워드프레스 관리 영역을 보호하기 위한 12가지 최고의 팁과 기술
게시 됨: 2023-05-01이 블로그에서는 WordPress 웹사이트의 관리 영역을 효과적으로 보호하는 최고의 기술에 대해 논의합니다.
사람들은 종종 자신의 웹사이트가 해커가 관심을 갖기에는 너무 작다고 생각합니다. 그러나 그것은 엄청난 실수가 될 것입니다. 모든 웹사이트는 스팸, 맬웨어, 무차별 공격, SQL 삽입 등과 같은 사이버 위협에 취약할 수 있습니다. 또한 해커는 귀하의 웹사이트를 사용하여 다른 웹사이트에 맬웨어를 퍼뜨릴 수도 있습니다.
분명히, 당신은 어느 날 일어나서 당신의 웹사이트가 해킹당하고 당신의 모든 민감한 데이터가 유출되는 것을 발견하고 싶지 않을 것입니다. 따라서 신뢰할 수 있는 도구를 사용하여 WordPress 웹 사이트의 관리 영역을 강화하는 것이 가장 좋습니다.
- WordPress 웹 사이트의 관리 영역을 보호하는 최고의 팁 및 기술
- 1. 워드프레스 버전 업데이트
- 2. 보안 플러그인
- 3. 관리자 사용자 이름 및 비밀번호 변경
- 4. 사용자 정의 로그인 URL 생성
- 5. 로그인 시도 제한
- 6. SSL 인증서로 로그인 페이지 및 관리 영역 보안
- 7. 비밀번호로 wp-admin 디렉토리를 보호하십시오.
- 8. 로그인 페이지에 캡차 포함
- 9. 로그인 페이지에서 오류 메시지 제거
- 10. 특정 IP 로그인 허용
- 11. Two-Factor Authentication으로 추가 레이어 추가
- 12. 일회용 비밀번호(OTP)
- 마지막으로!
WordPress 웹 사이트의 관리 영역을 보호하는 최고의 팁 및 기술
이러한 보안 팁은 다음과 같은 취약점으로부터 웹사이트를 보호하는 데 매우 중요합니다.
- DDoS(Distributed Denial-of-Service) 공격: DDoS는 중복 연결로 웹사이트를 압도하고 충돌시켜 웹사이트를 움직이지 못하게 합니다.
- SQL 주입(SQLi): 시스템에 악성 SQL 쿼리를 강제 실행하여 데이터를 조작합니다.
- 로컬 파일 포함(LFI): LFI는 사이트가 웹 서버에 있는 악성 파일을 강제로 처리하도록 합니다.
- CSRF(교차 사이트 요청 위조): 웹 사용자가 신뢰할 수 있는 웹 애플리케이션에서 원하지 않는 작업을 실행하도록 할 수 있습니다.
- 인증 우회: 이 보안 위협은 해커가 진위 확인 없이 웹 사이트의 민감한 리소스에 액세스할 수 있도록 합니다.
- 교차 사이트 스크립팅(XSS): XSS는 악성 코드를 주입하여 웹 사이트를 통해 맬웨어를 전송합니다.
웹 사이트가 이러한 보안 위협에 취약하지 않도록 하려면 아래에 언급된 팁과 기술을 구현해야 합니다.
추천: WordPress 웹사이트에 유지 관리가 필요한 10가지 이유
1. 워드프레스 버전 업데이트
웹 사이트의 보안을 강화하는 간단한 방법은 WordPress 및 설치된 모든 보안 플러그인을 최신 버전으로 업데이트하는 것입니다. WordPress는 오픈 소스이므로 기여자들은 모든 새 버전에서 기능과 보안을 개선하기 위해 끊임없이 노력합니다. 그렇기 때문에 웹 사이트의 보안을 개선하려면 CMS를 최신 버전으로 업데이트해야 합니다.
2. 보안 플러그인
WordPress의 가장 좋은 점 중 하나는 가능한 웹 사이트의 거의 모든 기능에 대한 플러그인을 찾을 수 있다는 것입니다. 그러나 모든 보안 플러그인이 로그인 페이지를 보호하는 데 적합한 것은 아닙니다. 따라서 웹 사이트 관리 영역의 보안을 강화하는 가장 좋은 방법은 Sucuri, MalCare, Wordfence 등과 같은 WordPress 플러그인을 이용하는 것입니다.
이러한 플러그인은 웹사이트 성능에 전혀 영향을 미치지 않으면서 악성 트래픽을 차단하는 데 도움이 됩니다.
3. 관리자 사용자 이름 및 비밀번호 변경
웹 사이트를 보호하는 첫 번째 방법 중 하나는 기본 사용자 이름과 암호를 변경하는 것입니다. 모든 WordPress 설치에서 기본적으로 첫 번째 로그인 사용자 이름은 Admin입니다. 이런 종류의 사용자 이름은 해커의 미끼일 뿐입니다. 그 후에는 암호를 예측하기만 하면 됩니다.
따라서 사용자 이름과 암호를 더 사용자 정의된 것으로 변경해야 합니다. 먼저 WordPress 대시보드를 엽니다. 사용자를 선택하고 "모든 사용자"를 클릭합니다.
사용자 이름을 "admin"에서 "mynameisadmin"으로 변경하는 것만으로도 해커로부터 웹사이트를 보호하는 데 도움이 될 수 있습니다. 암호에 관해서는 그것이 얼마나 강력한지 보여주는 작은 디스플레이가 있습니다. 따라서 하나에 만족할 때까지 대문자와 소문자, 기호 및 숫자를 조합하여 다른 암호를 시도하십시오. 해커로부터 웹 사이트를 보호하기 위해 항상 암호가 가능한 한 강력해야 합니다. 전문가들은 암호에 문자 대신 기호와 숫자를 사용하여 암호를 더 모호하게 만들 것을 제안하기도 합니다. 예를 들어 비밀번호를 "California"로 지정하려면 대신 "[email protected][email protected]"과 같이 입력하세요. 그것은 추측하기 어렵게 만들 것입니다.
종종 사람들이 로그인을 시도해서는 안 되는 곳에서 로그인을 시도할 때 암호에만 집중하고 다른 시도에서도 사용자 이름을 동일하게 유지합니다. 따라서 사용자 이름과 비밀번호를 모두 변경하는 것이 좋습니다.
4. 사용자 정의 로그인 URL 생성
URL 뒤에 /wp-login.php를 작성하여 WordPress 웹사이트의 로그인 페이지에 액세스할 수 있습니다. 예를 들어 WordPress 웹사이트의 URL이 www.mywebsitename.com인 경우 www.mywebsitename.com/wp-login.php를 통해 로그인 페이지에 액세스할 수 있습니다.
이러한 쉬운 로그인 페이지 액세스는 웹사이트를 사이버 위협에 더욱 취약하게 만듭니다. 따라서 로그인 URL 슬러그를 WPS Hide Login과 같은 플러그인을 통해 더 사용자 정의된 것으로 변경하십시오. 이 플러그인은 로그인 양식 페이지의 URL을 원하는 것으로 변경하고 wp-admin 디렉토리와 wp-login.php 페이지에 액세스할 수 없도록 만듭니다. 따라서 이러한 페이지는 잃어버릴 수 있으므로 북마크하는 것이 가장 좋습니다.
WPS 로그인 숨기기를 설치한 후 설정으로 이동하여 WordPress 대시보드에서 WPS 로그인 숨기기를 선택합니다. 그런 다음 로그인 URL 필드에 새 URL을 입력하고 변경 사항을 저장합니다. 그 후에는 웹사이트의 관리 페이지에 이 페이지를 통해서만 액세스할 수 있습니다.
이제 누군가가 귀하가 모르는 사이에 귀하의 사용자 이름과 암호를 알고 있더라도 여전히 귀하의 로그인 페이지에 액세스할 수 없으므로 큰 안도감을 얻을 수 있습니다. 그렇기 때문에 맞춤형 로그인 URL이 맞춤형 WordPress 개발에 항상 포함됩니다.
5. 로그인 시도 제한
해커가 웹사이트의 비밀번호를 몰라도 웹사이트를 해킹할 수 있다는 사실을 알고 계셨나요? 자동화된 스크립트를 통해 수천 개의 잠재적 암호를 즉시 시도하여 올바른 암호를 찾고 결국 성공할 수 있습니다. 이러한 일이 발생하지 않도록 웹 사이트에서 로그인 시도를 제한할 수 있습니다.
이를 위해 WordPress에는 도움이 될 수 있는 공식 라이브러리의 Wordfence Security 및 Login Lockdown과 같은 특정 플러그인이 있습니다. 이러한 플러그인 중 하나를 설치한 후 허용되는 로그인 시도 횟수와 로그인 제한을 초과한 후 사용자가 잠기는 시간에 대한 설정을 정의할 수 있습니다.
예를 들어 시도 횟수 제한을 3회, 잠금 시간을 24시간으로 설정할 수 있습니다. 따라서 누군가 3회 이상 시도에 실패하면 해당 IP는 다음 24시간 동안 잠기며 그 후에 다시 시도할 수 있습니다.
6. SSL 인증서로 로그인 페이지 및 관리 영역 보안
때로는 공용 네트워크에서 웹 사이트에 로그인해야 할 수 있으므로 임의의 공격 상황에서 해커에게 취약할 수 있습니다. 공용 네트워크에서 해커는 HTTP 요청에 액세스하고 로그인 자격 증명을 하루 종일 볼 수 있습니다.
이러한 임의 공격을 방지하기 위해 HTTPS를 통해 웹 사이트에 액세스할 수 있는 SSL 로그인을 사용할 수 있습니다. 일반적으로 호스팅 공급자로부터 SSL 로그인 인증서를 받을 수 있습니다. 그러나 그렇지 않은 경우 하나를 구입하여 웹 사이트 서버에 설정해야 합니다.
HTTPS에서 실행할 웹사이트에 이미 SSL 인증서가 있는 경우 wp-config.php 파일을 열고 다음과 같이 편집합니다.
// Use SSL (HTTPS) for the login page. define ('FORCE_SSL_LOGIN', true); // Use SSL (HTTPS) for the whole admin area. define ('FORCE_SSL_ADMIN', true);
FORCE_SSL_LOGIN을 사용하면 로그인 페이지가 HTTPS에서만 열리고 웹사이트의 관리 영역 전체에서 보안 연결이 유지됩니다. 그렇기 때문에 WordPress 개발자를 고용할 때 그들이 관리하는 첫 번째 보안 설정 중 하나는 로그인 페이지와 관리 영역에 SSL 인증서를 사용하는 것입니다.
당신은 좋아할 수 있습니다: WordPress 웹 사이트를 만들고 싶습니까? 다음 13가지 쉬운 단계를 따르십시오.
7. 비밀번호로 wp-admin 디렉토리를 보호하십시오.
"wp-admin" 디렉토리를 암호로 보호하는 것은 웹사이트와 WordPress 관리 영역에 두 번째 보안 계층을 추가하는 것과 같습니다. 접근하는 가장 좋은 방법 중 하나는 호스팅의 "디렉토리 프라이버시" 설정을 이용하는 것입니다. cPanel 웹 호스트를 사용하여 wp-admin 디렉토리를 비밀번호로 보호하는 경우 디렉토리에서 cPanel 비밀번호 보호를 사용할 수도 있습니다.
8. 로그인 페이지에 캡차 포함
관리 영역의 보안 문자는 자동화된 스크립트로 인한 무차별 대입 사이버 공격을 방지하는 데 도움이 될 수 있습니다. Google reCAPTCHA, BestWebSoft의 reCaptcha, WPForms 등과 같은 WordPress 플러그인을 통해 로그인 페이지에 보안문자를 추가할 수 있습니다.
이 기술은 자동화된 스크립트를 통해 해킹 시도를 차단하는 데 매우 효과적입니다.
9. 로그인 페이지에서 오류 메시지 제거
보안 문자를 포함하여 해커가 웹 사이트에 로그인하기 위해 원하는 세 가지 사항이 있습니다. 일반적으로 로그인을 시도하고 실패하면 하나 이상의 자격 증명이 올바르지 않다는 오류 메시지가 나타납니다.
따라서 해커가 사용자 이름, 암호 및 보안문자를 입력했는데 자격 증명 중 하나가 잘못되었다고 가정합니다. "잘못된 사용자 이름" 또는 "잘못된 암호"라는 오류 메시지가 표시됩니다. 이 경우 자격 증명 중 하나가 옳다는 것을 알게 되며 다른 하나에 대해서만 작업하면 됩니다.
그러나 오류 메시지를 제거하면 둘 중 하나를 잘못 삽입했는지 또는 둘 다 삽입했는지 잘못 안내됩니다. 그런 다음 두 가지 작업을 다시 시작합니다. 이제 이 전략에 더해 로그인 시도 횟수를 제한했다면 해커로부터 더 많은 시간을 벌 수 있을 것입니다.
따라서 로그인 페이지에서 오류 메시지를 제거하십시오.
10. 특정 IP 로그인 허용
웹 사이트를 보호하기 위해 특정 고정 IP에 대한 액세스를 제한할 수 있습니다. 자신의 IP 주소를 알고 있는 경우 wp-admin 폴더의 .htaccess 파일을 통해 액세스 권한을 부여하십시오.
wp-admin 폴더를 열고 .htaccess 파일을 편집한 후 다음 코드를 추가하십시오.
order deny, allow # Replace 99.99.99.99 with the desired IP address allow from 99.99.99.99 # Allow more IP addresses to access the wp-admin area by uncommenting the line below and editing the IP address # allow from 98.98.98.98 deny from all
99.99.99.99를 귀하의 IP 또는 액세스 권한을 부여하려는 IP로 바꾸기만 하면 됩니다.
이제 액세스 권한이 없는 사람이 로그인을 시도하면 이 메시지가 표시됩니다.
11. Two-Factor Authentication으로 추가 레이어 추가
웹 사이트의 보안을 강화할 수 있는 또 다른 방법은 WordPress 플러그인을 사용하여 이중 인증으로 다른 레이어를 추가하는 것입니다. WP 2FA와 같은 플러그인을 설치하고 설정하기만 하면 자동 스크립트 및 무차별 대입 공격과 같은 사이버 위협으로부터 웹사이트가 안전해집니다.
12. 일회용 비밀번호(OTP)
일회용 비밀번호는 이름에서 알 수 있듯이 한 번만 유효한 비밀번호를 통해 웹 사이트에 로그인할 수 있습니다. 이러한 암호는 우편이나 휴대폰 번호로 받게 됩니다. OTP는 메일과 휴대폰으로 전송되며 1회용으로만 유효하기 때문에 카페 등에서 로그인 시 주 비밀번호를 도난당할 염려가 없습니다. 말할 필요도 없이 일부 WordPress 플러그인은 로그인 페이지에 OTP 기능을 추가하는 데 도움이 될 수 있습니다.
이러한 기술은 무차별 암호 대입 공격, 스팸, 악성 봇, SQL 주입 및 가장 중요한 자동화 스크립트(암호 생성용)와 같은 사이버 위협으로부터 WordPress 웹 사이트의 관리 영역을 보호하는 데 도움이 됩니다.
당신은 또한 좋아할 수 있습니다: 스키마 란 무엇입니까? WordPress 웹사이트에 스키마 마크업을 추가하는 방법은 무엇입니까?
마지막으로!
새로운 WordPress 웹 사이트를 디자인할 때 해킹당한다는 생각은 멀리 떨어져 있습니다. 그러나 여전히 가능성입니다. 따라서 해커가 웹 사이트의 민감한 정보에 액세스할 수 없도록 관리 영역을 보호하고 보안을 유지하려면 사용자 지정 WordPress 개발의 보안을 고유한 부분으로 만들어야 합니다.
그렇기 때문에 WordPress 업데이트, 보안 플러그인, OTP, 암호화된 비밀번호, 이중 인증, 캡차 등과 같은 팁과 기술을 나열하여 웹사이트를 해커로부터 안전하게 보호합니다. 새 웹사이트를 만들거나 이전 웹사이트를 업데이트하기 위해 WordPress 개발자를 고용할 때 이러한 기술에 대해 논의해야 합니다.
저자: 팔락 샤
이 기사는 Palak Shah가 작성했습니다. Palak는 WPWeb Infotech의 고품질 콘텐츠 작가이며 WordPress, 기술 및 소기업에 대한 글을 쓰는 것을 좋아합니다. 그녀는 놀라운 팀 플레이어이며 훌륭한 결과를 달성하기 위해 팀과 긴밀히 협력합니다. 그녀는 Netflix를 시청하고 논픽션, 자조, 위대한 인물의 자서전을 읽습니다.