• 홈페이지
  • 조항
  • 가이드
  • 7 취약점 WordPress 보안 플러그인은 귀하를 보호 할 수 없습니다 (수동으로 수정하는 방법)

7 취약점 WordPress 보안 플러그인은 귀하를 보호 할 수 없습니다 (수동으로 수정하는 방법)

게시 됨: 2025-01-27

대부분의 WordPress 사용자와 같은 경우 웹 사이트를 안전하게 유지하는 데 도움이되는 보안 플러그인을 설치했을 것입니다. 이것은 훌륭한 단계이며, 특히 2 요인 인증을 활성화 한 경우 많은 보호를 처리합니다.

그러나 나는 단계를 강조했다는 것을 주목했다. 많은 사람들이 그것이 취해야 할 유일한 단계라고 생각하기 때문에 고의적으로 그렇게했습니다. 그래도 사이트의 보안에 진정으로 관심이 있다면 그렇지 않아야합니다.

좋은 소식은 약간의 수동 구성을 사용하면 서버 수준에서 WordPress 보안을 향상시키고 사이트를 공격에보다 저항 할 수 있다는 것입니다. 추가 보너스로서, 워드 프레스 보안 전문가처럼 느낄 수 있습니다. 아마도 전체 프로세스에서 가장 중요한 부분 일 것입니다. 😉

따라서 캐주얼 워드 프레스 사용자에서 프로로 변환하고 웹 사이트를 방탄 할 준비가 되었다면 시작하겠습니다.

목차

도구 상자

믿거 나 말거나, 이것을 뽑으려면, 당신은 3 개의 (아마도 4 개) 도구 만 필요합니다.

  • Sucuri 사이트 확인 : 무료 도구 초기 스캔을 실행하고 변경 사항을 확인할 수 있습니다.
  • 보안 헤더 : 웹 사이트 보안 구성에 대한 자세한 피드백을 제공하는 또 다른 무료 도구.
  • 호스팅 제어판에 대한 액세스 : CPANEL을 사용하고 있지만 다른 것이 있으면 어떻게 해야하는지 다룰 것입니다.
  • 텍스트 편집기 (아마도) : 호스팅 컨트롤 패널에 내장 된 내장이있을 수 있으므로 필요하지 않을 수도 있지만 만일을 대비하여 여기에 나열하고 있습니다.

위의 목록에서 가장 복잡한 것은 CPANEL에 액세스하는 것입니다. 어렵지는 않지만 모든 호스팅 회사는이를 수행 할 수있는 방법이 있으며 이전에 한 번도 해본 적이 없다면 파악해야합니다.

(확실하지 않은 경우) 접근하는 가장 쉬운 방법은 호스팅 회사의 웹 사이트 지식 기반으로 가서 "CPANEL"을 검색하는 것입니다. 그렇지 않으면 어디에서나 고객 지원에 연락하십시오.

초기 보안 검사를 실행합니다

사이트 코드로 땜질을 시작하기 전에 먼저 현재 보안을 처리하는 방법을 확인하려고합니다. 내가 보여줄 변경은 매우 구체적이므로 실제로 귀하의 사이트에 필요한지 확인하고 싶습니다.

대부분의 경우 (특히 공유 호스팅에 의존하는 경우)이를 만들어야합니다. 그러나 일부 상위 수준의 관리 된 WordPress 호스팅 계획에서 호스트가 귀하를 대신하여 조정할 수 있습니다. 따라서 이러한 스캔을 미리 실행하는 것이 왜 중요합니다.

sucuri 사이트 확인

시작하려면 Sucuri의 사이트 확인 도구로 가서 웹 사이트 주소를 스캐너에 붙여 넣으십시오.

sucuri 사이트 확인 페이지.

제출을 클릭하고 Sucuri가 마술을 만들도록하십시오.

이 튜토리얼의 목적을 위해, 나는 의도적으로 내 개인 사이트를 보호하여 표준 WordPress 구성의 모습을 보여주기 위해 (편집하기 전에) :

보안 취약점을 보여주는 초기 Sucuri 스캔 결과.

보시다시피, 스캔은 일반적인 WordPress 설정에서 볼 수있는 5 가지 보안 격차가 나타났습니다. 나는 그들이 한 순간에 무엇을 의미하는지 설명하겠습니다.

보안 헤더

Sucuri는 우리에게 좋은 새의 눈 경치를 주었지만 잠시 동안 정말 멍청 해지고 보안 헤더가 무엇을 말하는지 확인합시다. 첫 번째 단계는 Sucuri와 정확히 동일합니다. 웹 사이트 주소를 도구에 입력하거나 붙여 넣고 스캔을 클릭하십시오.

사이트가 얼마나 큰지에 따라 결과는 1 초에서… 더 오래 걸릴 수 있습니다. ∎ 초기 결과는 다음과 같습니다.

SecurityHeaders.com은 보안 스캔에 실패했습니다.

모든 붉은 색과 거대한 F는 약간 위협적으로 보일 수 있지만 실제로 우리에게 매우 유용한 정보를 제공합니다. 이러한 빨간색 자국은 각각의 사이트가 더 취약하게 만드는 누락 된 보안 헤더를 지적하고 있습니다.

또한 사이트에 WordFence 또는 다른 보안 플러그인이 설치되어 있어도 이러한 결과를 볼 수 있음을 다시 강조하고 싶습니다. 예외는 귀하의 호스팅 회사 나 다른 사람이 우리가하기 전에 편집 할 수있는 경우입니다.

모든 적기를 이해합니다

이제 스캔을 찾은 모든 것을 정리해 봅시다. 도구 사이에 약간의 겹치는 것이 있지만 각각은 몇 가지 고유 한 문제를 겪었습니다.

문제가 잡힌 두 도구

  • 콘텐츠 보안 정책이 완전히 누락되었습니다. 즉, 사이트에서로드 할 수있는 스크립트와 컨텐츠를 제어하는 ​​것은 없습니다. ℹ️ 왜 나쁜가요? 이러한 컨트롤이 없으면 악성 코드를 페이지에 주입하여 실행하여 사이트와 방문자를 손상시킬 수 있습니다.
  • X- 프레임 옵션이 없어서 부지가 무단 임베딩을 통해 클릭 재킹 시도에 취약하게합니다. ℹ️ 왜 나쁜가요? 클릭 잭킹은 공격자가 사용자가 자신이 보는 것과 다른 것을 클릭하도록하는 경우, 종종 악의적 인 콘텐츠에 합법적 인 사이트를 보이지 않게 계층화하여 종종 보이는 것과 다른 것을 클릭 할 때입니다.
  • 컨텐츠 유형 옵션이 설정되지 않으므로 MIME 타입 혼동 공격을 가능하게 할 수 있습니다. ℹ️ 왜 나쁜가요? MIME 형 혼동은 브라우저가 한 유형의 파일을 다른 유형으로 처리하는 데 속이기 때문에 유해한 코드를 실행할 때 발생합니다.

Sucuri의 독특한 결과 🔍

  • PHP 버전은 HTTP 헤더에서 볼 수 있습니다. ℹ️ 왜 나쁜가요? 공격자가 PHP 버전을 볼 수있는 경우 보안 시스템의 청사진이있는 것과 같은 사이트에 대해 어떤 취약점이 있는지 정확히 알고 있습니다.

보안 헤더의 추가 통찰력 🔬

  • 참조 정책이 없습니다. ℹ️ 왜 나쁜가요? 이 정책이 없으면 사이트에서 사용자의 탐색 패턴에 대한 민감한 정보가 다른 웹 사이트에 유출 될 수 있습니다.
  • 권한 정책이 구성되지 않았습니다. ℹ️ 왜 나쁜가요? 이는 사이트의 모든 페이지가 잠재적으로 방문자의 카메라, 마이크 또는 위치 데이터에 대한 액세스를 제한없이 요청할 수 있음을 의미합니다.
  • 엄격한 트랜스 스포츠 보안이 누락되었습니다. ℹ️ 왜 나쁜가요? 이 헤더가 없으면 사이트에 대한 연결이 HTTP에서 HTTP로 다운 그레이드되어 가로 채기에 취약 할 수 있습니다.

이러한 문제를 해결하는 것의 아름다움은 모든 기술적 세부 사항을 이해할 필요가 없다는 것입니다. 솔루션을 올바르게 구현하면됩니다. 편리하게 우리가해야 할 일입니다.

서버 파일로가는 길 찾기

내가하는 것처럼 cpanel이 있다고 가정하면 대시 보드에서 파일 관리자를 클릭하십시오.

CPANEL을 통해 파일 관리자에 액세스합니다.

CPANEL 이외의 것을 사용하는 경우 FileZilla를 다운로드 할 수 있습니다 (무료이며 사용 방법에 대한 빠른 안내서가 있습니다). 설치 한 후 호스팅 대시 보드에서 FTP 세부 정보를 사용하여 서버에 연결하십시오.

  • 호스트 : ftp.yoursite.com - CPANEL의 FTP 섹션의 올바른 주소 여부를 두 번 확인하십시오.
  • 사용자 이름 : your-username
  • 비밀번호 : your-password
  • 포트 : 21 - 또한 설정이 사용중인 포트인지 확인하십시오 (CPANEL의 FTP)

일부 호스트는 또한 유사하게 기능 할 수있는 자체 CPANEL 대안을 제공합니다. 다시 말해, FileZilla를 절대 사용할 필요는 없습니다. 확실하지 않으면 고객 지원에 문의하십시오.

.htaccess 파일 찾기

로그인하면 컴퓨터 파일 브라우저처럼 보이는 것이 보입니다. .htaccess 라는 특정 파일을 찾아야합니다 . 서버가 다양한 보안 설정을 처리하는 방법을 제어합니다. 가장 쉬운 방법은 오른쪽 상단의 CPANEL 파일 관리자 검색 기능을 사용하는 것입니다. FileZilla 사용자는 유사한 기능에 의존 할 수 있습니다.

창에 .htaccess 입력하고 이동을 클릭하십시오.

CPANEL 파일 관리자에서 .htaccess 파일 검색

호스팅 계정에 링크 된 웹 사이트가 하나만 있으면 매우 간단해야합니다. 여러 사이트가있는 경우 이러한 편집을 할 사이트와 관련된 .htaccess 파일을 클릭하고 있는지 확인하십시오.

조심해야 할 또 다른 잠재적 인 Tripwire 세부 사항은 단일 사이트 설정에서도 여전히 다른 .htaccess -ish 파일이있을 수 있다는 사실입니다. 기본적으로 이름에 .htaccess 있지만 다른 단어 나 문자를 가진 파일.

당신은 그 중 어느 것도 원하지 않습니다. 당신은 .htaccess 라고 불리는 것만 원하고 다른 것은 없습니다.

보안 문제를 해결하기 위해 .htaccess 파일에 코드 추가

파일을 찾으면 편집하기 전에 파일을 다운로드하려고합니다. 이런 식으로 문제가 발생하면 폴더에 다시 업로드 할 수있는 백업이 있습니다.

편집하기 전에 .htaccess 파일을 다운로드하십시오.

아무것도 잘못되어야하지만, 당신이 알고있는 것 보다 안전하는 것이 더 낫습니다.

백업이 안전하게 다운로드되면 .htaccess 파일 편집을 진행할 수 있습니다. CPANEL의 파일 관리자에서 파일을 마우스 오른쪽 단추로 클릭하고 편집을 선택하십시오. FileZilla를 사용하는 경우 마우스 오른쪽 버튼을 클릭하고 View/Edit을 선택하십시오. 이렇게하면 기본 텍스트 편집기에서 파일이 열립니다.

다음 부분은이 전체 임무의 정점입니다. 이곳은 잠시 동안 WordPress 보안 전문가처럼 느껴지는 곳입니다. 그것이 지속되는 동안 즐기십시오.

.htaccess 파일에 코드를 넣을 위치 👨🏻‍💻

WordPress 설치에는 일반적으로 여기에는 여러 섹션이 있으며 # BEGIN# END 으로 시작하는 주석으로 표시됩니다.

이것을 말하는 줄을 찾으십시오.

 # END WordPress

가장 안전한 접근법은 그 직후 보안 헤더를 추가하는 것입니다. 정확한 줄이 표시되지 않거나 확실하지 않은 경우 파일 끝에 헤더를 추가 할 수 있습니다. 기존 코드와 새로 추가 된 새로운 줄 사이에 빈 줄을 남겨 두십시오.

코드는 다음과 같습니다.

 # BEGIN Security Headers Header unset X-Powered-By php_flag expose_php Off Header set X-Frame-Options "SAMEORIGIN" Header set X-Content-Type-Options "nosniff" Header set Strict-Transport-Security "max-age=31536000; includeSubDomains" Header set Content-Security-Policy "default-src 'self' 'unsafe-inline' 'unsafe-eval' *; script-src 'self' 'unsafe-inline' 'unsafe-eval' * data: blob:; style-src 'self' 'unsafe-inline' *; img-src 'self' data: *; frame-src 'self' *; font-src 'self' data: *; media-src 'self' *;" Header set Referrer-Policy "strict-origin-when-cross-origin" Header set Permissions-Policy "camera=(), microphone=(), geolocation=(), payment=()" # END Security Headers

완료되면 오른쪽 상단의 변경 사항 저장 을 클릭하십시오. CPANEL이 아닌 사용자의 경우 동등한 버튼이 자신의 인터페이스에있는 것을 찾으십시오.

이를 통해 보안 스캔을 다시 실행하여 변경의 영향을 확인할 수 있습니다.

다시 실행되는 보안 점검

먼저 보안 헤더 확인 :

SecurityHeaders.com은 보안 스캔을 통과했습니다.

너무 나쁘지 않아?

우리는 F에서 A로 갔다.

빛나는 것에 대해 이야기하십시오!

우리가 구성한 모든 보안 헤더는 올바르게 구현 된대로 표시됩니다.

다음으로, sucuri를 확인해 봅시다 :

헤더 코드를 추가 한 후 Sucuri 스캔.

훨씬 낫지 만 이상하게도 여전히 두 가지 경고가 있습니다.

첫 번째는 내 사이트에 Wordfence가 실행된다는 것을 알고 있기 때문에 실제로 잘못된 긍정적입니다. 나는 아마도 sucuri가 어떤 이유로 든 말을 인식하지 못하는 것 외에는 이것에 대한 설명이 없습니다. 동일한 경고가 표시되고 WAF가 설치되어 있다는 것을 알면 무시하십시오.

두 번째 메시지는 조금 다릅니다. 또한 보안 헤더 결과에 나타납니다.

SecurityHeaders.com은 보안 스캔을 통과했지만 경고가 있습니다.

다음은 다음과 같습니다.

두 도구 모두에 의해 "위험한"것으로 표시 되었음에도 불구하고 안전하지 않은 인라인 의 사용은 실제로 완벽합니다.

WordPress는 특히 블록 편집기 및 플러그인을 위해 특정 JavaScript 및 CSS 기능이 필요합니다. 따라서 기술적으로 더 엄격한 방법을 처리 할 수있는 방법이 있지만 (그렇지 않으면 해당 Nonces 참조가 포함되어 있음) 사이트를 깨뜨릴 수 있습니다. 문자 그대로.

여기서 가장 좋은 비유는 집을 생각하는 것입니다. 시멘트로 모든 창문과 문을 밀봉하여 기술적으로 집을 더 안전하게 만들 수 있지만 집을 기능하지 않게 만듭니다. 이것은 같은 생각입니다.

마무리

WordPress 보안 플러그인은 훌륭한 보안 전략의 기초이지만 특정 중요한 보호를 설정 해야하는 서버 수준으로 도달 할 수는 없습니다.

7 취약점 #Wordpress #security 플러그인은 🔐에서 당신을 보호 할 수 없습니다.
트윗을 클릭하십시오

보안 스캔의 전후 스크린 샷은 이에 대한 증거입니다.

이제이 튜토리얼을 읽었으므로 WordPress 보안을 "플러그인 보호"에서 "서버 레벨 보안"로 가져갈 수도 있습니다.

마지막으로 보안 모범 사례로서 다음을 수행하는 것이 좋습니다.

  • 이 보안 스캔을 매달 실행하십시오.
  • 보안 구성 문서를 유지하십시오.
  • 주요 WordPress 업데이트 후 테스트하여 모든 것이 여전히 의도 한대로 작동하는지 확인하십시오.
  • 로그인 페이지 주소를 변경하십시오.
  • 로그인 시도 제한.
  • 2 단계 인증을 활성화하십시오 (또는 짧은 경우 2FA).
  • 플러그인과 테마를 업데이트하고 사용하지 않는 플러그인을 삭제하십시오.

… 그리고 훨씬 더. WordPress 보안은 당신을 깊은 토끼 구멍으로 데려 갈 수 있지만 여기서 배운 것은 당신을 시작하기에 충분하며 대부분의 공격으로부터 사이트를 보호 할 수 있습니다.

질문이 있습니까? 의견에 알려주세요. 기꺼이 도와 드리겠습니다.

예! 당신은 기사의 끝까지 그것을 만들었습니다!