WordPress 보안 체크리스트 – 사이트를 보호하는 17가지 방법

사이트를 보호하기 위해 WordPress 보안 체크리스트를 찾고 있습니까? WordPress 보안을 개선하는 방법을 알고 싶습니까?

위의 질문에 대한 답변이 '예'인 경우 이 문서는 귀하를 위한 것입니다.

WordPress는 의심할 여지 없이 최고의 콘텐츠 관리 시스템(CMS) 중 하나입니다. 그러나 많은 수의 WordPress 사이트가 보안 문제에 직면해 있는 것도 사실입니다.

따라서 이 기사에서는 이러한 문제를 방지하기 위해 사이트에서 구현할 수 있는 WordPress 보안 체크리스트를 만들었습니다.

시작하자!

WordPress 보안을 우선시해야 하는 이유는 무엇입니까?

WordPress는 누구나 사용, 수정 및 배포할 수 있는 오픈 소스 CMS입니다. 누구나 플랫폼을 사용하고 테마 및 플러그인과 같은 타사 기능을 통합할 수 있습니다.

그러나 이러한 자유로 인해 플랫폼은 여러 보안 위협에 취약해졌습니다.

WordPress가 웹 사이트를 만드는 데 적합하지 않다는 의미는 아닙니다. 의심 할 여지없이 사용할 수있는 최고의 CMS입니다.

그러나 WordPress 사이트를 만들 때 주의해야 할 사항이 많습니다. 그리고 보안이 최우선 순위여야 합니다.

다음은 WordPress 보안이 중요한 몇 가지 이유입니다.

• 공격자를 방지하려면: 사이트에 완벽한 보안 조치를 구현하면 공격자를 저지할 수 있습니다. 보안이 잘 유지되는 사이트보다 취약한 사이트를 대상으로 삼는 것이 더 쉽기 때문입니다.
• 민감한 정보를 보호하려면: WordPress 보안을 우선시하면 사용자의 개인 데이터, 결제 세부 정보 등과 같은 민감한 정보를 보호하는 데 도움이 됩니다.
• 브랜드 평판 유지: 데이터 유출과 같은 보안 공격으로 인해 다운타임이 발생하고 트래픽이 감소합니다. 이것은 궁극적으로 브랜드 평판에 해를 끼칩니다.
• 재정적 손실을 방지하려면: 보안 공격으로 인해 사이트 복구 비용과 법률 비용을 아껴야 할 수 있으므로 재정적 손실이 발생할 수 있습니다.

그러나 사이버 공격으로부터 사이트를 보호하는 것도 쉽습니다.

광범위한 코딩이나 기술 지식이 필요하지 않습니다. 당신이 무엇을 할 수 있는지 알고 사이트에서 그 지식을 구현하면 됩니다.

따라서 사이트의 보안을 개선하는 데 도움이 되는 WordPress 보안 가이드로 이동하겠습니다.

WordPress 보안을 개선하는 17가지 방법 – 궁극의 체크리스트

다음은 로그인 페이지, 설치된 테마 및 플러그인, 관리자 패널 등을 보호하기 위해 구현할 수 있는 17가지 팁입니다.

WordPress 로그인 페이지 보안

1. 강력한 암호 사용

WordPress 로그인 페이지를 보호하려면 항상 아무도 추측할 수 없는 비밀번호를 사용해야 합니다. 더 나아가 비밀번호의 패턴은 고유해야 합니다.

NordPass의 데이터에 따르면 가장 일반적인 암호는 "암호"입니다. 이러한 암호는 쉽게 추측할 수 있으며 웹 사이트를 공격자에게 취약하게 만듭니다.

따라서 최소 12자의 비밀번호를 사용하십시오. 또한 비밀번호에는 대문자와 소문자, 일부 숫자 및 특수 문자가 혼합되어 있어야 합니다.

Delinea와 같은 비밀번호 생성기를 사용하여 강력한 비밀번호를 생성할 수도 있습니다.

한편, 정기적으로 비밀번호를 변경하는 것도 도움이 됩니다.

2. 이중 인증 활성화

2단계 인증을 활성화하는 것은 추가 보안 계층을 추가하는 것과 같습니다.

첫 번째 인증은 사용자 이름과 비밀번호이며 두 번째 인증은 별도의 앱이나 기기를 사용합니다.

예를 들어, 2차 인증을 위해 이메일이나 전화번호를 설정할 수 있습니다. 그런 다음 전화나 이메일로 보안 코드를 전송하여 로그인하는 동안 사용자를 인증합니다.

사용자는 동일한 코드를 입력해야만 로그인할 수 있습니다. 이렇게 하려면 이중 인증 기능을 추가하는 플러그인을 설치하고 활성화해야 합니다.

이러한 플러그인의 몇 가지 예는 Two-Factor, Two Factor Authentication 등입니다.

3. 로그인 시도 제한

로그인 시도 제한을 설정하면 공격자가 제한을 넘은 후 WordPress 사이트에 로그인하는 것이 금지됩니다.

더 이상 여러 번 추측하여 사용자 이름과 비밀번호를 입력할 수 없습니다. 또한 웹 사이트를 공격하는 가장 쉬운 방법 중 하나인 무차별 대입 공격을 방지합니다.

다음 섹션에서 무차별 대입 공격에 대해 자세히 설명하겠습니다.

해커나 공격자가 여러 번 시도하여 로그인에 실패하면 다른 취약한 사이트로 이동합니다. 또한 올바른 비밀번호를 입력하지 않으면 차단됩니다.

로그인 시도를 제한하려면 Limit Login Attempts Reloaded와 같은 플러그인을 사용하여 기능을 제공할 수 있습니다.

4. 기본 로그인 URL 변경

공격자가 WordPress 사이트를 공격하는 가장 쉬운 방법 중 하나는 로그인 URL을 이용하는 것입니다. 변경하지 않은 경우 기본 WordPress 로그인 URL을 쉽게 찾을 수 있습니다.

WordPress 웹사이트의 기본 로그인 URL은 domain-name/wp-login 또는 domain-name/wp-admin 입니다.

예를 들어 example.com 웹사이트의 로그인 URL은 www.example.com/wp-admin 입니다.

따라서 로그인 페이지 URL을 변경하고 사용자 지정 로그인 URL을 사용해야 합니다. 고유한 로그인 URL은 공격자가 찾기 어렵습니다.

사용자 등록 플러그인을 사용하여 기본 로그인 URL을 변경할 수 있습니다.

5. 기본 사용자 이름 변경 – admin

admin 및 administrator와 같은 사용자 이름은 일반적이고 추측하기 쉽습니다. 따라서 사용자 이름을 admin에서 고유한 이름으로 변경하여 아무도 해독할 수 없도록 해야 합니다.

이메일 주소를 사용하여 로그인하는 것이 사용자 이름보다 훨씬 낫습니다.

WordPress는 기본적으로 사용자 이름 변경을 허용하지 않습니다. 그러나 새 관리자를 생성하고 이전 관리자를 삭제하여 사용자 이름을 변경할 수 있습니다.

사용자 >> 새로 추가 로 이동하고 관리자 역할을 부여하여 새 사용자를 만들 수 있습니다.

Easy Username Updater와 같은 사용자 이름 변경 플러그인을 사용하거나 phpMyAdmin에서 사용자 이름을 업데이트할 수도 있습니다.

설치된 테마 및 플러그인 보안

6. 신뢰할 수 있는 소스에서 테마 및 플러그인 다운로드

WordPress는 사이트에 추가 기능을 추가할 수 있는 많은 놀라운 플러그인과 테마를 제공합니다. 그러나 이러한 테마와 플러그인을 신중하게 선택하는 것이 가장 좋습니다.

무료 테마 및 플러그인을 사용하려면 항상 WordPress 저장소에서 다운로드하십시오. 또한 사용자 리뷰를 보고 테마나 플러그인을 선택하십시오.

그리고 프리미엄 테마와 플러그인은 해당 테마와 플러그인의 공식 홈페이지에서 구매하셔야 합니다.

예를 들어 공식 웹사이트인 zakratheme.com에서 WordPress 테마의 프리미엄 버전인 Zakra를 구입할 수 있습니다.

또는 Envato의 ThemeForest와 같은 유명한 시장에서 테마를 구입할 수도 있습니다.

게다가 보안 강화를 위해 WordPress 사이트에서 사용 중인 테마 세부 정보를 숨길 수도 있습니다.

7. 테마 및 플러그인 업데이트

WordPress가 정기적으로 코어를 업데이트함에 따라 타사 테마 및 플러그인도 자주 업데이트를 릴리스합니다.

따라서 새 버전에 대한 알림을 받는 즉시 업데이트해야 합니다. 모든 새 버전에서 테마와 플러그인은 버그와 보안 격차를 수정합니다.

또한 새로 출시된 WordPress 버전과 호환되도록 만들어졌습니다.

최신 버전의 테마 및 플러그인이 있는지 확인하려면 대시보드의 업데이트 로 이동하세요.

또한 너무 오랫동안 업데이트되지 않은 테마와 플러그인은 사이트에 보안 위험을 초래합니다. 따라서 테마와 플러그인이 더 이상 업데이트되지 않으면 즉시 변경하십시오.

WordPress, 테마 및 플러그인을 최신 버전으로 업데이트하는 방법에 대한 기사도 읽을 수 있습니다.

8. WordPress 보안 플러그인 사용

사이트의 보안을 유지하기 위해 해야 할 또 다른 중요한 일은 보안 플러그인을 사용하는 것입니다.

WordPress 사이트의 보안을 관리하기 위해 구축된 많은 보안 플러그인이 있습니다. 따라서 신뢰할 수 있는 보안 플러그인을 찾아 웹사이트에 설치하십시오.

한편, 가능한 WordPress 공격을 방지할 수 있는 Sucuri Security와 같은 최신의 검증된 보안 플러그인을 선택해야 합니다.

또한 참조할 수 있는 우수한 보안 플러그인 목록도 있습니다.

9. 사용하지 않는 테마 및 플러그인 삭제

몇 년 또는 몇 달 동안 WordPress 웹 사이트를 운영한 후 많은 테마와 플러그인을 시도하고 테스트했을 수 있습니다.

또한 아래 이미지와 같이 사용하지 않는 테마와 플러그인을 삭제하지 않았을 가능성도 높습니다. Zakra를 제외한 모든 테마는 비활성 테마입니다.

하지만 사용하지 않는 테마와 플러그인은 보안 위협에 취약하다는 점을 알아야 합니다.

업데이트 없이 사이트에 남아 있으면 사이트에 다른 맬웨어를 초대할 수 있습니다. 따라서 웹사이트에서 비활성 테마와 플러그인을 제거했는지 확인하십시오.

따를 수 있는 사용하지 않는 테마 삭제에 대한 전체 가이드는 다음과 같습니다.

관리 패널 보안

10. 정기적으로 WordPress 핵심 소프트웨어 업데이트

WordPress는 각 업데이트마다 버그 및 보안 관련 문제에 대한 많은 수정 사항을 제공합니다. 핵심 WordPress를 업데이트하지 못한다는 것은 공격자를 초대한다는 의미입니다.

하지만 걱정하지 마세요! 한 번의 클릭으로 WordPress 코어를 업데이트하는 것은 매우 쉽습니다. 귀하의 편의를 위해 WordPress는 대시보드에서 바로 모든 주요 업데이트를 알려줍니다.

따라서 공격을 방지하기 위해 WordPress를 최신 상태로 유지하십시오. 그러나 핵심 WordPress를 업데이트하기 전에 웹 사이트 백업을 생성하십시오.

11. 정기적으로 백업 생성

전체 웹사이트의 백업을 생성하면 보안 공격이 발생할 경우 웹사이트를 복원하는 데 도움이 됩니다. 이렇게 하면 보안 위반으로 인해 중요한 데이터가 손실되지 않습니다.

또한 실수로 웹 사이트를 일부 변경하면 나중에 큰 이점이 될 수 있습니다.

웹 사이트 외에도 데이터베이스의 백업도 만들어야 합니다.

좋은 소식은 사이트를 백업하는 데 시간이 걸리지 않는다는 것입니다. 나머지를 처리하는 UpdraftPlus와 같은 백업 플러그인을 간단히 설치할 수 있습니다.

선택할 수 있는 백업 플러그인의 전체 목록은 다음과 같습니다.

12. 웹 애플리케이션 방화벽 활성화

웹 애플리케이션 방화벽(WAF)은 웹 사이트에 도달하기 전에 모든 악성 웹 트래픽을 차단할 수 있습니다.

인터넷과 웹 애플리케이션 사이에서 들어오고 나가는 트래픽을 모니터링하고 필터링합니다. WAF는 실제 트래픽만 웹 서버로 보낼 수 있습니다.

따라서 XSS(교차 사이트 스크립팅), SQL 주입 등과 같은 공격으로부터 웹 애플리케이션을 보호합니다.

WAF를 활성화하려면 Wordfence, Sucuri Security 및 Cloudflare와 같은 우수한 보안 WordPress 플러그인을 설치할 수 있습니다.

13. wp-config 파일 숨기기

wp-config 파일은 WordPress 사이트 구성과 관련된 모든 정보로 구성됩니다.

여기에는 데이터베이스, 보안 키, 암호 등에 연결하는 매개변수가 있습니다. 공격자가 웹 사이트에서 이 파일에 액세스하면 심각한 문제가 발생할 수 있습니다.

따라서 공격자로부터 wp-config 파일을 숨겨야 합니다.

기본적으로 wp-config 파일은 public_html 폴더에 있습니다. 따라서 간단히 파일 위치를 변경할 수 있습니다.

14. 사용자 역할에 따라 액세스 권한 부여

WordPress에는 사용자 역할을 할당하는 기능이 있습니다. 기본적으로 WordPress에는 특정 권한을 가진 5개의 사용자 역할이 있습니다.

따라서 역할에 따라 웹 사이트에 대한 사용자 액세스 권한을 부여해야 합니다.

예를 들어 블로그 팀이 있는 경우 기사를 게시, 편집 및 업데이트할 수 있는 작성자 또는 편집자 역할만 부여합니다. 관리자 권한이 필요하지 않습니다.

관리는 가장 중요한 역할 중 하나이며 필요한 사람에게만 배포해야 합니다.

15. 웹사이트를 정기적으로 스캔

아시다시피 예방이 치료보다 낫습니다. 따라서 정기적으로 웹사이트를 스캔해야 합니다. 이렇게 하면 사이트가 맬웨어로부터 안전합니다.

최고의 보안 플러그인 목록에서 선택하고 사이트에 하나의 플러그인을 설치하십시오. 일부 맬웨어를 감지하더라도 적시에 제거할 수 있습니다.

Jetpack과 같은 플러그인은 파일의 변경 사항을 자동으로 감지하고 악의적인 동작을 찾아 사이트를 보호할 수 있습니다.

또한 중요한 문제에 대해 알리고 다운타임을 모니터링하며 일반적인 위협을 자동으로 수정합니다.

호스팅을 통해 보안 확보

16. 안전한 WordPress 호스팅 서비스 선택

구매한 호스팅 서비스는 웹사이트의 홈입니다. 따라서 호스팅 서비스를 선택할 때 고도의 의식이 필요합니다.

엄격한 보안을 제공하는 동시에 HTTPS를 지원하고 SSL 인증서를 제공하며 백업을 관리해야 합니다.

Bluehost 및 Hostinger와 같은 많은 웹 호스팅 공급자는 WordPress 사이트 호스팅을 위한 완벽한 솔루션을 제공합니다.

17. SSL 인증서 설치

SSL(Secure Sockets Layer) 또는 TLS(Transport Layer Security)는 컴퓨터 네트워크 간에 암호화되고 인증된 링크를 설정하기 위한 프로토콜입니다.

사이트와 브라우저에서 중요한 정보를 안전하게 전송할 수 있습니다. SSL 인증서는 공개 키와 개인 키로 구성된 암호화 키 쌍을 제공합니다.

공개 키를 사용하면 웹 브라우저가 웹 서버와 암호화된 통신을 시작할 수 있습니다.

반면 개인 키는 서버에 보관되며 웹 페이지 및 기타 문서에 디지털 서명하는 데 사용됩니다.

WordPress의 호스팅 서비스 공급자는 SSL 인증서를 제공하여 설정 프로세스를 처리합니다.

또는 Cloudflare 및 GoDaddy와 같은 인증 기관의 SSL 인증서를 추가할 수도 있습니다.

일반적인 WordPress 보안 문제

무차별 대입 공격

무차별 대입 공격은 가장 일반적인 WordPress 보안 문제 중 하나입니다. 무차별 대입 공격의 경우 공격자는 암호를 추측하여 여러 번 로그인을 시도합니다.

공격자는 일반적으로 웹 사이트의 로그인 페이지를 대상으로 하고 무단 액세스를 시도합니다. 추측한 사용자 이름과 비밀번호가 정확할 때까지 로그인을 시도합니다.

따라서 강력한 비밀번호를 사용하고, 로그인 시도를 제한하고, 이중 인증을 사용하고, 기본 로그인 URL과 사용자 이름을 변경해야 합니다.

SQL 인젝션

SQL 주입은 WordPress 사이트의 데이터베이스를 대상으로 합니다. 공격자는 승인되지 않은 정보에 액세스하기 위해 악의적인 SQL 쿼리를 데이터베이스에 삽입하려고 시도합니다.

이러한 스크립트가 실행되면 공격자는 데이터베이스 테이블의 행을 조작하거나 제거할 수 있습니다.

워드프레스의 경우 SQL 주입을 통해 공격자는 웹사이트의 데이터베이스와 상호 작용하는 플러그인 및 테마도 공격할 수 있습니다.

따라서 플러그인과 테마를 정기적으로 업데이트하고 방화벽을 사용하고 웹사이트 백업을 생성하면 WordPress 사이트에 대한 SQL 주입 공격의 위험을 줄일 수 있습니다.

디도스 공격

DDoS(Distributed Denial of Service) 공격은 비정상적으로 많은 트래픽 볼륨으로 웹사이트나 서버에 과부하를 줍니다. 결과적으로 사용자는 웹 사이트에 액세스할 수 없습니다.

공격자는 컴퓨터 봇을 생성하여 동시에 대상 웹 사이트에 엄청난 양의 트래픽을 보내는 방식으로 공격을 수행합니다.

이러한 공격을 방지하려면 Cloudflare와 같은 콘텐츠 전송 네트워크(CDN)를 사용하여 수신 트래픽과 웹 애플리케이션 방화벽을 배포하세요.

사이트의 네트워크 트래픽을 정기적으로 모니터링하고 보안 호스팅 서비스를 사용할 수도 있습니다.

XSS(교차 사이트 스크립팅)

XSS(Cross-Site Scripting)는 공격자가 악성 실행 코드나 스크립트를 웹 사이트에 삽입하려고 시도하는 또 다른 종류의 사이버 공격입니다.

공격자는 댓글, 문의 양식 또는 사용자 등록 양식 제출과 같은 사용자 생성 콘텐츠를 통해 XSS 공격을 수행할 수 있습니다.

따라서 항상 사용자 입력을 확인하고 Everest Forms와 같은 보안 문의 양식 플러그인과 사용자 등록과 같은 사용자 등록 플러그인을 사용해야 합니다.

그 외에도 다른 보안 조치를 따라야 합니다.

마무리하기!

이것이 WordPress 보안 체크리스트의 전부입니다. 기사를 읽고 WordPress 보안을 개선하는 방법을 이해하시기 바랍니다.

요컨대, WordPress 사이트의 보안은 항상 최우선 순위여야 합니다. 데이터와 정보를 보호하고 사이트의 무결성을 유지할 수 있습니다.

따라서 WordPress 보안 체크리스트를 따르면 사이트가 공격당할 위험을 줄일 수 있습니다. 또한 다른 타사 제품을 신중하게 사용하는 것이 좋습니다.

아직 시간이 있다면 블로그 페이지를 탐색할 수 있습니다. 바닥글에서 테마 이름을 제거하고 링크 색상을 변경하는 등의 방법을 안내하는 놀라운 기사가 ​​있습니다.

또한 최신 업데이트를 받으려면 Twitter 및 Facebook에서 저희를 팔로우하세요.