공격 방지를 위한 6단계 WordPress DDoS 보호 계획

게시 됨: 2020-02-20

무스타피즈 / stock.adobe.com

일반적으로 웹 트래픽의 증가는 브랜드에 바람직한 결과입니다. 그러나 수천 건의 동시 요청으로 인해 사이트가 갑자기 넘쳐 사이트가 다운 될 것이라고는 예상하지 못할 수도 있습니다. 안타깝게도 이는 WordPress 사이트에서 분산 서비스 거부 또는 'DDoS' 공격 중에 발생하는 일입니다.

WordPress 사이트에 대한 DDoS 공격 방지

다행히 대부분의 사이버 보안 위협과 마찬가지로 WordPress 사이트에 대한 DDoS 공격 가능성을 최소화하기 위해 취할 수 있는 조치가 있습니다. 보호 계획을 구현하면 인터넷 범죄자가 귀하의 온라인 비즈니스를 손상시키는 것을 막고 방지하는 데 도움이 될 수 있습니다.

이번 포스팅에서는 DDoS 공격이 무엇인지, 어떻게 작동하는지 설명하겠습니다. 그런 다음 사이트에 대한 공격을 방지하는 데 사용할 수 있는 6단계 WordPress DDoS 보호 계획을 제공합니다. 시작하자!

이 기사에서는

  • DDoS 공격이란 무엇입니까?
  • WordPress DDoS 보호 계획 수립의 중요성
  • WordPress 사이트에서 DDoS 공격을 방지하는 방법(6가지 주요 팁)
  • 마무리
WP Buffs 팀은 사이트 소유자, 대행사 및 프리랜서와 협력하여 WordPress 사이트를 연중무휴 24시간 모니터링하고 잠급니다. 하나의 웹사이트를 보호해야 하든, 1,000개의 클라이언트 사이트를 보호해야 하든 우리가 도와드리겠습니다.

DDoS 공격이란 무엇입니까?

DDoS 공격은 일반적으로 봇을 사용하여 짧은 시간 동안 사이트 에 가짜 요청이 넘쳐나는 보안 문제를 말합니다. 조회수는 여러 소스에서 발생하며 목표 웹사이트를 압도하여 충돌을 일으키려는 의도가 있습니다.

수천 건의 요청이 순식간에 이루어질 수 있습니다. 2019년 Imperva에 대한 DDoS 공격을 생각해 보세요. 당시 Imperva의 네트워크는 초당 5억 8천만 패킷(PPS) 에 피해를 입었습니다.

예상치 못한 갑작스러운 가짜 교통 체증의 급증으로 인해 사이트가 마비되어 사이트를 사용할 수 없게 되고 취약해지게 됩니다 . 이러한 공격은 개별 웹사이트나 전체 네트워크를 표적으로 삼을 수 있습니다.

가장 일반적인 유형의 DDoS 공격은 세 가지 범주로 분류됩니다.

  • 볼륨 기반: 대규모 트래픽 급증을 복제합니다.
  • 프로토콜: 서버 리소스를 이용하여 대상 사이트나 네트워크를 충돌시킵니다.
  • 애플리케이션: 웹 애플리케이션을 표적으로 삼는 더욱 정교한 공격입니다.

이런 종류의 공격을 수행하는 방법과 동기는 다양합니다. 해커는 DDoS 공격을 실행하여 WordPress 웹사이트의 취약성을 높일 수 있습니다. 이는 탐지되지 않은 채 사이트에 쉽게 침투할 수 있도록 하는 효과적인 방해 요소가 될 수 있습니다.

그러나 대부분의 경우 그 목적은 주로 타겟 사이트를 파괴하는 것입니다. 예를 들어, 누군가 경쟁사 에 DDoS 공격을 가할 수 있습니다. 이는 악의적이고 극단적인 조치이지만, 특히 다운타임이 비즈니스에 미칠 수 있는 부정적인 영향을 고려할 때 전례가 없는 것은 아닙니다.

WordPress DDoS 보호 계획 수립의 중요성

DDoS 공격의 영향은 비즈니스에 치명적일 수 있습니다. 그에 따른 많은 피해는 장기간의 예상치 못한 가동 중지 시간 으로 인해 발생합니다.

귀하의 사이트를 장기간 사용할 수 없는 경우 어느 정도 사업 손실이 발생할 가능성이 매우 높습니다. 고객이 귀하의 사이트에 접속할 수 없으며 502 잘못된 게이트웨이 오류가 표시될 수 있습니다. 이는 전자상거래 판매 또는 기타 리드 전환을 놓치고 있음을 의미합니다.

사용 불가 시간이 길어지면 검색 엔진 최적화(SEO) 순위에도 타격을 줄 수 있습니다. 가시성이 떨어지면 사이트의 신뢰성을 다시 구축하는 동시에 리드를 유치하기 위해 더 열심히 노력해야 합니다.

또한 DDoS 공격으로 인해 호스팅 문제가 발생할 수 있습니다. 이러한 유형의 보안 위반은 사이트뿐만 아니라 서버의 다른 사이트에도 영향을 미칠 수 있으므로 공유 계획을 사용하는 경우 특히 그렇습니다.

또한 앞서 언급한 것처럼 DDoS 사고는 다른 유형의 공격에 대한 사이트의 취약성을 증가시킬 수 있습니다. 귀하의 사이트를 다시 온라인에 올리려고 노력하는 동안 주의가 산만해지면 귀하의 초점은 보안 시스템 에서 멀어지게 됩니다. 이렇게 하면 해커가 사용자도 모르게 침투하기가 더 쉬워질 수 있습니다.

공격으로부터 복구하려면 많은 비용과 시간이 필요할 수 있습니다. 누군가가 귀하의 WordPress 사이트에 DDoS 공격을 수행하는 것을 반드시 막을 수는 없지만, 피해를 입을 경우 발생하는 피해를 최소화하기 위한 조치를 취할 수 있습니다.

[bctt tweet=” 강력한 WordPress DDoS 보호 계획을 수립하면 중요한 비즈니스 자산을 보호하는 데 도움이 됩니다. #WordPress” 사용자 이름=”thewpbuffs”]

WordPress 사이트에서 DDoS 공격을 방지하는 방법(6가지 주요 팁)

보안 플러그인 사용, 특정 기능 비활성화 등 WordPress 사이트를 보호하는 데 사용할 수 있는 다양한 방법이 있습니다. 올바른 보호 계획을 사용하면 DDoS 공격으로부터 회복하는 능력을 향상시킬 수 있습니다. 이번 섹션에서는 이러한 문제를 예방하기 위한 6가지 팁을 살펴보겠습니다.

  1. WordPress에서 XMLR RPC 및 REST API 비활성화
  2. 사이트에 웹 애플리케이션 방화벽(WAF)을 설치하세요.
  3. 보안 호스팅 제공업체 선택
  4. CDN(콘텐츠 전송 네트워크) 사용
  5. WordPress DDoS 보호 플러그인 다운로드
  6. WordPress 유지 관리 및 모니터링을 우선 순위로 삼기

1. WordPress에서 XML RPC 및 REST API를 비활성화합니다.

WordPress 버전 3.5 출시 이후 기본적으로 XML-RPC를 활성화하는 옵션이 제공되었습니다. 이 기능은 핑백과 트랙백에 유용합니다.

그러나 대부분의 사이트에서 반드시 필요한 것은 아닙니다. WordPress 사이트를 관리하기 위해 모바일 앱을 사용 하는 경우에만 실제로 필요합니다.

XML-RPC는 손상되기 쉽습니다. 즉, DDoS 공격 중에 해커가 악용할 수 있는 취약점을 노출시킵니다. 따라서 비활성화하는 것이 좋습니다.

.htaccess 파일을 편집하여 이를 수행할 수 있습니다. 호스팅 계정 파일 관리자를 통해 열거나 FTP(파일 전송 프로토콜) 및 FileZilla와 같은 FTP 클라이언트를 사용하여 엽니다. 그런 다음 다음 코드 조각을 붙여넣습니다.

 # WordPress xmlrpc.php 요청 차단

주문 거부, 허용
모두를 거부하다

같은 맥락에서 WordPress에서 REST API를 비활성화 하는 것도 현명한 방법입니다. 이는 타사 앱(및 사이버 범죄자)이 귀하의 WordPress 사이트에 액세스할 수 있도록 하는 또 다른 채널입니다.

사이트에서 WordPress API를 비활성화하는 가장 쉬운 방법은 WP Hide & Security Enhancer를 사용하는 것입니다.

WP 숨기기 및 보안 강화제

이 플러그인은 무료로 사용할 수 있으며 구성이 필요하지 않습니다 . 설치하고 활성화한 후 WP Hide > JSON API 로 이동하여 REST API를 비활성화할 수 있습니다.

WP Hide에서 REST API 비활성화

이 플러그인을 사용하여 XML-RPC 기능을 비활성화 할 수도 있습니다. 해당 옵션은 XML-RPC 탭에 있습니다.

2. 사이트에 WAF 설치

한동안 WordPress를 사용해 본 적이 있다면 아마도 WAF가 무엇인지 알고 있을 것입니다. 간단히 말해, 사이트와 악성 트래픽 사이에 보호 계층을 추가하는 일종의 보안 소프트웨어입니다. 사용자 액세스를 제한하고 봇을 필터링하여 DDoS 공격을 방지하는 데 도움이 될 수 있습니다.

WordPress 사이트를 보호하는 데 도움이 되는 다양한 WAF가 있지만 Sucuri를 사용하는 것이 좋습니다.

WordPress DDoS 보호 플러그인인 Sucuri입니다.

Sucuri의 WAF 및 IPS(침입 방지 시스템)는 무차별 공격, 맬웨어 등으로부터 사이트를 보호하는 데 도움이 됩니다. 또한 악성 트래픽을 탐지 하고 다양한 유형의 DDoS 공격을 차단할 수도 있습니다.

Suruci는 선택할 수 있는 다양한 플랜을 제공합니다. 또한 현재 공격을 받고 있는 사이트에 대한 '즉각적인 도움'도 제공합니다.

3. 보안 호스팅 제공업체를 선택하세요

WordPress 사이트에 대한 고품질 호스팅의 중요성은 아무리 강조해도 지나치지 않습니다. 서버는 사이트의 속도와 성능에 영향을 미칩니다 . 그러나 이는 보안에서도 필수적인 역할을 하며 DDoS 공격을 예방하고 복구하는 능력에 영향을 미칩니다.

[bctt tweet=” 호스팅 제공업체를 선택하면 DDoS 공격에 취약해질 수 있습니다. #WordPress” 사용자 이름=”thewpbuffs”]

웹 호스트를 선택할 때 사람들이 흔히 갖는 가장 큰 관심사 중 하나는 비용입니다. 그러나 사이트를 보호하려면 고품질 호스팅에 투자하는 것이 매우 중요합니다. 저렴한 요금제를 선택하면 중요한 비즈니스 자산이 희생될 수 있다는 점을 고려할 때 특히 그렇습니다.

DDoS 공격이 사이트 성능과 가동 시간에 미칠 수 있는 해로운 영향을 고려할 때, 압도적인 트래픽 홍수를 감지하고 처리할 수 있는 호스팅 제공업체와 계획을 선택하는 것이 중요합니다. Kinsta* 및 WP Engine*과 같은 일부 제공업체에는 하드웨어 방화벽 및 CDN 통합과 같은 기능이 내장되어 있습니다.

WP 엔진 호스팅 계획

귀하는 이미 신뢰할 수 있는 프리미엄 호스팅 제공업체를 이용하고 계시기를 바랍니다. 그렇지 않은 경우 보안을 최우선으로 생각하는 완전 관리형 WordPress 호스팅 제공업체로 전환하는 것이 좋습니다. 여기에는 무료 CDN 서비스, 연중무휴 모니터링 및 지원, 맬웨어 검색과 같은 기능이 포함된 계획을 찾는 것이 포함됩니다.

4. CDN을 사용하세요

CDN은 대량의 서버 로드를 처리 하여 WordPress 사이트를 지원하는 데 도움이 되는 추가 네트워크 서버를 제공합니다. 성능 최적화와 관련하여 일반적으로 참조되지만 이 도구는 보안에도 도움이 될 수 있습니다.

기본적으로 CDN은 서버를 압도하는 것을 훨씬 더 어렵게 만들어 DDoS 공격을 방지하는 데 도움이 될 수 있습니다 . 또한 비정상적인 트래픽 패턴을 감지하는 데 도움이 될 수 있으며 경우에 따라 역방향 프록시 역할을 할 수도 있습니다.

CDN 서비스 제공업체는 다양합니다. 그러나 Cloudfare와 같은 거대 시장 중 하나를 선택하는 것이 좋습니다.

Cloudfare 웹사이트 홈페이지.

Cloudfare는 DDoS 보호 및 완화 에 도움이 될 수 있는 계층화된 보안 접근 방식을 취합니다. 선택할 수 있는 다양한 프리미엄 요금제가 있지만 Global CDN을 무료로 사용할 수 있습니다. 또 다른 이점은 해당 WordPress 플러그인을 통해 웹사이트와 쉽게 통합 할 수 있다는 것입니다.

5. WordPress DDoS 보호 플러그인 다운로드

보안 플러그인을 사용하면 번거로운 여러 작업을 간소화하여 많은 시간과 에너지를 절약할 수 있습니다. 일부에는 WordPress 사이트에 대한 DDoS 공격을 방지하는 데 필수적인 기능도 있습니다.

위에서 언급했듯이 WAF는 사이트를 보호하는 데 매우 유용할 수 있습니다. 기본 제공되는 보안 플러그인을 설치하는 것은 WordPress 설치에 보호 기능을 추가하는 빠른 방법 입니다.

또한 로그인 시도 제한, 잘못된 URL 및 악의적인 IP 주소 감지, 봇 차단과 같은 기능이 모두 공격 완화에 도움이 됩니다. 따라서 Wordfence와 같은 WordPress DDoS 보호 플러그인을 다운로드하는 것이 좋습니다.

Wordfence WordPress 플러그인.

Wordfence는 위에서 언급한 모든 기능과 그 이상을 수행할 수 있습니다. 이 WordPress 보안 플러그인에는 실시간 트래픽 및 방문은 물론 활동 급증을 모니터링하는 도구도 포함되어 있습니다.

다양한 플러그인 기능을 무료로 다운로드하여 사용할 수 있습니다. 그러나 실시간 Threat Defense 피드를 포함한 전체 보안 기능에 대한 액세스를 잠금 해제하는 프리미엄 버전도 제공합니다.

6. WordPress 유지 관리 및 모니터링을 우선 순위로 삼기

웹사이트 관리에 있어서 가장 좋은 보호 방법은 예방입니다 . WordPress 사이트에 대한 DDoS 공격 가능성을 최소화하려면 정기적인 유지 관리 및 모니터링을 우선적으로 수행하는 것이 중요합니다.

사이트를 정기적으로 유지 관리하면 사이트를 최상의 상태로 유지하고 궁극적으로 침입자가 악용할 수 있는 취약점의 수를 줄이는 데 도움이 됩니다. 정기적인 모니터링을 통해 의심스러운 활동이 심각한 피해를 입히기 전에 발견할 수 있습니다.

적절한 유지 관리 및 모니터링에는 다음을 포함하여 많은 작업이 포함됩니다.

  • WordPress, 플러그인, 테마 업데이트
  • 가동시간 모니터링
  • 자동 백업
  • 속도 최적화
  • 악성 코드 검사 및 제거

이러한 작업을 완벽하게 수행하는 것은 시간이 많이 걸리는 프로세스일 수 있지만 반드시 필요한 프로세스입니다. WP Buffs에서 제공하는 것과 같은 WordPress 케어 플랜에 가입하면 훨씬 더 쉽게 만들 수 있습니다.

WP 버프 WordPress 관리 계획

전문적인 유지 관리를 통해 귀하의 사이트가 적절하게 관리되고 있음을 알 수 있어 마음의 평화를 얻을 수 있습니다. 또한 자신의 일정에 맞춰 다른 긴급한 비즈니스 문제에 집중할 수 있는 시간을 확보할 수 있습니다 .

마무리

오늘날 세상에 존재하는 광범위한 보안 위협을 고려할 때 이러한 위협을 모두 파악하는 것은 부담스러울 수 있습니다. 그러나 DDoS 공격의 빈도와 심각도가 모두 증가함에 따라 WordPress 사이트가 적절하게 보호되는지 확인하는 것이 그 어느 때보다 중요해졌습니다.

이 게시물에서는 WordPress 사이트에 대한 DDoS 공격을 중지하고 예방하는 데 사용할 수 있는 6가지 팁에 대해 논의했습니다.

  1. WordPress에서 XMLR RPC 및 REST API를 비활성화합니다.
  2. 귀하의 사이트에 WAF를 설치하십시오.
  3. 안전한 호스팅 제공업체를 선택하세요.
  4. CDN을 사용하세요.
  5. WordPress DDoS 보호 플러그인을 다운로드하세요.
  6. WordPress 유지 관리 및 모니터링을 우선순위로 삼으세요.

WordPress 사이트 관리 및 유지 관리를 우선순위로 삼고 싶지만 시간이 있는지 확실하지 않은 경우 WP Buffs에서 작업을 아웃소싱하는 것을 고려해보세요 . 우리의 포괄적인 사이트 관리 계획은 적절한 플러그인 설치부터 철저한 사이트 보안 검사 수행에 이르기까지 모든 것을 도와드릴 수 있습니다.

피드백을 제공하고 싶거나 대화에 참여하고 싶으신가요? Twitter에 의견을 추가하세요.

이미지 크레디트: 스캇 웨버.