웹사이트 보안: 2024년에 사이트를 보호하는 방법
게시 됨: 2024-03-22WordPress를 최대한 활용하는 데 있어 너무 자주 무시되는 측면이 하나 있습니다. 바로 보안입니다. 하룻밤 사이에 실제 상점을 잠금 해제된 상태로 두어서는 안 되며, 웹 사이트도 보호되지 않은 상태로 남겨둘 위험을 감수해서는 안 됩니다.
사이버 위협은 개인이든, 소규모 기업이든, 글로벌 기업이든 상관없이 심각하고 항상 존재하는 문제입니다.
해마다 맬웨어, 데이터 유출 및 기타 형태의 사이버 범죄가 급증하고 있습니다. 한 연구에 따르면 사이버 공격은 2022년에 38% 증가했습니다. 그리고 이러한 추세는 반전될 기미를 보이지 않습니다.
사이버 위협으로부터 보호하려면 먼저 자신이 직면하고 있는 것이 무엇인지 알아야 합니다. 방어 전략의 기본부터 프로세스를 자동화하는 Jetpack Security와 같은 서비스까지, 이 게시물에서는 귀하의 노력을 보호하는 데 필요한 모든 것을 다룹니다.
웹사이트 보안이 중요한 이유
잠에서 깨어나 악몽 같은 광경을 목격했다고 상상해 보십시오. 누군가 귀하의 사이트에 침입했습니다.
아마도 스팸이나 악성 코드가 가득 들어있어 끔찍하게 훼손되었을 수도 있습니다. 서버가 비어 있고 이전 위치를 표시하기 위한 빈 페이지가 있어서 완전히 사라졌을 수도 있습니다.
결과는 귀하의 웹사이트가 실제 무엇인지에 따라 바뀌지 않습니다. 귀하의 생계, 수입원 또는 귀하가 마음과 영혼을 바쳐 실현한 열정 프로젝트입니다.
청중이 많은 경우 개인 정보가 위험에 처할 수 있습니다. 또는 컴퓨터가 악성 코드에 감염되어 그 이유를 알지 못할 수도 있습니다.
사업주 입장에서는 더욱 그렇습니다. 위반은 브랜드 이미지에 치명적인 영향을 미칠 수 있고, 판매가 완전히 중단될 수 있으며 잠재적으로 귀하에 대한 청중의 신뢰와 귀하가 그들과 가질 수 있는 미래의 전망을 망칠 수 있으며 심지어 귀하에 대한 소송 및 법적 조치가 취해질 수도 있습니다.
불행하게도 대부분의 사람들은 그런 일이 결코 자신에게 일어나지 않을 것이라고 믿고 웹사이트를 보호하기 위한 조치를 취하지 않습니다. 그러나 사실은 대부분의 사이버 공격이 표적을 겨냥하지 않는다는 것입니다. 그들은 웹을 샅샅이 뒤져 보안에 약점이 있는 웹사이트를 찾는 봇에서 나옵니다.
한 연구에 따르면 모든 전자상거래 사이버 공격의 57%가 봇에 의해 발생하는 것으로 나타났습니다. 그리고 사이버 위협이 진화함에 따라 그 숫자는 항상 증가합니다. 데이터 유출로 인한 비용이 평균 948만 달러에 달할 때 민감한 데이터를 저장한다면 아무것도 하지 않을 수 없습니다.
이러한 위협이 어떻게 작동하는지 이해하고 직접 조치를 취하면 가능한 피해를 완화하거나 문제가 발생하지 않도록 예방할 수 있습니다.
일반적인 웹사이트 보안 위협
랜섬웨어부터 스팸, DDoS 공격에 이르기까지 악의적인 행위자가 귀하의 웹사이트를 표적으로 삼을 수 있는 방법은 많습니다.
그들의 동기는 다양합니다. 사용자 자격 증명을 훔치거나, 스팸 사이트에 대한 무료 백링크를 얻거나, 악의로 인해 웹 사이트를 다운시키려는 것일 수도 있습니다. 중요한 것은 그들이 사용하는 방법과 이를 중지할 수 있는 방법을 이해하는 것입니다.
1. 악성코드 및 랜섬웨어
유해한 프로그램 모음을 가리키는 짧고 포괄적인 용어인 맬웨어는 심각한 위협입니다. 바이러스, 웜, 트로이 목마, 스파이웨어 등 많은 바이러스에 이미 익숙할 것입니다. 개인용 컴퓨터와 마찬가지로 웹사이트를 호스팅하고 데이터를 저장하는 서버도 보호되어야 합니다.
그렇지 않으면 귀하의 데이터가 손상, 삭제 또는 유출될 위험이 있으며 귀하의 웹사이트는 수천 명의 사람들에게 영향을 미칠 수 있는 악성 코드 확산 공장으로 변모할 것입니다.
특히 불쾌한 유형의 맬웨어 중 하나가 랜섬웨어입니다. 이는 웹사이트의 파일을 암호화하고 파일을 공개하는 대가로 금전을 요구합니다. 며칠 내에 비용을 지불하지 않으면 일반적으로 데이터가 삭제됩니다. 그리고 불행하게도 많은 사람들이 돈을 지불합니다. 이는 전 세계적으로 가장 일반적인 유형의 사이버 공격입니다(2022년에만 사이버 공격의 68%).
맬웨어 및 랜섬웨어는 웹사이트에 침입하여 다양한 방법으로 감염시킬 수 있지만, 가장 일반적인 경우는 취약한 플러그인, 테마 및 오래된 소프트웨어를 통한 것입니다.
2. 무차별 공격
무차별 대입 공격은 사용자 비밀번호를 "추측"하고 웹 사이트에 대한 무단 액세스를 얻는 매우 무뚝뚝하고 효과적인 방법인 경우가 많습니다. 이러한 유형의 사이버 공격에는 일반적으로 봇넷(자동 프로그램)을 사용하여 올바른 암호를 찾을 때까지 체계적으로 암호를 입력하거나 "추측"하는 작업이 포함됩니다.
해커가 귀하의 고유 비밀번호를 해독하고 귀하의 사이트에 침투하는 순간, 그들은 혼란을 야기할 수 있습니다. 데이터를 훔치거나, 웹 사이트를 훼손하거나, 파일을 삭제하거나, 관리자 권한을 사용하여 사용자를 잠그고 모든 권한을 부여하는 등 게임은 끝납니다.
위험에 처한 것은 관리자 계정만이 아닙니다. 낮은 수준의 사용자 역할이라도 해커가 원하는 작업을 수행할 수 있을 만큼만 제어할 수 있습니다. 또는 악용을 통해 해커가 관리자 계정으로 "피벗"할 수 있습니다.
이러한 종류의 공격은 취약한 비밀번호, 기본 비밀번호 또는 쉽게 추측할 수 있는 비밀번호를 악용하는 경우가 많습니다. 충분한 시간과 올바른 공격 방법을 사용하면 아무리 안전하더라도 비밀번호가 결국에는 해독될 수 있습니다.
물론 무차별 대입 공격을 방지하는 보안 조치를 사용하지 않는 한. 이중 인증, 로그인 시도 제한, 모든 사람이 매우 강력한 비밀번호를 사용하도록 하는 등의 기술은 해커를 막는 데 놀라운 효과를 발휘할 수 있습니다.
3. SQL 인젝션
SQL 주입은 수년 동안 WordPress 보안에 널리 퍼져 있는 위협이었습니다. 이러한 유형의 공격은 SQL 데이터베이스를 사용하는 웹 사이트에서 데이터베이스 쿼리를 조작하여 해커가 볼 권한이 없는 정보에 액세스할 수 있도록 허용합니다. 그런 다음 적절하다고 판단되는 대로 삽입, 업데이트 또는 삭제할 수 있습니다.
웹사이트의 문의 양식을 고려해 보세요. 페이지나 스크립트가 입력을 제대로 삭제하지 않고 누구나 사이트의 입력을 업데이트할 수 있도록 허용하는 경우 해커는 코드를 제출하여 데이터베이스에 SQL을 삽입할 수 있습니다. 결과? 데이터 유출부터 데이터 수정, 전체 데이터베이스 인수까지 모든 것이 가능합니다.
SQL 주입을 방지하는 가장 좋은 방법은 양식 및 파일 업로드의 입력을 삭제하는 것입니다. 그러나 해커가 이 벡터를 통해 계정을 손상시킬 수 있더라도 액세스 제어 및 사용자 관리 방어는 이러한 공격의 영향을 줄이는 데 도움이 됩니다.
4. 크로스 사이트 스크립팅(XSS)
XSS(교차 사이트 스크립팅)는 웹 사이트 방문자와 사이트 소유자 모두에게 위험을 초래하는 지속적인 사이버 보안 문제입니다. XSS는 해커에게 악성 스크립트를 웹페이지에 직접 삽입할 수 있는 기능을 제공합니다. 스크립트는 클라이언트측(브라우저) 정보에 액세스할 수 있을 뿐만 아니라 다양한 공격을 수행할 수도 있습니다.
이러한 스크립트는 사용자 세션을 가로채거나 민감한 정보 및 사용자 자격 증명을 훔치거나 단순히 웹 사이트를 훼손할 수 있습니다.
웹 보안의 발전에도 불구하고 XSS 취약점은 주로 안전하지 않은 코딩 관행과 입력 유효성 검사 부족으로 인해 지속됩니다.
이러한 종류의 공격으로부터 보호하려면 올바른 코딩 방법을 채택하고 이를 수행하는 플러그인만 설치해야 합니다. 코드 작업에 대해 걱정하고 싶지 않으신가요? 모든 것을 관리해 주는 보안 플러그인을 설치할 수 있습니다.
5. 분산 서비스 거부(DDoS)
일반적인 맬웨어와 달리 DDoS 공격은 혼란을 일으키기 위해 웹 사이트에 침입할 필요가 없기 때문에 특히 교활합니다.
리소스가 있는 사람이라면 누구나 귀하의 웹 사이트에 DDoS 공격을 시작하기로 결정할 수 있으며, 엄청난 양의 가짜 트래픽으로 서버나 네트워크를 압도하여 밀리초 만에 액세스할 수 없게 만들 수 있습니다.
DDoS 공격에서는 손상된 장치 네트워크, 즉 "봇넷"이 특정 대상, 즉 웹사이트에 전면적인 공격을 가합니다. 서버가 처리할 수 있는 것보다 더 많은 트래픽을 쏟아부어 서버에 막대한 부하를 가하고 크롤링 속도를 늦추거나 완전히 충돌시킵니다.
그들의 동기는 다양합니다. 그들은 공격을 멈추기 위해 몸값을 요구할 수도 있고, 단지 당신을 싫어할 수도 있습니다. 다행스럽게도 DDoS 공격은 저렴하고 시작하기 쉽지만 계속 실행하려면 많은 돈과 리소스가 필요하므로 드물고 일반적으로 며칠에서 일주일 정도 지속됩니다.
그러나 이는 여전히 사용자를 짜증나게 하고, 귀하의 명예를 손상시키고, 많은 돈을 잃을 만큼 충분히 길었습니다.
DDoS 공격을 방어하려면 속도 제한 및 AI를 통해 악성 트래픽과 양호한 트래픽을 구별하는 안정적인 웹 애플리케이션 방화벽을 설치해야 합니다. DDoS 보호 기능이 포함되어 있으므로 CDN도 설치해야 합니다.
6. SEO 스팸
공격자가 귀하의 웹 사이트에 침입하면 일반적으로 매우 빨리 알게 됩니다. 그들은 귀하의 계정을 잠그거나 불쾌한 메시지와 악성 코드로 모든 페이지를 훼손합니다.
SEO 스팸은 조금 다릅니다. 공격자는 귀하의 웹사이트를 사용하여 다른 사람에게 해를 끼칩니다. 그들은 검색 순위를 조작하기 위해 귀하의 웹사이트를 포함하는 은밀한 공격을 통해 이를 수행하며, 탐지를 피하기 위해 적극적으로 노력합니다.
해커는 웹사이트의 취약점을 이용하여 숨겨진 링크, 키워드 및 기타 콘텐츠를 삽입합니다. 이는 기존 SEO 권한을 활용하여 악성 사이트의 검색 엔진 순위를 높이는 데 사용됩니다. 이러한 종류의 공격은 눈에 띄지 않는 경우가 많기 때문에 피해를 인지하는 데 몇 달이 걸릴 수 있습니다.
하지만 결국 Google은 이러한 방식으로 악의적으로 부정 행위를 하는 사이트에 처벌을 가하고 머지않아 귀하의 사이트에도 처벌을 받게 됩니다. 귀하는 검색 결과의 맨 아래로 빠르게 이동하게 되며, 사용자가 귀하의 사이트에서 퍼진 스팸 및 바이러스로 가득 찬 링크를 클릭하면 귀하의 신뢰성과 평판이 급락하게 됩니다.
강력한 사용자 액세스 제어와 정기적인 웹사이트 감사를 통해 SEO 스패머가 입힐 수 있는 피해를 최소화할 수 있습니다.
웹사이트 보안의 기초
모든 유형의 웹사이트를 운영하는 경우, 갖춰야 할 다양한 보안 기반이 있습니다. 웹 사이트 보안의 주요 요소, 즉 보안 호스트 선택 및 CDN 설치와 같은 핵심적이고 필수적인 측면을 살펴보겠습니다.
1. 신뢰할 수 있는 호스팅 제공업체를 선택하세요
보안은 보안 인프라를 갖춘 안정적인 호스팅 제공업체를 선택하는 것에서 시작됩니다.
웹 사이트를 보호하기 위해 얼마나 많은 조치를 구현하는지는 중요하지 않습니다. 호스트가 보안이 취약한 인프라로 인해 문을 열어 두면 맬웨어 침투의 주요 벡터가 될 것이며 귀하의 모든 노력은 물거품이 될 것입니다.
호스팅 제공업체가 마련한 보안 조치를 살펴보세요. 공격으로부터 보호하기 위해 웹 애플리케이션 방화벽이 내장되어 있습니까?
자체 보안 조치 외에도 실적을 고려하십시오. 몇 번이나 위반되었나요? 이러한 일이 다시 발생하지 않도록 어떤 보호 조치를 취했습니까?
웹사이트 보안에 관해서는 귀하와 귀하의 호스팅 제공업체가 귀하의 웹사이트를 안전하게 유지할 의무가 있다는 점을 고려해야 합니다. 실수하지 마십시오. 귀하에게는 많은 책임이 있을 수 있지만 귀하의 호스팅 제공업체도 공정한 몫을 맡아야 합니다.
2. 모든 소프트웨어와 플러그인을 최신 상태로 유지하세요.
WordPress 사이트에서 할 수 있는 가장 간단한 일은 모든 것을 최신 상태로 유지하는 것입니다.
WordPress, PHP 등 웹사이트 운영에 필요한 소프트웨어는 지속적으로 개선되고 있습니다. 보안 취약점이 발견되면 더 이상 악용되지 않도록 업데이트가 패치를 제공합니다.
사이트 소유자로서 저지를 수 있는 가장 큰 실수는 업데이트를 적용하지 않는 것입니다. 다음을 포함하여 모든 소프트웨어에 대한 업데이트를 확인하고 적용하는 것(또는 업데이트가 자동으로 실행되도록 하는 것)을 지속적인 우선순위로 삼으십시오.
- 워드프레스 코어
- 모든 WordPress 플러그인
- 워드프레스 테마
- PHP 버전 및 서버 운영 체제
사이버 공격의 높은 비율이 완전히 자동화된다는 점을 기억하십시오. 봇은 사이트에서 알려진 소프트웨어 취약점을 무차별적으로 검사하고 패치가 적용되지 않은 취약점을 악용합니다. 이것이 당신이 되도록 두지 마십시오!
3. 기본 CMS 설정 변경
웹사이트 보안을 강화하는 가장 간단한(아직 종종 간과되는) 단계 중 하나는 CMS 내에서 기본 설정을 변경하는 것입니다. 요즘 WordPress는 기본적으로 보안이 잘 되어 있지만 수행할 수 있는 몇 가지 작업이 있습니다.
- 기본 사용자 이름을 변경합니다. 무차별 대입 공격이 의존하는 한 가지 방법은 기본 관리자 사용자 이름을 추측할 필요가 없다는 것입니다. 바로 "admin"입니다. 이름, 사용자 이름 또는 추측할 수 있는 이름이 아닌 다른 이름으로 변경하면 무차별 공격을 통해 해킹당할 위험이 크게 줄어듭니다.
- 로그인 페이지 URL을 변경하세요. 대부분의 WordPress 설치에 대한 로그인 페이지가 동일하기 때문에 무차별 대입 공격은 일반적으로 성공합니다. 자동화된 시도인 경우 봇은 일반적으로 몇 가지 확실한 URL을 시도한 후 포기합니다. 귀하 또는 귀하가 신뢰할 수 있는 기여자의 IP를 제외하고 액세스를 제한할 수도 있습니다.
- WordPress 업데이트를 활성화합니다. 이제 WordPress 자동 업데이트가 기본적으로 켜져 있지만, 이전 설치가 있는 경우(업데이트를 유지하는 경우에는 사용하지 않아야 함) 플러그인 및 핵심 업데이트가 활성화되어 있는지 확인하세요.
- WordPress의 기본 테이블 접두사를 변경합니다. 이로 인해 공격자가 잘 알려진 wp_ 접두사를 표적으로 삼는 것이 덜 쉬워집니다.
- 대시보드 파일 편집을 비활성화합니다. WordPress 대시보드에서 파일을 편집하는 것은 매우 편리하지만 해커가 침입하여 웹 사이트를 망치는 것이 훨씬 더 쉽습니다.
- WordPress 버전을 숨기세요. 해커가 WordPress의 특정 버전 내에서 알려진 취약점을 쉽게 악용할 수 없도록 이 정보를 숨기세요.
- 파일 권한을 변경합니다. Linux 파일 권한에 대해 잘 알고 있다면 사이트의 권한을 검토하고 너무 쉽게 액세스할 수 있는 항목이 없는지 확인하는 것이 좋습니다.
- 사용자가 쓸 수 있는 디렉터리에서 PHP 실행을 끕니다. 이를 통해 악성 파일을 업로드하고 실행을 시도하는 공격자를 차단하는 동시에 플러그인이 계속 작동할 수 있습니다.
설정을 약간만 조정하면 보안 위반 위험을 크게 줄일 수 있습니다.
4. 사이트 전체에 SSL 인증서 설치
SSL 인증서는 사용자의 브라우저와 웹사이트 서버 간에 전송되는 데이터를 암호화하여 악의적인 제3자의 무단 액세스나 가로채기를 방지합니다.
SSL 인증서로 웹사이트를 보호하는 것은 민감한 데이터를 보호하는 기본 단계일 뿐만 아니라(사용자 로그인이나 신용 카드 정보와 같은 민감한 데이터를 처리하는 작업을 실행하는 경우 법적으로 요구될 수 있음), 사이트 전체의 HTTPS는 모든 데이터가 (로그인 자격 증명부터 결제 정보, 개인 정보까지)은 전송 중에 암호화됩니다.
그러한 정보를 전혀 처리하지 않더라도 필수입니다. 사람들은 종종 그것 없이는 편안함을 느끼지 못합니다. 브라우저는 큰 빨간색 경고 기호와 함께 SSL 인증서가 없음을 큰 소리로 알립니다. 그리고 Google은 SSL 인증서가 없는 사이트에 불이익을 줍니다.
설치는 일반적으로 매우 간단하며 호스팅 제공업체나 도메인 등록 기관에서 무료 SSL 인증서를 제공하는 경우가 많습니다. 설치 후에는 사이트 전체에 보안 연결을 적용하기 위해 웹 사이트의 URL이 HTTP가 아닌 HTTPS를 사용하도록 구성되어 있는지 확인하기만 하면 됩니다.
5. CDN 설치
CDN(Content Delivery Network)은 웹사이트의 성능과 보안을 대폭 강화할 수 있습니다. CDN은 사용자에게 콘텐츠를 더 빠르게 제공하도록 설계된 전 세계에 분산된 서버 네트워크입니다.
이는 보안에 영향을 미치는 것으로 밝혀졌습니다. CDN이 매우 효과적으로 차단할 수 있는 특정 위협 중 하나는 DDoS 공격입니다. DDoS 공격은 트래픽이 너무 많아 웹 사이트가 해킹되는 경우입니다.
CDN은 단 하나의 웹사이트에서만 공격을 가할 필요 없이 여러 서버에 로드를 분산시켜 이러한 무자비한 사이버 공격을 저지합니다.
웹 사이트의 경우 많은 CDN에 웹 애플리케이션 방화벽 및 봇 완화와 같은 훌륭한 추가 보안 기능이 함께 제공되므로 CDN이 더욱 유용할 수 있습니다.
CDN 설치는 일반적으로 서비스에 등록하고 CDN 공급자의 네트워크를 통해 트래픽을 라우팅하도록 DNS 설정을 구성하기만 하면 됩니다. Jetpack과 같은 일부 플러그인에는 사용할 수 있는 WordPress 전용 CDN도 있습니다.
접근 제어 및 사용자 관리
해커가 악용하려고 시도하는 일반적인 취약점 중 하나는 열악한 사용자 액세스 제어입니다. 관리자 계정이 단단히 잠겨 있더라도 하위 수준 계정에 침입하면 사이트 인수에 필요한 영향력을 얻을 수 있습니다.
따라서 강력한 액세스 제어 정책이 필요하고 사용자 권한을 단속해야 합니다.
보안 강화를 위해 액세스 제어 및 사용자 관리를 개선하는 5가지 방법은 다음과 같습니다.
1. 강력한 비밀번호 정책 및 관행 구현
방문자는 사이트의 기초이며 가능한 가장 간단한 로그인 자격 증명을 사용하려는 경우가 많습니다. 그러나 강력한 비밀번호를 사용하도록 요구하지 않으면 초보 해커라도 모든 사람을 위해 사이트를 다운시킬 수 있습니다. 취약하거나 쉽게 추측할 수 있는 비밀번호는 웹사이트의 백엔드에 무단 액세스를 제공할 수 있으므로 보안상 큰 위험이 됩니다.
특히 사이트를 직접 편집할 수 있는 사람과 같이 높은 수준의 역할과 기능을 가진 사용자의 경우 강력하고 복잡하며 추측하기 어려운 비밀번호를 권장할 뿐만 아니라 의무화해야 합니다. 복잡할수록 좋습니다. 일반적이고 쉽게 추측할 수 있는 단어, 문구 또는 패턴을 피하세요. 온라인에서 다른 사람이 사용할 수 있는 정보에 기반하지 않은 대문자, 소문자, 숫자 및 기호를 길게 조합하여 사용하세요.
또한 비밀번호 만료 정책을 구현하여 비밀번호가 한번 손상되면 신속하게 교체되도록 할 수도 있습니다.
2. 2단계 인증(2FA) 필요
모든 중요한 사용자 계정에 2단계 인증을 구현하면 위반을 막을 수 있습니다. 공격자가 사용자의 비밀번호를 알고 있더라도 진입하려면 여전히 2차 인증 방법에 액세스해야 합니다.
널리 사용되는 2단계 인증 방법에는 보조 이메일이나 전화로 자주 전송되는 시간 기반 코드와 Google Authenticator 또는 Authy와 같은 인증 앱이 포함됩니다. 일부 서비스는 지문이나 기타 생체 인식 식별자를 요구하기도 합니다.
Jetpack의 보안 인증 기능을 사용하면 워드프레스닷컴 계정을 통한 로그인을 요구하고, 2단계 인증을 사용하려면 워드프레스닷컴 계정을 요구할 수 있습니다. 올바른 WordPress 사이트의 경우 많은 WordPress 사이트에 대해 이 수준의 보호를 추가하는 편리한 방법입니다.
3. 사용자 역할 및 권한에 주의하세요.
WordPress에서 사용자 역할은 새 페이지를 추가하거나 기존 페이지를 편집하는 기능과 같은 웹사이트 내 다양한 기능에 대한 액세스를 제한합니다.
사용자에게 특정 역할을 할당하고 권한을 정의함으로써 각 사용자가 자신의 책임에 따라 적절한 수준의 액세스 권한을 갖도록 할 수 있습니다.
WordPress에서는 사전 정의된 여러 사용자 역할을 제공합니다.
- 최고 관리자. 다중 사이트 설정의 모든 웹사이트에 대한 전체 관리자 액세스 권한을 갖습니다.
- 관리자. 단일 웹사이트를 완벽하게 제어할 수 있습니다.
- 편집자. 게시물을 작성, 편집, 게시할 수 있습니다.
- 작가. 자신의 게시물만 작성, 편집, 게시할 수 있습니다.
- 기부자. 자신의 게시물을 만들고 편집할 수 있지만 게시할 수는 없습니다.
- 구독자. 댓글을 남기고 사용자 프로필을 변경할 수 있습니다.
또한 사용자 정의 역할을 생성하거나 기존 역할을 편집하여 서로 다른 기능을 갖도록 할 수 있습니다. 일부 플러그인은 자체 역할을 추가하거나 각 플러그인에 대해 켜거나 끌 수 있는 새로운 기능을 추가할 수도 있습니다.
적절한 역할을 할당하면 민감한 데이터에 대한 액세스를 제한하고 낮은 수준의 역할에 무단으로 액세스하는 사람이 너무 많은 피해를 입는 것을 방지할 수 있습니다.
4. 로그인 시도 제한
사용자가 로그인을 시도(및 실패)할 수 있는 횟수를 제한하는 것은 사이트를 보호하는 탁월한 방법입니다.
궁극적으로 금지 기간, 수행된 요청 수, 특정 IP를 차단하는 데 필요한 요청 수, 2FA가 활성화된 경우에만 특정 계정에 대한 금지가 해제되는지 여부에 대한 최종 결정권은 귀하에게 있습니다. 일부 플러그인에 포함된 기능입니다.
우리는 귀하의 사이트를 보호합니다. 당신은 사업을 운영합니다.
Jetpack Security는 실시간 백업, 웹 애플리케이션 방화벽, 맬웨어 검사, 스팸 방지 등 사용하기 쉽고 포괄적인 WordPress 사이트 보안을 제공합니다.
사이트 보안5. 보안 파일 전송 연결(SFTP 또는 SSH) 사용
어느 시점에서는 웹사이트 파일을 편집해야 할 수도 있습니다. FTP(파일 전송 프로토콜)는 빠르고 쉽지만 전송하는 모든 데이터를 암호화되지 않은 상태로 남겨두고 누구나 가로챌 수 있습니다.
여기에는 FTP 로그인 자격 증명, 웹 사이트 파일 및 구성 설정이 포함될 수 있으며, 이에 액세스하면 해커가 웹 사이트에 매우 쉽게 침투할 수 있습니다.
이를 방지하려면 백엔드에서 파일을 관리할 때 SFTP(보안 파일 전송 프로토콜) 또는 SSH(보안 셸, 명령줄 액세스)를 사용하세요. 이러한 프로토콜은 전송 중인 데이터를 암호화하여 보거나 가로채지 못하도록 보호합니다.
파일 전송에 SFTP 또는 SSH를 사용하려면 이러한 프로토콜을 지원하도록 FTP 클라이언트 또는 서버를 구성해야 합니다. 대부분의 웹 호스트도 이를 지원합니다.
실시간 검색 및 백업
최선의 노력에도 불구하고 맬웨어는 여전히 침입할 수 있습니다. 문제가 발생하면 실시간 검색을 통해 침입을 감지할 수 있으며, 맬웨어가 사이트를 손상시키는 경우 백업을 통해 대체할 수 있습니다.
1. 보안 플러그인 또는 모니터링 시스템 설정
보안 플러그인이나 모니터링 플랫폼 없이 웹사이트를 운영해서는 안 됩니다. 의심스러운 실시간 사용자 활동, 로그인 시도 실패, 악성 코드 및 기타 위험 지표를 지속적으로 모니터링해야 합니다.
Jetpack Scan은 귀하의 사이트를 연중무휴 24시간 모니터링하고 문제가 있는 것으로 보이는 경우 즉시 경고를 보냅니다. 원클릭 수정만으로 대부분의 위협을 제거할 수 있습니다. Scan은 웹 애플리케이션 방화벽과 함께 제공되며 자체적으로 사용하거나 Jetpack Backup 및 Akismet 등의 기능을 포함하는 Jetpack Security 번들의 일부로 사용할 수 있습니다.
대부분의 웹 호스트는 또한 애플리케이션 계층의 보안 조치를 보완하는 서버 수준 맬웨어 및 무차별 대입 공격을 추적하는 내장형 보안 모니터링을 제공합니다.
자동화가 플래그를 지정하지 않는 문제의 징후가 있는지 도구 및 플러그인에서 얻는 보안 감사 로그를 자주 검토하십시오.
2. 웹 애플리케이션 방화벽(WAF) 설치
웹 애플리케이션 방화벽은 웹사이트와 인터넷 사이의 방패 역할을 하며 악성 트래픽을 실시간으로 모니터링하고 필터링할 수 있습니다. 여기에는 SQL 주입 시도, XSS(교차 사이트 스크립팅) 공격부터 DDoS 공격까지 모든 것이 포함될 수 있습니다.
WAF는 직면하게 될 가장 일반적인 웹사이트 보안 위협 중 다수를 방어하는 데 도움이 되는 방어선 역할을 합니다. 웹 서버에 직접 설치하거나 Jetpack의 웹 애플리케이션 방화벽과 같은 클라우드 기반 서비스를 통해 완전히 설치할 수 있습니다.
생성되는 로그를 정기적으로 검토하여 다가오는 위협에 앞서 대처하세요.
3. 웹사이트를 정기적으로 백업하세요
정기적인 웹사이트 백업은 데이터 손실, 손상 및 기타 문제 발생에 대비한 안전 장치입니다.
정기적으로 백업을 수행해야 합니다. 실제로 자주 업데이트되지 않는 일부 사이트에서는 매일 백업해도 괜찮을 수 있지만 대부분의 사이트에서는 모든 변경 사항을 저장하는 실시간 백업을 사용해야 합니다.
이러한 백업 파일은 서버 오류나 보안 악용 시 데이터가 손실되지 않도록 웹사이트 서버 외부에 저장해야 합니다. 그렇기 때문에 호스트 제공 백업에만 의존하는 것은 안전한 전략이 아닙니다.
Jetpack VaultPress Backup은 WordPress VIP에서 사용하는 것과 동일한 고급 인프라를 통해 클라우드에 안전하게 저장된 실시간 백업을 통해 가장 강력한 솔루션을 제공합니다.
가장 좋은 점은 웹사이트가 다운된 경우 클릭 한 번으로 복구할 수 있다는 것입니다. Jetpack 앱 또는 WordPress.com 계정을 사용하면 전 세계 거의 모든 곳에서 사이트를 복원할 수 있습니다.
그렇게 간단합니다. 웹사이트가 오프라인 상태가 되거나 데이터가 손실되는 것을 원하지 않습니다. 정기적인 웹사이트 및 데이터베이스 백업을 수행하는 자동화된 솔루션이 필요하므로 이에 대해 걱정할 필요가 없습니다.
Jetpack Backup을 받기만 하면 됩니다 . 전용 VaultPress 플러그인을 통해 단독으로 백업을 받거나 Jetpack Security 플랜을 통해 보다 포괄적인 솔루션의 이점을 누릴 수 있습니다.
WordPress 사이트용 Jetpack 보안 집중 조명
완전한 보안 패키지를 원하는 WordPress 사용자를 위해 Jetpack Security는 광범위한 위협으로부터 보호하고 긴급 상황 시 복구하는 데 도움이 되도록 설계된 강력한 도구 모음을 제공합니다.
실시간 취약점 검색은 진행 중인 취약점이나 침해에 대해 웹사이트를 연중무휴 24시간 모니터링하는 주요 기능 중 하나입니다. 항상 켜져 있는 웹 애플리케이션 방화벽은 잠재적인 위협이 손상되기 전에 포착할 수 있도록 완벽하게 조정되었습니다.
또한 Jetpack Security는 클라우드에 안전하게 저장된 자동화된 실시간 백업을 제공합니다. 어떤 일이 발생하면 클릭 한 번으로 복원할 수 있습니다.
마지막으로 Jetpack Security는 무차별 대입 공격부터 악용 가능한 셸 취약점까지 다양한 위협을 탐지하고 보호합니다.
웹사이트를 보호하는 것은 혼자서는 쉬운 일이 아니지만 Jetpack Security는 가장 어려운 부분을 자동화하여 작업 부하를 잊게 해줍니다.
보너스 팁: 스팸 방지를 위해 CAPTCHA를 사용하지 마세요.
CAPTCHA는 스팸을 방지하기 위해 20년 넘게 사용되어 왔지만, CAPTCHA를 작성하는 것이 얼마나 귀찮은 일인지 아실 것입니다. 왜 방문자에게 그런 일을 시키겠습니까? 더 중요한 것은 CAPTCHA로 인해 반송률이 높아지고 전환율이 낮아질 수 있다는 것입니다.
더 나쁜 것은 봇이 문제를 해결하는 데 점점 더 능숙해지고 있다는 것입니다. 한 연구에서는 AI가 "로봇 방지" CAPTCHA를 거의 100% 해결하는 것으로 나타났습니다.
WordPress용으로 특별히 설계된 강력한 스팸 필터링 서비스인 Jetpack Akismet Anti-spam을 사용해 보세요.
Akismet은 기계 학습의 힘을 활용하여 들어오는 댓글과 양식 제출을 분석하여 사용자의 개입 없이 사이트에서 악성 콘텐츠가 게시되지 않도록 합니다.
스팸을 자동으로 감지하고 차단함으로써 Akismet은 귀하의 마케팅 목표를 방해하지 않으면서도 귀하의 사이트를 원활하고 스팸이 없는 상태로 유지합니다.
독립형 플러그인으로 사용하거나 적격 Jetpack 플랜(Jetpack Security 포함!)을 통해 사용할 수 있습니다.
웹사이트 보안 위반에 대응하는 방법
이러한 모든 사전 조치에도 불구하고 실제로 침입하려는 해커를 막는 것은 어려울 수 있습니다. 신속하고 효과적으로 대응하는 방법을 아는 것은 침해의 영향을 최소화하는 데 중요합니다.
1. 사고 대응 계획 준비
사이버 공격이 발생하기 전에 상세한 사고 대응 계획을 마련해야 합니다. 이를 통해 다양한 보안 위반이 발생할 경우를 위한 절차가 확립되어 신속하고 체계적인 대응이 보장됩니다.
귀하의 비즈니스 또는 프로젝트가 매우 작거나 귀하가 해당 작업을 수행하는 유일한 사람인 경우 해당 계획의 초안을 작성하는 것만으로도 웹 사이트를 수정하고 침입자에게 문을 보여주기 위해 취해야 할 일련의 즉각적인 단계를 안내하는 데 도움이 될 수 있습니다. .
사고 대응 계획을 수립하고 관리하기 위한 몇 가지 고려 사항은 다음과 같습니다.
- 각 개인이나 그룹에 역할과 책임을 할당합니다. 즉시 연락을 받는 사람은 누구인가요? 백업을 복원하는 사람은 누구입니까? 맬웨어 제거는 누가 담당합니까?
- 조직의 수준에 관계없이 해당 사람들과 연락할 수 있는 명확한 의사소통 라인이 있는지 확인하십시오.
- 사이트 훼손부터 DDoS 공격까지 다양한 유형의 보안 사고에 대한 조치를 안내하는 단계별 대응 계획을 개발하세요. 또한 순간의 공황 상태에서 더 많은 피해를 허용하지 않도록 보안 침해를 억제하기 위한 절차도 있어야 합니다.
- 사고 대응 계획을 정기적으로 검토하여 최신 상태인지, 필요한 경우 조치를 취할 수 있는지 확인하세요.
- 코딩과 마찬가지로 사고 대응 계획을 정기적으로 테스트하여 일관성이 있고 따르기 쉬운지 확인하세요.
이와 같은 사전 조치를 취하면 가동 중지 시간을 극적으로 최소화할 수 있습니다. 이는 며칠 동안 다운된 웹사이트와 몇 시간만 다운된 웹사이트의 차이를 나타낼 수 있습니다.
2. 웹사이트를 스캔하세요
보안 위반을 인지한 후에는 Jetpack Scan과 같은 도구를 사용하여 웹 사이트를 완전히 검사하여 남아 있는 악성 파일, 백도어, 비정상적인 코드, 의심스러운 파일 권한, 승인되지 않은 사용자 또는 기타 손상 징후를 식별하십시오.
3. 위반 내용을 억제하고 수정합니다.
보안 침해의 원인과 범위를 파악한 후에는 위협의 모든 흔적을 제거하기 위한 즉각적인 조치를 취하십시오.
Jetpack Security 또는 이와 유사한 기능이 설치되어 있는 경우 일반적으로 원클릭 시련이 발생합니다. 다른 것이 없다면 대부분의 맬웨어가 제거됩니다.
불행하게도 악성 코드는 남은 부분을 남겨 취약점을 열어 해커가 다시 침입할 수 있도록 합니다. 자동화된 스캐너는 일반적으로 이러한 문제도 포착하지만 웹 사이트를 수동으로 살펴보고 이상한 점이 있는지 확인하는 것도 나쁘지 않습니다.
취할 수 있는 몇 가지 조치는 다음과 같습니다.
- 웹 사이트가 손상되었거나 방문자에게 악성 코드와 스팸을 적극적으로 퍼뜨리는 경우 일시적으로 오프라인으로 전환하는 것이 좋습니다.
- 유출된 비밀번호는 즉시 변경하세요.
- 백업을 복원합니다.
- 웹사이트 코드를 실행하여 이전에는 없었던 악성 코드 조각을 찾으세요.
- 웹사이트 파일에 새 파일이 있는지 확인하세요. 무단 변경이 있는지 기존 파일을 검사합니다.
- 승인되지 않은 사용자, 특히 높은 수준의 권한을 가진 사용자가 있는지 확인하십시오.
- 우선 감염의 원인이 된 취약점을 패치하세요. 자동화된 스캐너는 문제를 지적할 수 있어야 합니다.
최악의 경우 웹사이트를 살펴보고 남아 있는 악성 코드를 제거하기 위해 개발자를 고용해야 할 수도 있습니다.
침해 완화에서 웹사이트 백업의 역할
취해야 할 보안 조치가 하나 있다면 백업 설치입니다. 모든 것이 잘못되더라도 최소한 웹사이트를 이전의 손상되지 않은 상태로 복원할 수는 있습니다.
일부 형태의 맬웨어는 발톱을 파고들어 웹사이트를 다시 감염시킬 수 있으므로 이것이 만능 해결책은 아닙니다. 또한 DDoS 공격이나 비밀번호 유출과 같은 문제는 전혀 해결되지 않습니다.
그러나 많은 양의 데이터가 손실되었거나 웹 사이트가 손상된 경우 백업을 통해 비즈니스를 절대적으로 구할 수 있습니다.
그렇기 때문에 클라우드에서 정기적인 백업을 유지하는 것이 중요합니다.
자주 묻는 질문
아직 마음 속에 남아 있을 수 있는 몇 가지 질문으로 모든 것을 마무리해 보겠습니다.
웹사이트 보안이란 무엇입니까?
웹사이트 보안은 사이버 위협으로부터 웹사이트를 보호하기 위해 구현된 다양한 전략과 프로토콜입니다. 보안 호스트 선택부터 웹 애플리케이션 방화벽 설정까지 다양합니다.
웹사이트를 보호하지 않으면 어떤 위험이 있나요?
웹사이트를 보호하지 못하면 악성코드, 데이터 유출, DDoS 공격에 노출될 수 있으며 심지어 웹사이트가 완전히 삭제될 수도 있습니다. 어려운 단어를 망치는 것 외에도 멀웨어와 스팸으로 방문자를 위험에 빠뜨릴 수도 있습니다. 맬웨어 제거도 매우 어려울 수 있습니다.
웹사이트 보안에 백업이 중요한 이유는 무엇입니까?
백업을 사용하면 웹사이트를 이전 상태로 복원할 수 있습니다. 이는 맬웨어 감염, 결함 또는 데이터 손실이 발생한 경우에 유용합니다.
WordPress 웹사이트에만 특정한 보안 문제가 있습니까?
안전하지 않은 플러그인과 테마는 공격 경로를 제공할 수 있지만 모든 유형의 사이트와 통합되는 소프트웨어는 최신 상태로 유지되지 않으면 취약할 수 있습니다.
Jetpack Security는 내 WordPress 사이트를 보호하는 데 어떻게 도움이 되나요?
Jetpack Security는 WordPress를 다양한 위협으로부터 보호하도록 특별히 설계된 포괄적인 웹사이트 보호 기능을 제공합니다. 실시간 클라우드 백업부터 강력한 웹 애플리케이션 방화벽까지 Jetpack Security는 일반적인 문제보다 앞서 나갈 수 있도록 도와줍니다.
내 WordPress 사이트에서 Jetpack 보안을 어떻게 설정할 수 있나요?
JetPack 보안의 이점을 얻으려면 무료 JetPack 플러그인을 설치하고 WordPress.com 계정을 만들어 연결해야합니다. 거기에서 WordPress 사이트를 보호하기 위해 JetPack Security 또는 원하는 개별 구성 요소를 구매할 수 있습니다.
JetPack Security에 대해 어디에서 알 수 있습니까?
궁극적 인 WordPress 플러그인 인 JetPack을 사용하여 웹 사이트 보안에 대해 자세히 알아 보려면 웹 사이트에서 JetPack Security에 대한 모든 내용을 읽을 수 있습니다. 플러그인은 모든 보안 요구에 대한 포괄적 인 솔루션으로 설계되었습니다.