WordPress 보안에 해를 끼치는 CISA의 나쁜 관행 목록
게시 됨: 2022-08-24CISA는 Cybersecurity & Infrastructure Security Agency의 약자로 국토안보부 산하에서 운영되는 미국 연방 기관입니다. 2018년에 설립된 이 조직은 NPPD(National Protection and Programs Directorate)를 대체하며 민간 및 국가 지원 해커 모두의 공격에 대한 사이버 보안을 개선하는 임무를 맡고 있습니다.
CISA는 중요한 인프라 및 시스템의 안전과 보안을 보장하기 위해 많은 작업을 수행합니다. 이를 위해 정부 기관과 민간 기업이 우수한 보안 관행을 유지하고 온라인에서 안전을 유지하는 데 도움이 되는 몇 가지 가이드와 목록을 게시합니다. CISA 표준을 준수하는 보안을 위해 개인 또는 비즈니스 WordPress 웹사이트에 CISA 가이드를 쉽게 적용할 수 있습니다.
CISA가 대중에게 제공하는 그러한 자원 중 하나는 나쁜 관행 목록입니다. 이 카탈로그는 진행 중인 작업이며 항상 위협의 역동적이고 진화하는 특성으로 인해 발생하지만 CISA가 진정으로 나쁜 관행으로 간주하는 것에 대한 귀중한 통찰력을 제공합니다.
CISA 및 WordPress 보안
CISA의 나쁜 관행은 종종 WordPress 환경에서 만연하여 목록을 WordPress 관리자 및 웹사이트 소유자와 더욱 관련이 있게 만듭니다. 다행스럽게도 이러한 나쁜 습관을 제거하는 것은 쉽고 시간이 거의 걸리지 않습니다.
보안 수준을 한 단계 높이려면 WordPress 보안 가이드를 참조하여 웹사이트를 안전하게 보호하기 위해 할 수 있는 모든 작업에 대한 상세하고 자세한 목록을 참조하십시오.
기관은 또한 관리자 및 기타 IT 전문가가 카탈로그에 포함하는 잘못된 관행에 대한 의견을 제공할 수 있는 GitHub 페이지를 열었습니다.
위험 1: 지원되지 않는 소프트웨어 사용
항상 소프트웨어에는 버그가 있습니다. 이것이 개발자가 업데이트를 출시하는 이유 중 하나입니다. 업데이트는 버그와 보안 허점을 해결할 뿐만 아니라 새로운 기능과 개선 사항을 추가합니다. 이러한 업데이트를 가능한 한 빨리 설치하는 것은 인프라를 안전하게 유지하는 데 매우 중요합니다.
지원되지 않는 소프트웨어(예: 이전 버전, 수명이 다한 소프트웨어, nulled 플러그인)는 업데이트를 수신하지 못하므로 알려진 취약성을 사용자 환경에 도입할 수 있으므로 특히 위험합니다.
공격자는 이러한 취약점을 악용하여 시스템에 대한 무단 액세스를 얻을 수 있습니다. 결과적으로 그들은 당신의 데이터를 훔치고, 당신의 웹사이트를 다운시키고, 다른 많은 악의적인 활동을 할 수 있습니다.
해결책
가능한 한 빨리 업데이트를 설치하면 보안 허점 및 버그와 관련된 위험을 크게 최소화할 수 있습니다. 마찬가지로, 선택한 공급업체와 개발자가 응답하고 업데이트를 자주(1년에 한 번이 아님) 발행할 수 있기를 원합니다.
플러그인을 선택할 때 버전 기록을 확인하여 업데이트가 릴리스되는 빈도를 확인하십시오. 일일 업데이트는 좋은 징조가 아닙니다. 그러나 연간 업데이트는 또한 무언가가 잘못되었음을 나타낼 수 있습니다. 또한 사용자 의견을 확인하여 개발자가 사용자 질문에 얼마나 반응하는지 확인할 수 있습니다.
위험 2: 잘못된 암호
잘못된 비밀번호에는 기본 비밀번호, 재활용된 비밀번호, 이전에 유출된 비밀번호, 취약한 비밀번호 등이 있습니다. 잘못된 암호는 쉽게 해독할 수 있으므로 공격자가 시스템에 쉽게 접근할 수 있습니다. 암호 공유는 WordPress 환경 및 그 이상에서 자주 발생하는 또 다른 나쁜 습관입니다. 공유 암호는 암호가 유출될 위험을 크게 높이고 문제를 추적하고 팀에 책임을 묻기 어렵게 만듭니다.
해결책
강력한 WordPress 암호 정책은 나쁜 암호를 문밖으로 내보내는 데 큰 도움이 됩니다. WPassword는 관리자에게 사용자가 암호 정책을 설정하는 방법을 세부적으로 제어하여 안전하고 효과적인 암호를 사용할 수 있도록 하는 WordPress 플러그인입니다.
위험 3: 단일 요소 인증
단일 요소 인증은 CISA의 잘못된 관행 목록에 포함되는 세 번째이자 마지막 위험입니다. 단일 요소 인증 설정에서 사용자는 사용자 이름과 비밀번호만으로 로그인할 수 있습니다. 2FA(2단계 인증) 또는 MFA 환경에서 사용자는 두 번째(또는 그 이상) 방법을 통해 인증해야 합니다.
단일 요소 인증은 비밀번호가 유출된 경우 특히 문제가 될 수 있으며 좋은 비밀번호 정책은 위험을 최소화하는 데 큰 도움이 되지만 2차 인증 요소는 WordPress 웹 사이트의 전반적인 보안을 크게 향상시킵니다.
2FA는 빠르게 인증의 황금 표준이 되고 있습니다. 전제는 매우 간단하지만 가장 일반적인 공격을 대부분 막을 수 있습니다. 이것은 업계 거물, 애호가 및 그 사이의 모든 사람들에게 인기가 있습니다.
해결책
WordPress는 즉시 2FA를 제공하지 않습니다. 그러나 WordPress 웹 사이트에서 2FA를 구현하는 것은 WP 2FA 덕분에 쉽습니다. 이 WordPress 2FA 플러그인에는 손을 흔들 수 있는 것보다 더 많은 옵션이 포함되어 있어 모든 사용자가 보다 안전한 WordPress를 위해 2FA를 활용할 수 있습니다.
나쁜 습관을 없애기 위한 WordPress 보안 조치 계획
나쁜 습관은 나쁜 습관과 같습니다. 균열을 통해 떨어지는 것이 없도록 시간이 지남에 따라 점검해야 합니다. 이것이 WordPress 보안이 반복적인 프로세스인 이유입니다. 우리는 항상 모범 사례를 따르고 있는지 확인하기 위해 매우 자주 주의를 기울여야 합니다.
의심할 여지 없이 CISA 목록에 포함되지 않은 다른 나쁜 관행이 있지만 그들이 제공하는 것은 좋은 출발점입니다. 요약하자면,
- 업데이트가 제공되는 즉시 설치하십시오. 업데이트가 사이트를 손상시키는 것이 걱정된다면 라이브 환경에 업데이트를 배포하기 전에 스테이징 환경을 설치하여 업데이트를 테스트하십시오.
- WPassword를 사용하여 강력한 WordPress 비밀번호 정책을 구현하여 환경에서 약한 비밀번호를 제거합니다. 사용자가 암호 관리자를 사용하여 너무 복잡한 잊어버린 암호에 대한 지원 요청을 완화하도록 권장합니다.
- 모든 사용자에 대해 WordPress 2단계 인증을 요구하는 정책을 활성화하고 사용합니다. WP 2FA를 사용하여 Authy 통합, 유예 기간 및 화이트 라벨링을 비롯한 많은 기능을 활용하십시오.
CISA 목록이 좋은 출발점이기는 하지만 WordPress 웹사이트를 보호하려면 보다 포괄적인 접근 방식이 필요합니다. 강력한 암호 보장에서 WordPress 강화에 이르기까지 WP White Security의 우수한 WordPress 보안 가이드를 따르면 스스로 할 수 있는 일이 많이 있습니다.
추신: WordPress 웹 사이트 보안 경험이 부족한 경우 WordPress 테스트 환경을 설정하는 것이 좋습니다.