WordPress 보안 문제를 해결하기 위한 6가지 팁

게시 됨: 2023-03-10
Coalition Technologies는 WordPress 취약성을 수정하고 WordPress 보안 문제를 해결하여 비즈니스를 도울 수 있습니다.

목차

지구상에서 가장 인기 있는 CMS에 오신 것을 환영합니다

WordPress는 사이버 공격의 가장 큰 단일 대상 중 하나입니다. 그 이유는 WordPress가 세계에서 가장 인기 있는 콘텐츠 관리 시스템(CMS)이기 때문입니다. W3Techs에 따르면 WordPress는 전체 웹사이트의 43.1%를 차지하며 CMS 시장 점유율 63.6%를 자랑합니다. 비교를 위해 2위는 웹사이트의 3.8%를 지원하고 CMS 시장 점유율이 5.6%인 Shopify입니다.

무료 전자 상거래 플랫폼인 WooCommerce는 세계에서 가장 인기 있는 오픈 소스 전자 상거래 솔루션이라는 점에서 그 자체로도 큰 역할을 합니다.

그러면 분명한 질문이 생깁니다. 사이트에서 WordPress를 보호하고 WordPress 취약점을 방지하거나 수정하려면 어떻게 해야 합니까? Coalition Technologies의 사이버 보안 모범 사례에서 WordPress 보안 문제를 해결하기 위한 6가지 팁을 소개합니다.

왜 워드프레스를 선택해야 할까요?

WordPress는 매우 유연하고 강력하며 오픈 소스이기 때문에 매우 비용 효율적이고 대중적입니다. WordPress가 웹에서 가장 큰 플랫폼이기 때문에 맞춤형 플랫폼에 드는 비용의 일부에 불과한 비용으로 WordPress 웹사이트의 보안을 지원할 수 있는 사이버 보안 전문가가 많이 있습니다.

1. 로그인 자격 증명 보호

WordPress 보안 문제를 해결하기 위해 취할 수 있는 가장 강력한 조치는 애초에 이러한 문제가 발생하지 않는 것입니다. 로그인 자격 증명을 보호하면 데이터 유출을 절반 이상 줄일 수 있습니다.

Verizon의 2021년 데이터 위반 조사 보고서에 따르면 데이터 위반의 61%가 어떤 식으로든 로그인 자격 증명 사용과 관련이 있었습니다. 이는 다음과 같은 이유로 가장 일반적으로 발생합니다.

  • 비밀번호 도용
  • 무차별 대입 공격
  • 자격 증명의 내부 오용

비밀번호 도용 방지

해커는 손에 닿지 않는 과일을 찾는 것을 좋아합니다. 워드프레스 취약점을 수정하는 것은 해커가 도달하기 전에 손이 닿지 않는 과일을 모두 잘라내는 것으로 시작됩니다.

  • 모든 비밀번호를 정기적으로 업데이트하십시오. 90일(분기당 한 번)이 기본값입니다.
  • 고유한 암호를 사용하고 절대 재사용하지 마십시오. PurpleSec은 직원의 25%가 모든 것에 동일한 암호를 사용하므로 누구에게나 문제가 될 수 있다고 말합니다.
  • 암호를 올바르게 저장하십시오. WordPress는 모든 것을 안전하게 처리하지만 직원이 스티커 메모나 Google 문서도구에 비밀번호를 적어두면 유출될 수 있습니다.
  • 비밀번호 만료를 고려하십시오. 이로 인해 사람들이 암호를 업데이트해야 하지만 일부 직원이 암호 저장에 대해 서툴게 만들 수도 있습니다. 장기적으로 WordPress 보안 문제를 해결한다는 것은 비밀번호 정책으로 이 취약점을 완화하는 것을 의미합니다.

무차별 대입 공격에 대비하여 강화

해커는 무차별 대입 공격을 사용하여 자격 증명을 훔칠 수도 있습니다. 즉, 작동하는 순열을 찾을 때까지 암호를 수백만 번 이상 무작위로 추측해야 합니다.

  • 허용되는 로그인 시도 횟수를 제한합니다. 좋은 WordPress 보안 플러그인은 이를 관리하는 동시에 발견된 WordPress 취약점을 수정합니다.
  • 고유한 암호를 사용하십시오. 이전과 마찬가지로 WordPress 보안 문제를 해결한다는 것은 고유한 비밀번호를 사용하고 한 번만 사용하는 것을 의미합니다.
  • 강력한 암호를 사용하십시오. 비밀번호는 최소 8자 이상이어야 하며 이상적으로는 숫자, 문자 및 특수 문자를 포함해야 합니다. 다음은 몇 가지 팁입니다. 메모리 문제를 줄이는 데 도움이 되는 기억하기 쉬운 암호를 사용할 수도 있습니다. 영국 정부의 국가 사이버 보안 센터(National Cyber ​​Security Center)는 4단어 또는 5단어가 더 좋지만 3단어 아이디어를 지지합니다.
  • 로그인 실패 횟수가 많은 특정 국가 또는 IP를 차단합니다. 특히, 방화벽을 사용하여 관리자 패널에 액세스할 수 있는 민감한 계정에 이러한 출처가 액세스하지 못하도록 차단하십시오.

모범 사례 암호 보호 정책 활용

Coalition Technologies에서 우리는 고객 자격 증명을 안전하게 유지하기 위해 끊임없이 노력합니다. 수년 동안 우리는 모범 사례 암호 보호 정책에 대한 자랑스러운 실적을 쌓아 왔습니다. 마찬가지로 WordPress 보안 문제를 해결하려면 자체적으로 우수한 암호 보호 정책이 있어야 합니다. 다음은 인적 자원 수준에서 WordPress 취약점을 수정하기 위한 몇 가지 지침입니다.

  • 필요에 따라 로그인 액세스를 제한하십시오. 직원에게 필요한 최소한의 권한만 부여하고 필요한 탭과 시스템에 대한 액세스 권한만 부여하세요. 범용 액세스 권한이 있는 "관리자" 계정을 가능한 최소한의 사람으로 제한하십시오.
  • 효과적인 직원 교육을 배포합니다. 때로는 불만을 품은 직원의 암호 오용이 악의적인 경우도 있습니다(이 경우 위에서 언급한 대로 액세스를 제한하여 피해를 제한할 수 있습니다). 그러나 이러한 오용은 의도하지 않은 경우가 더 많으며 암호 유출로 인한 WordPress 보안 문제를 잘 훈련하면 예방할 수 있습니다. 온보딩 프로세스에 암호 보안에 대한 모듈이 포함되어 있는지 확인하고 12~24개월마다 주기적인 갱신 모듈을 배포하는 것을 고려하십시오.

2. 좋은 WordPress 보안 플러그인을 설치하고 모범 사례를 따르십시오.

WordPress의 핵심은 수백만 개의 웹사이트를 안전하게 유지하기 위해 노력하는 세계적 수준의 사이버 보안 인재와 함께 매우 안전합니다. 그러나 WordPress는 플러그인 사용도 허용합니다. 이러한 플러그인은 WordPress 기능을 크게 확장하지만 새로운 잠재적인 보안 취약점도 도입합니다.

그러나 WordPress 플러그인 보안을 중심으로 구축된 전체 산업이 있으며 이러한 제품 자체가 WordPress 플러그인입니다. "보안 플러그인"으로 알려진 이들은 WordPress 보안 문제를 해결하고 WordPress 취약성을 실시간으로 수정하기 위한 필수 유틸리티입니다. WordPress 핵심 소프트웨어를 설치하거나 업데이트한 후 가장 먼저 해야 할 일은 좋은 WordPress 보안 플러그인을 선택하고 적절하게 구성하는 것입니다.

보안 플러그인 권장 사항

좋은 WordPress 보안 플러그인이 많이 있습니다. 우리 고객은 수백만 달러의 수익을 위해 WordPress 아키텍처에 의존합니다. 웹사이트 보안은 절대적으로 중요합니다.

광범위한 WordPress 웹 디자인 서비스를 제공하기 위해 고객과 협력할 때 특히 WordPress 보안 문제를 해결하기 위해 다음 두 플러그인을 권장합니다.

  • Wordfence 보안 – 방화벽, 맬웨어 검사 및 로그인 보안
  • Defender Security – 맬웨어 스캐너, 로그인 보안 및 방화벽

우리는 일상적으로 고객의 WordPress 사이트를 관리할 때 이러한 보안 플러그인을 사용합니다.

적절한 보안 플러그인 설정 확인

Semrush의 키워드 연구 전문가는 WordPress 보안 문제를 선제적으로 해결하기 위해 다음과 같은 중요한 단계를 권장합니다.

  • 허용되는 로그인 시도 횟수를 제한합니다. 우리는 이미 이것을 다루었지만 WordPress 취약점을 선제적으로 수정하는 훌륭한 방법으로 반복됩니다.
  • 공개 보기에서 로그인 페이지를 숨깁니다. 사이트 방문자는 사이트 탐색이나 URL 추측을 통해 로그인 페이지에 도달할 수 없어야 합니다. 로그인 페이지 URL은 모호해야 하며 다른 페이지와 연결되지 않아야 합니다.
  • 검색 엔진 인덱싱에서 백엔드, 관리자 및 장바구니 페이지를 제거합니다. 이러한 페이지는 분명히 해킹에 훨씬 더 취약하므로 이 경우 WordPress 보안 문제를 해결하는 것은 이러한 페이지를 검색 결과에서 제외하는 것을 의미합니다.
  • 웹 사이트를 정기적으로 백업하십시오. 이 작업은 수동 또는 자동으로 수행할 수 있지만 정기적으로 수행하십시오. 백업되지 않은 모든 항목은 손실된 것으로 간주해야 합니다. 랜섬웨어 공격과 같은 경우 손실이 발생하기 때문입니다. 백업은 다른 서버에 있어야 하며 다른 액세스 자격 증명을 사용해야 합니다. 가능한 경우 로컬 "콜드" 백업을 유지하는 것도 현명합니다. 이는 소규모 비즈니스에 특히 중요합니다.

3. 설치하기 전에 신중하게 테마 및 플러그인 감사

wordpress-security-issues-with-quality-plugins 해결

다른 워드프레스 플러그인(보안 플러그인 제외) 및 워드프레스 테마의 경우 매우 광범위한 제품과 품질을 다루고 있다는 점을 이해하는 것이 중요합니다. WordPress 취약점을 수정하기 위한 좋은 전략은 이러한 애플리케이션을 감사하는 데 많은 주의를 기울이는 것을 의미합니다.

많은 플러그인과 테마는 견고하며 웹 사이트가 번성하는 데 필요한 필수 기능과 레이아웃 옵션을 제공합니다. 다른 플러그인과 테마는 제대로 설계되지 않았으며 해커의 보안 악용에 취약합니다. 그리고 일부는 노골적인 맬웨어입니다.

WordPress는 맬웨어 및 스팸을 차단하여 플러그인 및 테마로 WordPress 보안 문제를 해결하는 데 주의를 기울이고 있지만 때때로 이러한 불량 계란 중 일부가 통과하는 경우가 있습니다. 관심 있는 플러그인 및 테마를 감사하기 위한 몇 가지 모범 사례는 다음과 같습니다.

  • 일반적으로 높은 다운로드 번호가 더 안전합니다. 맬웨어는 초기에 포착되고 나쁜 테마와 플러그인은 인기를 얻지 못하므로 작동하는 항목만 높은 다운로드 수를 기록할 가능성이 높습니다.
  • 다수의 긍정적인 사용자 리뷰는 신뢰할 수 있는 척도입니다. 많은 사람들이 플러그인이나 테마에 완벽하거나 거의 완벽한 별점을 주었다면 좋은 징조입니다. 그러나 사람들이 어떤 종류의 불만을 가지고 있는지 확인하려면 중간 및 부정적인 리뷰도 몇 개 읽어야 합니다.
  • 이러한 플러그인을 사용한 경험에 대해 이야기하는 기업 및 뉴스 조직을 웹에서 검색하십시오. 귀하의 비즈니스에 대한 WordPress 보안 문제를 해결하고 WordPress 취약성을 수정하는 것과 관련하여 사용자 리뷰에는 귀하가 찾고 있는 깊이나 신뢰성이 없을 수 있습니다. 따라서 온라인에 접속하여 신뢰할 수 있는 이름을 찾으십시오. 이러한 응용 프로그램에 대해 그들이 말하는 내용을 확인하십시오.

플러그인을 어디서 구해야 합니까?

확실하지 않은 경우 평판이 좋은 출처에서 WordPress 플러그인을 선택하십시오.

  • 공식 WordPress 플러그인 리포지토리가 최선의 방법이며 하나의 소스에서만 플러그인을 가져오는 경우 여기에서 가져옵니다.
  • CodeCanyon과 같은 플러그인에 대한 평판이 좋은 타사 마켓플레이스는 플러그인에 대한 또 다른 좋은 소스입니다. 평판이 좋은 마켓플레이스는 WordPress 보안 문제 해결에 많은 중점을 둡니다. 평판이 좌우되기 때문입니다.
  • WPMU DEV와 같은 WP 플러그인 개발자 사이트는 플러그인의 또 다른 고품질 소스입니다. 이러한 경력 WordPress 플러그인 개발자 커뮤니티는 제품의 가시성과 신뢰성을 높이기 위해 모입니다.

좋은 플러그인에는 좋은 개발 팀이 있으며 이러한 플러그인의 취약점은 일반적으로 플러그인을 빌드한 독립 개발자 또는 대행사에 의해 신속하게 패치됩니다. 그렇지 않은 경우 일반적으로 동일한 기능을 안전하게 제공하는 다양한 대체 플러그인이 있습니다.

4. 모두 업데이트 및 재감사

소프트웨어를 뒤처지게 하는 것은 업데이트하는 데 걸리는 시간(및 업데이트로 인해 손상된 것을 수정하는 데 걸리는 시간) 때문에 쉽지만 이러한 업데이트에는 WordPress 취약성 또는 WordPress 플러그인의 취약성을 수정하기 위한 패치가 포함되어 있기 때문에 끔찍합니다. 테마. 그렇기 때문에 검색 엔진 저널과 같은 조직에서는 플러그인과 테마를 최신 상태로 유지하도록 권장합니다.

설탕 코팅이 없습니다. 이것은 WordPress 보안 문제를 해결하는 데 가장 시간이 많이 걸리는 팁 중 하나입니다. 하지만 시간을 들여야 합니다. 그렇지 않으면 사이버 공격자에게 문을 여는 것이기 때문입니다.

여기에는 핵심 WordPress 소프트웨어, 실행 중인 PHP 버전, 모든 테마 및 플러그인이 포함됩니다. 새 업데이트를 사용할 수 있게 되면 모두 업데이트해야 합니다. 업데이트할 때 영향을 받는 모든 플러그인과 기능을 다시 감사하여 모든 것이 제대로 작동하는지 확인해야 합니다.

상시 인력 배정

WordPress 핵심 업데이트 및 플러그인 업데이트를 유지하는 것은 누군가의 작업 설명의 일부여야 합니다. 예방적 업데이트를 통해 WordPress 보안 문제를 해결하는 것이 누군가의 레이더에 있지 않다면 이것은 잊혀지는 경향이 있는 종류입니다.

소프트웨어를 업데이트하고 WordPress 취약점을 수정하는 것은 직접적인 판매를 창출하지 않지만 잠재적으로 치명적인 비용을 방지하는 역할을 하며 그에 따라 예산을 책정해야 합니다. 시스템 관리자 또는 IT 팀이 업데이트를 최신 상태로 유지할 수 있는 대역폭을 확보하여 회사가 성공할 수 있도록 준비하십시오.

Coalition Technologies에서는 지속 가능한 장기 성장을 위해 고객을 설정하기 위한 성공 전략의 일환으로 업데이트를 최신 상태로 유지합니다.

업데이트에 주의하세요

릴리스되는 업데이트를 부지런히 설치하여 WordPress 보안 문제를 해결하는 방법에 대해 알아야 할 한 가지: WordPress는 스팸을 걸러내고 일반적인 심각한 버그를 감지하고 플러그인이 WordPress를 준수하는지 확인하기 위해 공식 저장소에 제출된 모든 플러그인을 검토합니다. 지침.

그러나 일단 플러그인이 승인되고 나열되면 WordPress는 플러그인이 업데이트될 때마다 이러한 모든 타사 플러그인을 다시 감사할 수 없습니다. 플러그인의 코드베이스는 초기 검토 후에 크게 변경될 수 있으며 종종 변경되며 WordPress는 알지 못합니다.

이는 일반적으로 UX 업그레이드, WordPress 취약성 및 버그 수정, 새 기능 추가와 같은 합법적인 이유로 발생합니다. 그러나 해커는 소집을 통과하는 플러그인의 초기 버전을 설치한 다음 후속 업데이트와 함께 맬웨어를 추가하여 시스템을 조작할 수 있습니다. 또한 기존 플러그인이 폐기되거나 판매되고 악의적인 제3자가 이를 인수하여 맬웨어를 추가하는 경우에도 발생할 수 있습니다. 이는 WordPress 보안 문제를 해결하는 작업 중 일부가 귀하에게 있음을 의미합니다.

플러그인이 업데이트될 때 항상 업데이트 노트를 검토하고 외부 확인 없이 얼리 어답터가 되기 위해 서두르지 마십시오. 먼저 다른 사람들의 의견을 확인하세요.

취약점 조회 서비스 활용

새로 발견된 보안 위험에 대한 조기 알림을 제공하여 WordPress 보안 문제를 해결하는 데 도움이 되는 WPScan Vulnerability Database와 같은 서비스를 사용할 수도 있습니다.

Coalition Technologies와 제휴하여 WordPress 사이트를 관리하는 경우 자체 WordPress 테마 및 플러그인 심사를 모두 수행하고 사이트에 노출된 WordPress 취약점 수정을 담당하므로 마음의 평화를 얻고 시간이 많이 걸리는 작업을 덜어줍니다. .

5. 피싱 공격 식별

사이버 보안 취약점의 주요 원인은 피싱이며, 이는 인터넷 전반의 현상이지만 WP 사용 사례 및 WordPress 보안 문제 해결의 맥락에서 여전히 논의되어야 합니다. 피셔는 종종 WordPress 자체를 스푸핑하거나 고객 이메일을 스푸핑합니다. 사이버 보안 회사인 Varonis는 피싱이 어떻게 작동하는지에 대한 좋은 입문서를 가지고 있습니다.

제어할 수 없는 하이퍼링크가 있는 모든 것(웹 사이트, 디지털 문서 등)은 피싱 공격이 될 수 있지만 특히 전자 메일이 그렇습니다.

수신 이메일 주의

거의 모든 피싱 공격은 이메일에서 시작됩니다. (CyberTalk.org에 따르면 대략 90%입니다.) 이는 기업이 직원들에게 전자 메일 자기 방어 모범 사례를 가르쳐야 함을 의미합니다. 이것은 팀의 행동이 사이버 보안 공격의 벡터가 되는 것을 방지하기 때문에 WordPress 취약점을 수정하는 것이 아닙니다.

DNS에 대해 적절한 DMARC 및 SPF 레코드를 설정했는지 확인하십시오. 이렇게 하면 DMARC 정책 세트에 따라 이메일이 정크로 끝나거나 전송되지 않기 때문에 사람들이 이메일에서 귀하의 도메인을 사용하지 못하게 됩니다. .

가짜 링크로부터 보호

피셔는 때때로 Google과 같은 일반 사이트처럼 보이도록 위장한 가짜 링크를 사용합니다. 피싱으로부터 보안을 유지하여 WordPress 보안 문제를 해결하는 한 가지 방법은 사이트의 X-Frame-Options 보안 헤더를 변경하여 외부 웹사이트에서 iframe에서 웹사이트를 사용할 수 없도록 하는 것입니다.

실제 URL 사용

마지막으로, 사용자에게 최종 목적지 웹사이트를 공개하지 않는 링크 단축기를 사용하지 마십시오.

6. 네트워크 보안

WordPress 보안 문제를 해결하기 위한 또 다른 중요한 팁은 네트워크를 보호하는 것입니다. 재택 근무와 글로벌 작업장이 증가하는 이 팬데믹 시대에 기업은 일상적으로 인터넷을 통해 중요한 정보를 전송하여 보안 취약성에 대한 많은 기회를 만듭니다.

WordPress는 매우 유연한 플랫폼입니다. 즉, XMLRPC를 비활성화하고 WP-JSON에 액세스하기 위해 인증을 요구하는 것과 같이 온라인에서 찾은 간단한 코드 스니펫으로 일반적으로 악용될 수 있는 방법을 패치할 수 있습니다. WordPress 취약점을 수정하는 것은 종종 적절한 플러그인을 설치하고 활용하는 것만큼 간단합니다.

또한 WordPress 플러그인을 사용하면 다단계 인증 옵션을 사용할 수 있습니다.

견고한 대비 및 예방 실천

Cloudflare 및 기타 여러 웹 애플리케이션 방화벽은 다양한 일반적인 공격 유형 및 패턴으로부터 WordPress 애플리케이션을 보호하도록 특별히 WAF를 설계했습니다. 많은 호스팅 제공업체는 WP 엔진과 같은 무료 일일 백업 서비스를 제공합니다.

WordPress 설계 및 개발을 위해 Coalition Technologies와 협력

Coalition에서는 단독으로 또는 수상 경력에 빛나는 SEO 및 디지털 마케팅 서비스와 함께 전체 WordPress 디자인 및 개발 서비스를 제공합니다. WordPress 보안 문제 해결 및 WordPress 취약성 수정에 대해 오늘 논의한 모든 내용은 귀하가 당사와 파트너 관계를 맺을 때 당사 서비스에 포함됩니다.

WordPress 서비스 FAQ를 참조하십시오. 우리는 당신과 함께 일하고 싶습니다! 웹 사이트의 요구 사항을 논의하려면 저희에게 연락하십시오.