2024년 WordPress 보안 위협 환경: 주요 동향 및 통계

WPScan은 최근 WordPress 사이트에 대한 2023년 취약점 및 위협에 대한 검토를 발표했습니다. 이 정보를 활용하면 사이트 소유자와 WordPress 전문가 모두 2024년을 좀 더 안전하게 헤쳐나갈 수 있습니다.

전담 보안 전문가가 이끄는 WPScan은 WordPress 생태계에 대한 최고의 위협 데이터베이스를 유지 관리합니다. 업계 최고의 전문가들이 사용하는 WPScan은 가장 완벽한 리소스로 간주됩니다. 현재까지 WPScan과 기여자는 49,000개 이상의 취약점을 식별, 확인 및 분류했습니다.

데이터베이스는 Mercedes-Benz Group, WP Engine, Accenture 및 Kinsta와 같은 기업 조직에서 사용됩니다. 또한 Jetpack Protect 또는 Jetpack Security 플랜을 통해 사용할 수 있는 Jetpack Scan과 같은 유명한 WordPress 보안 도구도 지원합니다.

이 보고서가 존재하는 이유는 무엇입니까? 데이터는 어디에서 오는가?

WPScan 팀은 WordPress 보안 도구(예: Jetpack Security)가 위협을 효과적으로 방지하고 커뮤니티를 보호할 수 있도록 WordPress 생태계에 대한 위협을 식별, 확인 및 색인화하는 데 전념하고 있습니다.

위협을 식별하고 이해하는 것은 사이버 보안 보호의 첫 번째 단계입니다.

이 보고서의 데이터는 WPScan이 공개하고 보안 연구원이 확인한 취약점과 Jetpack Scan 또는 Jetpack Protect를 사용하는 350,000개 이상의 웹사이트 및 Automattic 서비스 샘플을 통해 수집되었습니다.

우리는 무엇을 배웠나요?

전체 보고서를 읽을 시간이 없습니까? 괜찮아요. 주요 내용을 요약하여 알려드렸습니다.

XSS가 많은 주목을 받고 있지만 SQL 삽입이 더 널리 퍼진 위협입니다.

크로스 사이트 스크립팅은 많은 주목을 받고 있습니다. 버그 현상금 사냥꾼과 보안 연구원이 이를 자주 보고합니다(공개된 전체 취약점의 53%).

그러나 Jetpack 방화벽의 실제 차단 시도를 통해 입증된 것처럼 가장 일반적인 유형의 위협은 실제로 SQL 주입입니다. 이러한 종류의 취약점을 악용하는 데 인증이 거의 또는 전혀 필요하지 않기 때문에 SQL 주입 위협은 특히 심각한 경향이 있습니다.

WordPress 보안과 관련하여 가장 일반적인 두 가지 위협

보고서는 우리가 이미 알고 있는 사실을 확인시켜 주었습니다. 취약한 사용자 자격 증명과 nulled 플러그인은 대부분의 공격에 대한 게이트웨이입니다.

이는 사이트 관리자가 소프트웨어를 최신 상태로 유지하고 강력한 인증을 요구함으로써 대부분의 보안 문제를 예방할 수 있음을 의미합니다.

인증이 필요하지 않은 취약점의 20% 이상

WPScan 팀은 취약성을 검토하여 영향을 받는 코드를 악용하는 데 필요한 인증 수준을 결정합니다. 전체 취약점 중 약 1/3은 관리자 계정에 대한 액세스가 필요하지만(악용 위험 감소) 공개된 취약점 중 22%는 인증이 전혀 필요하지 않거나 구독자 수준 계정만 필요합니다.

악성코드 공격은 여전히 ​​만연

Jetpack Scan(WPScan 데이터베이스 활용)은 적어도 하나의 악성 파일이 있는 무려 70,000개의 사이트를 식별했습니다. 대부분의 원인은 (예상하셨겠지만) 자격 증명 유출/약함 또는 null 소프트웨어로 추적될 수 있습니다.

75%(600,000개의 악성 파일)가 일반 악성 코드로 확인되었습니다.

기존 도구가 작동 중입니다.

Jetpack 방화벽은 심각도가 높은 취약점과 관련된 700만 개 이상의 요청을 차단하여 위험에 처한 사이트에 대한 수많은 XSS 공격을 방지했습니다.

보고서는 다음과 같이 말합니다.

Jetpack 방화벽은 최근 Jetpack Security 제품군 에 추가되었지만 주기 초기에 잠재적인 공격을 차단하고 공격자가 보호된 사이트에 발판을 마련하는 것을 방지함으로써 그 가치를 입증하고 있습니다.

Jetpack 방화벽은 또한 각각 50만 건 이상의 SQL 주입 및 경로 탐색 공격을 차단했습니다.

사이버 보안 및 WordPress 전문가는 다음에 무엇을 해야 합니까?

무엇을 찾아야 할지 모르면 공격을 예방할 수 없습니다. WPScan은 검증된 위협에 대한 가장 강력한 최신 라이브러리를 제공합니다. 개발자와 사이버 보안 전문가는 API를 통해 이를 내부 프로그램에 통합하여 방어력을 강화할 수 있습니다.

웹 보안 팀은 침투 테스트의 일부로 WPScan의 CLI 스캐너를 사용할 수도 있습니다. 이를 통해 해커가 인증 없이 귀하의 사이트에 대해 볼 수 있는 정보를 외부에서 볼 수 있습니다.

개발자와 기업 조직은 즉시 WPScan에 연락하여 자신의 운영에 가장 적합한 도구인지 확인해야 합니다.

WordPress 사이트 소유자는 다음에 무엇을 해야 합니까?

WordPress 보안 생태계에 대한 WPScan의 평가는 위협이 지속된다는 것을 보여줍니다. 좋은 소식은 가장 널리 퍼진 공격이 상당히 쉽게 좌절될 수 있다는 것입니다. WordPress 사이트 소유자는 Jetpack Protect를 통해 WPScan 데이터베이스를 활용하고 Jetpack Security를 ​​통해 전체 예방 및 복구 도구 모음에 액세스할 수 있습니다.

강력한 인증 시행

취약한 비밀번호는 사이버 보안의 가장 일반적인 약점일 뿐만 아니라 수정하기 가장 쉬운 비밀번호 중 하나입니다. 사용자에게 강력한 비밀번호를 요구하고 숫자, 문자, 특수 문자 혼합 사용, 각 사이트에 대한 고유한 자격 증명 보유, 정기적인 비밀번호 업데이트와 같은 비밀번호 모범 사례에 대해 팀을 교육할 수 있습니다.

특히 관리자 수준 계정에서는 2단계 인증을 요구할 수도 있습니다.

적절한 사용자 역할을 할당하고 최소 권한의 원칙을 따르세요.

WordPress 사용자 역할은 개인의 책임 영역에 따라 특정 기능에 대한 액세스 권한을 부여할 수 있기 때문에 강력합니다. 할당된 상위 수준 역할 수를 제한하면 액세스 포인트 수가 줄어들고 비밀번호 및 보안 인증에 대한 더 많은 교육과 책임이 가능해집니다.

최소 권한의 원칙으로 알려진 사용자는 필요한 직무에 필요한 가장 낮은 역할에만 액세스할 수 있어야 합니다.

핵심, 테마, 플러그인을 최신 상태로 유지하세요

취약한 비밀번호와 함께 오래된 소프트웨어는 성공적인 공격의 가장 일반적인 원인입니다. 귀하의 사이트는 최신 버전의 WordPress 코어, 테마 및 설치된 모든 플러그인을 사용해야 합니다.

취약점이 발견되면 평판이 좋은 플러그인 개발자가 이를 패치하기 위한 업데이트를 출시할 것입니다. 이러한 업데이트를 무시하면 사이트가 노출됩니다.

WordPress 보안 플러그인 설치

가장 완벽한 보호를 위해 사이트 소유자는 강력한 비밀번호, 업데이트된 소프트웨어, 적절한 사용자 역할 할당 이상의 단계를 수행해야 합니다. 숙련된 WordPress 전문가는 올바른 WordPress 보안 플러그인이 침입을 방지하고 침입 시 복구 옵션을 제공하는 데 도움이 된다는 것을 알고 있습니다.

최소한의 복잡성으로 포괄적인 보호를 원한다면 Jetpack Security가 필요한 솔루션입니다. 다음은 포함된 내용 중 일부 입니다.

• 다운타임 모니터링 . 사이트에 문제가 있다는 사실을 즉시 파악하여 즉각적인 조치를 취할 수 있습니다.

• 웹사이트 방화벽 . WPScan의 보고서는 Jetpack의 방화벽에 의해 저지된 공격을 반복적으로 언급했습니다. Jetpack Security로 액세스하세요.

• 실시간 맬웨어 검사 및 원클릭 수정 . WPScan의 전체 데이터베이스에 액세스하여 사이트에 맬웨어 및 취약점이 있는지 지속적으로 검사하세요. 더 좋은 점은 대부분의 문제에 대해 원클릭 솔루션을 얻을 수 있다는 것입니다.

완전한 보안 플러그인은 필요하지 않지만 취약점 및 맬웨어 검사를 위해 WPScan 데이터베이스에 액세스하고 싶으십니까? 이러한 기능은 독립형 플러그인인 Jetpack Protect 에서도 사용할 수 있습니다 .

• 실시간 백업 . 공격자가 이를 통과할 경우를 대비해 복구 방법도 필요하다는 점을 기억하세요. Jetpack VaultPress Backup은 사이트의 모든 내용을 저장하고 모든 활동을 기록합니다. 정확한 순간으로 복원하고 로그를 검토하여 향후 문제를 해결하고 예방하세요. 사이트가 완전히 다운된 경우에도 모바일 장치에서 백업에 액세스하고 복원할 수 있습니다.

• 스팸 방지 . 원치 않고 관련 없는 댓글과 양식 제출은 성가신 것 이상으로 귀하와 귀하의 방문자에게 위험합니다. Jetpack Security에는 Akismet Anti-spam이 함께 제공되므로 방문자에게 심각한 CAPTCHA를 완료하도록 강요하지 않고도 스팸을 99% 방지할 수 있습니다.

• 무차별 대입 공격 보호 . 무차별 대입 공격은 매우 일반적인 WordPress 위협입니다. Jetpack Security를 ​​사용하면 쉽게 차단할 수도 있습니다.

Jetpack과 WPScan: 더 안전한 WordPress를 위한 협력

WPScan 팀은 WordPress 취약점에 대한 가장 정확한 데이터베이스를 유지하기 위해 끊임없이 노력하고 있습니다. WordPress 전문가와 기업 조직은 가장 진보된 보호를 위해 WPScan 도구와 통합할 수 있습니다.

WordPress 사이트 소유자는 다른 보안 도구와 함께 Jetpack Security를 ​​통해 이와 동일한 정보에 액세스합니다. 이 보안 플러그인은 최소한의 번거로움과 지속적인 노력만으로 작동됩니다. 귀하의 사이트는 단순히 보호됩니다 .

Jetpack 보안에 대해 자세히 알아보세요.

WPScan에 대해 자세히 알아보세요.