다 훨씬 더 많은 일을합니다. 그들은 의심스러운 활동을 모니터링하고 무차별 인력 공격 및 악성 코드 주사와 같이 실시간으로 위협을 차단할 수 있으며 상황이 완전히 통제되지 않기 전에 경고 할 수 있습니다. 보안 플러그인이 없으면 사전 방어보다는 희망에 의존하여 사이트를 올바른 설정으로 차갑게 멈출 수있는 위험에 노출됩니다.

선택할 수있는 몇 가지 눈에 띄는 옵션이 있습니다. WordFence는 끊임없이 업데이트 된 위협 데이터베이스로 뒷받침되는 실시간 위협 차단, 방화벽 및 맬웨어 스캔을 제공하는 인기있는 무료 선택입니다. Sucuri는 클라우드 기반 방화벽 및 딥 맬웨어 정리 도구를 제공합니다. 서버를 넘어서는 보호를 원할 경우 이상적입니다. 앞에서 언급 한 또 다른 플러그인 인 Solid Security는 사용 편의성, 로그인 잠금 및 몇 번의 클릭으로 일반적인 문제를 패치하는 데 중점을 둡니다.

6. 사이트를 정기적으로 백업하십시오

WordPress 사이트가 아무리 안전하더라도 해킹, 서버 충돌 또는 실패한 플러그인 업데이트조차도 즉시 노력을 사로 잡을 수 있습니다. 정기적 인 백업은 안전망이므로 사이트를 사전 자매 상태로 복원하여 손상을 완화시킵니다. 공격자가 맬웨어 또는 랜섬웨어를 사용하여 잠그는 경우 최근 백업을 통해 한푼도 지불하거나 처음부터 시작하지 않고 롤백 할 수 있습니다. 백업이 잠재적 인 재앙을 사소한 딸꾹질로 바꾸는 우발적 실패도 마찬가지입니다. 하나가 없으면 사이트의 생존으로 도박을합니다.

Cloudways와 같은 많은 훌륭한 호스팅 제공 업체에는 계획의 일부로 자동 백업이 포함되어 매일 또는 매주 스냅 샷을 절약합니다. 그러나 모든 호스팅 제공 업체가하는 것은 아닙니다. 그렇기 때문에 백업 플러그인이 중요합니다. 백업 솔루션을 추가하면 추가 제어력과 마음의 평화가 제공됩니다.

UpdraftPlus는 매일, 매주 또는 월간 백업을 예약하여 Google Cloud, Dropbox 및 기타 옵션에 안전하게 저장합니다. Jetpack 백업과 같은 다른 사람들은 실시간 저장 및 원 클릭 복원을 제공합니다. 이와 같은 플러그인은 언제 어디서나 액세스 할 수있는 사이트 사본을 가지고 있는지 확인하십시오. 그것을 설정하고 잊고 사이트가 무엇이든 반격 할 준비가 된 것을 알고 있습니다. 이것은 보안을위한 WordPress 모범 사례의 중요한 요소입니다.

7. HTTPS 및 SSL 인증서를 사용하십시오

SSL (Secure Socket Layer) 인증서로 구동되는 HTTPS는 사이트와 방문자 간의 데이터를 암호화하여 사악한 행위자로부터 안전하게 유지합니다. 그것없이 해커는 MITM (Man-in-the-Middle) 공격을 통해 로그인, 양식 또는 지불 세부 사항을 가로 채울 수 있습니다. SSL은 SSL이없는 사이트가 브라우저에 의해 안전하지 않은 것으로 표시되므로 SSL은 콘텐츠 변조를 차단하고 신뢰를 향상시킵니다. 잠재 고객이 이와 같은 오류가 발생하면 사이트로 돌아 오지 않을 가능성이 높습니다.

Het 's Encrypt (무료 옵션), 호스팅 제공 업체를 통해 또는 Namecheap과 같은 제공자로부터 구매하는 등 SSL 인증서를받는 몇 가지 방법이 있습니다. 대부분의 평판이 좋은 호스트는 모든 요금제마다 무료 SSL 인증서를 번들로 묶고 가입시 자동 구성되었습니다. SiteGroun

SiteGround를 사용하면 내장 도구로 HTTPS를 시행 할 수 있습니다. SSL이 활성화되면 서버 레벨에서 모든 트래픽을 HTTP로 강제 할 수 있습니다. Speed ​​Optimizer 플러그인을 사용하여 WordPress 대시 보드를 통해 HTTPS를 쉽게 시행 할 수있는 방법을 제공합니다. HTTP 링크를 HTTP로 변환하여 사이트를 경고없이 유지하여 HTTPS를 시행하면 트래픽 및 자동 고정 혼합 콘텐츠가 혼합 된 컨텐츠를 리디렉션합니다.

8. 사이트 활동을 모니터링하고 감사합니다

의심스러운 활동을 조기에 발견하면 수익이없는 지점에 도달하기 전에 위반을 막을 수 있습니다. 모니터링하지 않으면 손상이 완료 될 때까지 위협에 눈이 멀게됩니다. 활동 로그는 누가 붉은 깃발을 신속하게 발견하고 결정적으로 응답 할 수 있는지를 보여줍니다.

좋은 활동 로그 플러그인은 이것을 쉽게 만듭니다. WP Activity Log는 사용자 조치, 플러그인 변경 및 로그인 시도를 기록하며 정기적 인 리뷰를 공개합니다.

Divi 사용자의 경우 Divi Dash는 역사 도구와 함께 강력한 대안을 제공합니다. 우아한 테마 회원 영역에서 액세스 할 수있는이 기능은 모든 연결된 웹 사이트에서 사용자 활동 및 플러그인 업데이트에 대한 완전한 개요를 제공합니다. 특정 웹 사이트, 시간 프레임, 동작 또는 유형별로 필터링하여 정보를 쉽게 찾을 수 있습니다.

Divi Dash의 히스토리 도구를 일상적인 검사와 페어링하면 잠재적 인 위협, 사이트 관리 및 보안을 하나의 직관적 인 패키지로 유지합니다. 모니터링은 종종 WordPress 보안 모범 사례에서 볼 수있는 부분이지만 적극적으로 유지하는 데 필수적입니다.

9. 파일 편집에 대한 액세스를 제한합니다

WordPress의 내장 코드 편집기를 사용하면 관리자가 대시 보드에서 직접 테마와 플러그인을 조정할 수 있지만 이중 에디드 검입니다. 빠른 편집에는 편리하지만이 도구는 눈부신 보안 위험입니다. 공격자가 관리자 액세스를 잡아 당기면 편집기를 이용하여 몇 번의 클릭으로 백도어, 스파이웨어 또는 스크립트 리디렉션 스크립트와 같은 악성 코드를 주입 ​​할 수 있습니다. 이러한 나쁜 행위자가 없어도 기술에 정통한 사용자의 정직한 실수는 사이트를 충돌 시키거나 새로운 취약점을 드러 낼 수 있습니다. Left Enabled는 혼돈에 대한 공개 초대이며, 단일 타협 된 계정을 본격적인 재난으로 바꿉니다. IT를 비활성화하면 FTP 또는 스테이징 사이트와 같은보다 안전한 채널을 통해 편집을 통해 텍스트를 변경하고 백업을 편리하게 유지할 수 있습니다.

사이트의 파일 편집기를 낮추려면 사이트의 wp-config.php 파일을 편집 할 수 있습니다. 이 파일은 데이터베이스 연결, 사용자 자격 증명 등과 같은 주요 설정을 제어하므로 편집기를 비활성화하는 것과 같은 사이트 전체의 규칙을 시행 할 수있는 완벽한 장소가됩니다. 간단한 스 니펫은 서버 레벨에서 변경 스틱을 보장하여 사이트가 해를 입지 않도록 보호합니다.

WPCode와 같은 플러그인을 사용하여 스 니펫을 삽입하거나 WP-Config 파일을 직접 편집하여 that 's All, 편집을 중지 할 수 있습니다 .

// Disallow file edit define( 'DISALLOW_FILE_EDIT', true );

스 니펫을 저장하면 편집기가 대시 보드에서 사라져 최소한의 노력으로 위험한 진입 점을 밀봉합니다.

10. 불필요한 기능을 비활성화하여 WordPress를 강화하십시오

WordPress에는 XML-RPC, 업로드의 파일 실행 및 디렉토리 브라우징과 같은 기본 기능이 있습니다. 특정 경우에는 유용하지만 종종 해커 미끼 역할을 할 수 있습니다. 이러한 엑스트라를 비활성화하면 사이트의 취약점을 다듬어 핵심 기능을 희생하지 않으면 서 더 어려운 대상이됩니다.

XML-RPC를 비활성화하십시오

예를 들어 XML-RPC를 사용하십시오. WordPress에 구운 프로토콜로, 원래 외부 앱이 사이트와 원격으로 대화 할 수 있도록 설계되었습니다. Pingbacks 및 Trackbacks와 같은 기능을 구동하여 누군가가 귀하의 콘텐츠에 연결했을 때 알려줍니다. 그러나 오늘날 그 유용성은 사라졌습니다. 최신 도구는 대신 REST API에 의존하며 Pingbacks는 크게 쓸모없고 스팸입니다. 한편 XML-RPC는 여전히 보안 책임으로 남아 있습니다. 해커는 무차별 인력 공격, 로그인 시도 범람 또는 요청으로 서버를 압도함으로써 DDOS 공격을 시작하기 위해이를 악용합니다. 요구하는 레거시 플러그인을 사용하지 않는 한, 공격자가 프로브를 좋아하는 구멍을 비활성화합니다.

functions.php (자식 테마가 필요한)에 스 니펫을 추가하여 비활성화하거나 WPCode를 사용하여 테마 파일을 터치하지 않고 사이트에 떨어 뜨릴 수 있습니다.

 add_filter( 'xmlrpc_enabled', '__return_false' ); 

업로드 폴더를 잠그십시오

또 다른 약점은 업로드 폴더의 PHP 실행입니다. 해커는 이미지로 위장한 악의적 인 PHP 파일을 업로드 한 다음 실행하여 혼란을 일으킬 수 있습니다. WP-Content/Uploads 폴더에 .htaccess 파일을 추가하여이를 중지 할 수 있습니다. 텍스트 편집기를 사용하여 새 파일을 만들고 내부에 코드 스 니펫을 붙여 넣은 다음 ftp를 통해 새 파일을 업로드하십시오.

<Files *.php>
 deny from all
</Files>

디렉토리 브라우징은 세 번째 위험입니다. 열려 있으면 누구나 파일 구조를 들여다 볼 수 있습니다. Solid Security 또는 WPCode와 같은 보안 플러그인을 사용하면 몇 번의 클릭으로 이러한 모든 위협을 비활성화하여 강화 프로세스를 자동화하여 코드를 저글링 할 필요가 없습니다. 이러한 불필요한 기능을 제거하면 문을 잠그고 해커는 차를 시작할 수 있습니다.

WordPress 사이트를 강화하십시오

WordPress 웹 사이트 보안은 WordPress의 보안 모범 사례와 일치하는 현명하고 실용적인 방어를 쌓는 것을 의미합니다. 적시에 업데이트 및 강력한 암호에서 신뢰할 수있는 백업 및 강화 된 설정에 이르기 까지이 단계는 위험을 줄이고 해커를 막습니다. Divi Dash, Solid Security 등과 같은 도구는 사이버 위협보다 앞서 나가는 도구입니다. 그들이 완전히 사라지지는 않지만, 강화 된 사이트는 그들을 견딜 수 있습니다. 한 가지 행동으로 시작하여 구축하고 WordPress 사이트가 강하게 지켜보십시오. 보안을위한 WordPress의 모범 사례를 고수함으로써 귀하의 사이트는 공격자의 어려운 목표로 남아 있습니다.