WordPress 강화 방법: 필수 도구가 포함된 18단계 가이드

WordPress 웹사이트는 잘 관리되지 않으면 취약해질 수 있습니다. 몇 가지 건너뛴 업데이트나 잘못된 플러그인으로 인해 사이트가 위험에 처해 있습니다. 공격자는 로그인 페이지가 제대로 보호되지 않은 경우 로그인 페이지를 통해 침입하거나 DDoS(분산 서비스 거부) 공격으로 사이트를 중단시킬 수도 있습니다.

우울함과 파멸이 너무 많습니까?

고맙게도 WordPress를 강화하는 데 필요한 조치를 취하면 이러한 공격을 쉽게 예방할 수 있습니다. 콘텐츠 관리 시스템(CMS)을 사용하면 사이트 설정을 완벽하게 제어할 수 있습니다. 즉, 다양한 유형의 공격으로부터 사이트를 보호하기 위한 전략을 구현할 수 있습니다.

이 기사에서는 WordPress 보안에 대한 전체 과정을 제공합니다. 어떤 도구를 사용해야 하는지 논의하고, WordPress를 강화하기 위한 18단계를 살펴보고, Jetpack Security가 단일 플러그인으로 사이트를 안전하게 유지하는 데 어떻게 도움이 되는지 보여드리겠습니다. 시작해 봅시다!

WordPress 사이트 강화의 중요성

사이버 공격자는 악용할 수 있는 취약점이 있는 사이트를 찾기 위해 웹을 샅샅이 뒤지는 경향이 있습니다. 귀하의 사이트가 비교적 새로운 경우에도 공격자는 여전히 해당 사이트를 표적으로 삼아 맬웨어를 배포하거나 데이터를 훔칠 수 있습니다.

따라서 WordPress 보안은 모든 웹사이트에 매우 중요합니다. 이 글을 쓰는 시점에서 문서화된 WordPress 취약점은 50,000개 이상입니다. 여기에는 알려진 취약한 플러그인 7,800개 이상과 약 670개 테마가 포함됩니다.

WordPress의 인기가 높아지고 시장에 출시된 수많은 새로운 플러그인과 테마로 인해 취약점은 해마다 계속해서 증가하고 있습니다.

귀하의 사이트가 타겟으로 지정되면 해당 사이트에 액세스할 수 없게 되고 데이터가 손상될 수 있습니다. 위반의 심각도에 따라 웹사이트를 복구하는 데 시간이 걸릴 수 있으며 이로 인해 많은 전환 손실이 발생할 수 있습니다. 또한 대규모 온라인 비즈니스를 운영하는 경우 사이버 범죄의 피해자가 되면 심각한 재정적 손실을 초래할 수 있습니다.

좋은 소식은 WordPress 웹사이트를 보호하기 위해 할 수 있는 일이 많다는 것입니다. 하지만 보안을 유지하려면 적극적으로 대처해야 합니다.

WordPress 사이트를 강화하는 필수 도구

이 가이드 전체에서 사용할 수 있는 여러 보안 도구를 참조하겠습니다. 이는 WordPress 사이트를 강화하기 위한 조치를 구현하는 데 도움이 됩니다. 그들이 무엇인지 살펴 보겠습니다.

1. 취약점 스캐너

취약점 스캐너는 웹사이트를 통해 보안 문제를 조사하는 소프트웨어입니다. WordPress의 경우 스캐너는 사이트의 파일, 플러그인 및 테마를 조사하여 공격자가 악용할 수 있는 잠재적인 보호 공백을 찾습니다.

스캐너는 찾은 데이터를 WPScan과 같은 취약점 데이터베이스와 비교합니다. 이는 지속적으로 업데이트되는 알려진 WordPress 보안 취약점에 대한 최대 규모의 데이터베이스입니다.

Jetpack Protect는 웹사이트에서 취약점을 검색할 때 최고의 옵션입니다. 플러그인을 사용하면 웹사이트에서 자동 스캔을 실행하여 WPScan 데이터베이스를 활용할 수 있습니다.

Jetpack이 취약점을 감지하면 사용자에게 알리고 문제 해결 방법을 보여줍니다. 대부분의 경우 취약한 플러그인이나 테마를 삭제하거나 업데이트하는 작업이 포함됩니다.

2. 악성코드 스캐너

맬웨어 스캐너는 취약점 스캐너와 유사하게 작동합니다. 이 경우 소프트웨어는 감염된 파일을 찾아 웹 사이트에서 악성 코드를 제거할 수 있도록 해당 파일을 격리하거나 삭제하는 데 중점을 둡니다.

대부분의 경우 취약점과 맬웨어 스캐너는 함께 작동합니다. 예를 들어 WPScan은 WordPress 웹 사이트의 취약점과 악성 코드를 모두 식별하는 데 도움이 될 수 있습니다.

Jetpack을 사용하고 보안 플랜에 액세스할 수 있는 경우(또는 Protect를 프리미엄으로 업그레이드) 플러그인이 웹사이트에서 맬웨어 및 취약점을 검사합니다. 귀하의 웹사이트에 문제가 발견되면 플러그인은 이러한 문제를 해결할 수 있는 옵션을 제공하며, 대개 한두 번의 클릭만으로 가능합니다.

3. 웹 애플리케이션 방화벽(WAF)

여러분은 아마도 방화벽의 개념에 익숙할 것입니다. 이것은 서버나 컴퓨터에서 들어오거나 나가는 트래픽을 차단하는 프로그램입니다.

웹 애플리케이션 방화벽(WAF)도 비슷하게 작동합니다. 이는 들어오는 악성 트래픽을 차단하거나 사이트의 맬웨어가 정보를 보내는 것을 방지하도록 설계되었습니다.

대부분의 WAF에는 차단할 연결 종류에 대한 규칙이 사전 구성되어 있습니다. 설정에 따라 알려진 악성 IP 주소도 식별할 수 있습니다.

Jetpack Protect에는 구성 설정이 간단한 WAF가 포함되어 있습니다. Jetpack의 보안 전문가가 정기적으로 제공하고 업데이트하는 자동 규칙을 사용하도록 WAF를 설정할 수 있습니다. 이러한 자동 규칙은 심각도가 높은 악용을 차단하기 위해 만들어졌으므로 확장 프로그램에 취약점이 있는 경우에도 WAF 규칙이 사이트를 보호할 수 있습니다.

플러그인을 사용하면 특정 IP 주소를 허용 목록이나 차단 목록에 추가할 수도 있습니다. 이는 대시보드에 액세스할 수 있는 사람을 제한하려는 경우 유용할 수 있습니다.

4. 오프사이트 백업 솔루션

백업 도구는 웹사이트의 복사본을 만들고 필요한 경우 복원합니다. 백업의 기본 개념은 사이트가 오작동하거나 쉽게 해결할 수 없는 보안 문제에 직면할 경우를 대비해 항상 사이트의 최신 복사본을 보유한다는 것입니다.

보안을 강화하려면 사이트 중 하나가 실패할 경우를 대비해 사이트 안팎에 백업을 저장하는 것이 좋습니다. 이렇게 하면 웹사이트의 데이터가 실제로 손실되는 일이 없습니다.

사이트를 수동으로 백업할 수도 있지만 Jetpack VaultPress Backup과 같은 전용 플러그인을 사용하면 마음의 평화를 얻고 전체 프로세스를 자동화할 수 있습니다.

이 플러그인은 웹사이트의 실시간 백업을 생성하고 이를 최대 30일 동안 사이트 외부에 저장합니다. 이 모든 작업은 자동으로 수행되지만 원하는 경우 수동 백업을 직접 생성할 수도 있습니다.

Jetpack은 사이트에 대한 모든 변경 사항을 즉시 저장합니다. 이렇게 하면 최근 백업을 복원해야 할 때 부분적인 데이터 손실 위험이 제거됩니다. 활동 로그로 가서 복원하려는 날짜와 시간을 선택하기만 하면 Jetpack이 사이트를 즉시 복원하기 시작합니다(완전히 오프라인인 경우에도 마찬가지).

활동 로그에 대해 말하자면…

5. 사이트 변경 사항을 모니터링하기 위한 활동 로그

활동 로그는 웹사이트에서 일어나는 일을 분석하여 제공하는 도구입니다. 이러한 로그를 사용하여 로그인, 플러그인 설치, 게시물 업로드, 사이트 구성 변경 등 다양한 종류의 활동을 모니터링할 수 있습니다.

활동 로그의 중요성은 아무리 강조해도 지나치지 않습니다. 웹사이트를 운영하기 위해 다른 사람들과 협력하는 경우, 이 도구를 사용하면 다른 사람들이 무엇을 하고 있는지에 대한 통찰력을 얻을 수 있습니다.

활동 로그를 사용하여 문제를 해결할 수도 있습니다. 예를 들어, 취약점 스캐너가 갑자기 플러그인 문제를 감지한 경우 로그를 확인하여 플러그인을 언제, 누가 설치했는지 확인할 수 있습니다.

Jetpack에는 사이트의 최근 20개 이벤트를 볼 수 있는 무료 WordPress.com 계정과 함께 활동 로그가 포함되어 있습니다. 프리미엄 라이선스를 사용하면 최소 지난 30일 동안의 이벤트에 액세스할 수 있습니다.

WordPress 사이트를 강화하는 18단계 방법

이전 섹션에서 다룬 도구 외에도 WordPress를 강화하기 위한 단계도 수행해야 합니다. 귀하의 사이트에 대한 가장 중요한 보안 조치는 다음과 같습니다.

1. 사이트 백업

백업은 아마도 포괄적인 보안 전략에서 가장 중요한 부분일 것입니다. 항상 최신 백업을 유지한다는 것은 웹사이트가 공격을 받거나 맬웨어에 감염된 경우 언제든지 콘텐츠를 복원할 수 있다는 것을 의미합니다.

이상적으로는 백업을 자동화하는 플러그인을 사용하게 됩니다. 이렇게 하면 웹 사이트를 크게 변경한 후 백업 수행을 잊어버릴 위험이 사라집니다.

앞서 언급한 대로 Jetpack VaultPress Backup은 단독으로 포함되거나 Jetpack Security와 같은 적격 계획에 포함되는 강력한 백업 솔루션입니다. 실시간 백업 시스템을 사용합니다. 즉, 사이트를 변경할 때마다 저장되므로 새로운 수정 사항이 모두 즉시 보호됩니다.

이 시스템은 예약된 백업보다 바람직합니다. 후자를 사용하면 마지막 복원 지점이 너무 멀리 떨어져 있으면 데이터가 손실될 위험이 있습니다. VaultPress Backup을 사용하는 경우 이는 문제가 되지 않습니다.

2. 올인원 보안 플러그인 설치

선택할 수 있는 WordPress 보안 플러그인이 많이 있습니다. 일부 도구는 WAF 또는 2단계 인증(2FA) 활성화와 같은 특정 목적을 위해 설계되었습니다. 다른 사람들은 보다 전체적인 접근 방식을 취하고 여러 기능을 결합하여 사이트를 보호합니다.

올인원 보안 플러그인의 기본 아이디어는 웹사이트에 설정해야 하는 타사 도구의 수를 최소화하는 동시에 가능한 한 많은 기능에 액세스하는 것입니다.

Jetpack은 광범위한 보안 기능을 제공합니다. 무료 플러그인을 선택하면 활동 로그, WAF 기능, 보안 인증 옵션 등에 액세스할 수 있습니다.

Jetpack 보안 플랜에 가입하면 플러그인이 제공하는 보안 기능의 범위를 확장할 수 있습니다. 이 계획을 통해 백업 솔루션, 원클릭 수정 기능을 갖춘 자동화된 맬웨어 검사, 스팸 방지 등에 대한 액세스를 얻을 수 있습니다.

가치 측면에서 Jetpack Security는 WordPress 사용자에게 가장 포괄적인 보안 솔루션 중 하나를 제공합니다. 원하는 경우 언제든지 무료 플러그인을 사용하여 시작하고 편안해지면 프리미엄 버전으로 업데이트할 수 있습니다.

3. WordPress 코어 업데이트

WordPress를 최신 버전으로 업데이트하는 것은 웹사이트 보안을 강화하기 위해 할 수 있는 가장 중요한 일 중 하나입니다. 최신 버전에는 보안 수정 사항과 개선 사항이 포함되는 경향이 있기 때문입니다. 또한 소프트웨어 개발자는 긴급한 취약점을 수정하기 위해 패치를 출시하는 경우가 많습니다.

오래된 버전의 WordPress를 사용하면 플러그인 및 테마와의 호환성 문제가 발생할 수도 있습니다. 이로 인해 웹사이트의 주요 요소가 작동하지 않을 수 있습니다.

WordPress를 최신 상태로 유지하는 것은 간단합니다. 대시보드에 액세스하면 WordPress에서 사용 가능한 업데이트가 있는지 알려줍니다. 대시 보드 → 업데이트를 클릭하여 WordPress를 업데이트할 수 있습니다.

플러그인이나 테마가 최신 버전을 지원하지 않는 경우 WordPress를 업데이트하면 호환성 문제가 발생할 수 있습니다. 이 문제를 복구하려면 주요 업데이트 전에 사이트 백업을 생성하는 것이 좋습니다.

VaultPress Backup을 사용하는 경우에는 이것이 필요하지 않습니다. 플러그인은 사이트를 실시간으로 백업하므로 사이트를 복원해야 하는 경우를 대비해 업데이트 전에 복원 지점을 사용할 수 있습니다.

4. 사용하지 않는 플러그인 및 테마 제거

사이트가 성장함에 따라 새로운 플러그인이 필요할 수도 있고 다른 테마로 전환할 수도 있습니다. 이로 인해 사이트에 더 많은 취약점이 발생할 수 있습니다. 경험상 더 이상 필요하지 않은 플러그인이나 테마를 제거하는 것이 좋습니다.

과정은 간단합니다.

대시보드에서 플러그인이나 테마 페이지로 이동하세요. 그런 다음 더 이상 사용하지 않는 항목을 비활성화하고 삭제하세요.

나중에 이러한 플러그인 중 일부를 다시 설치하기로 결정하더라도 괜찮습니다. 설정을 다시 구성해야 할 수도 있지만 설치하고 활성화하는 데 몇 분밖에 걸리지 않습니다.

5. 나머지 플러그인과 테마를 모두 업데이트하세요.

플러그인 및 테마 목록을 정리한 후에는 사이트의 나머지 요소 중 업데이트가 필요한 요소가 있는지 확인하고 싶을 것입니다. 플러그인 및 테마 업데이트는 가장 일반적인 공격 벡터이기 때문에 보안 측면에서 WordPress 핵심 업데이트만큼 중요할 수 있습니다.

대시보드에 액세스하면 WordPress에서 사용 가능한 플러그인 및 테마 업데이트에 대해 알려줍니다. 이상적으로는 새 버전이 출시되는 즉시 사이트의 구성 요소를 업데이트하는 것이 좋습니다.

대시보드의 플러그인 및 테마 페이지에서 이 작업을 수행할 수 있습니다.

너무 바빠서 매일 사이트를 확인할 수 없다면 각 플러그인에 대해 자동 업데이트를 활성화할 수 있습니다. 이는 간단한 방법이지만 웹사이트의 취약점 위험을 대폭 최소화할 수 있습니다.

6. 강력한 비밀번호 정책 시행

웹 사이트 위반은 WordPress 취약점이 아니라 사람의 실수로 인해 발생하는 경우가 많습니다. 많은 사람들이 약한 자격 증명을 사용하여 웹 사이트에 로그인하므로 해커가 대시보드에 더 쉽게 액세스할 수 있습니다.

이를 방지하는 가장 좋은 방법은 강력한 비밀번호 정책을 시행하는 것입니다. WordPress 웹사이트에 계정을 등록하면 보안 비밀번호가 생성됩니다.

Jetpack을 사용하면 로그인 페이지를 더욱 안전하게 보호하는 데 사용할 수 있는 2단계 인증(2FA) 기능에도 액세스할 수 있습니다.

이는 사이트에 여러 사용자(예: 작성자 및 상점 관리자)가 있는 경우 매우 유용할 수 있습니다. 사용자가 취약한 비밀번호를 고수하더라도 2FA를 대체하여 이러한 자격 증명에 액세스하는 공격자로부터 웹사이트를 보호할 수 있습니다(자세한 내용은 나중에 설명).

7. 로그인 시도 제한

일반적으로 누군가 자신의 로그인 세부 정보를 기억하지 못하는 경우 일반적으로 몇 가지 다른 자격 증명을 시도한 다음 비밀번호 재설정을 요청합니다.

활동 로그를 통해 개인이 수많은 사용자 이름과 비밀번호 조합을 시도하고 있는 것을 발견하면 아마도 공격을 받고 있는 것일 수 있습니다. 그렇기 때문에 특정 기간 내에 사용자가 로그인을 시도할 수 있는 횟수를 제한하는 것이 좋습니다.

이는 Jetpack에서 사용할 수 있는 기능입니다. 플러그인은 알려진 악성 IP 주소를 인식하고 해당 주소의 로그인 시도를 차단할 수 있는 무차별 대입 보호 기능을 제공합니다.

Jetpack에서는 무차별 대입 보호가 기본적으로 활성화되어 있습니다. Jetpack → 설정으로 이동하여 구성을 검토할 수 있습니다. 여기에서 허용된 IP 주소를 추가할 수도 있으므로 Jetpack이 실수로 로그인 페이지에 액세스하는 것을 차단하지 않습니다.

8. 2FA로 로그인 보안 강화

최근 설문조사에 따르면 개발자 중 40% 이상이 2FA 구현을 최우선 과제로 고려하고 있는 것으로 나타났습니다. 이 조치는 공격자가 훔친 자격 증명을 사용하여 웹 사이트에 액세스할 위험을 최소화합니다.

이중 인증은 많은 사용자가 취약한 비밀번호를 갖고 있거나 다양한 사이트에서 자격 증명을 재사용하기 때문에 중요한 보안 기능입니다. 2FA를 사용하면 이러한 사용자에게 다른 형태의 인증을 제공하도록 요구합니다.

논의한 대로 Jetpack을 사용하면 WordPress 웹사이트에 2FA를 사용할 수 있습니다. 이를 위해서는 사용자가 WordPress.com 계정을 설정해야 합니다. 그런 다음 이 계정을 사용하여 다른 WordPress 웹사이트에 로그인할 수 있습니다. WordPress의 오픈 소스 버전을 사용하는 웹사이트라도 가능합니다.

2FA는 Jetpack 무료 버전에서 사용할 수 있습니다. 이 기능은 켜거나 끌 수 있으며 WordPress.com에 의존하므로 구성하기 위해 고급 설정을 조작할 필요가 없습니다.

9. 사용하지 않는 사용자 계정 제거

비활성 사용자 계정은 특히 높은 수준의 권한을 갖고 있는 경우 웹 사이트에 보안 위험을 초래할 수 있습니다(이에 대해서는 다음 섹션에서 자세히 설명하겠습니다). 이러한 계정은 자격 증명이 손상되어 웹에서 공유될 수 있으므로 보안 위반에 대한 추가 기회를 제공합니다.

이것이 바로 많은 웹사이트가 장기간 비활성 상태인 경우(물론 경고 후) 계정을 자동으로 삭제하는 이유입니다. WordPress에서는 사용자 목록에 대한 완전한 제어권을 제공하므로 원하는 대로 사용자를 추가하거나 삭제할 수 있습니다.

사용자 삭제는 간단한 과정입니다. 사용자 → 모든 사용자 로 이동합니다. 계정을 찾아 삭제 옵션을 선택하세요. WordPress에서는 확인을 요청하지만 사용자 자체가 계정 삭제를 승인할 필요는 없습니다.

계정을 삭제하기 전에 사용자에게 연락하는 것이 좋습니다. 그러나 계정이 수년간 비활성 상태였다면 아마도 삭제되어야 할 것입니다.

10. 나머지 사용자에게 올바른 역할을 할당합니다.

사용자 목록을 정리한 후 다음 단계는 나머지 사용자에 대한 권한을 검토하는 것입니다. WordPress는 각 역할에 미리 정해진 권한 세트가 있는 간단한 역할 시스템을 사용합니다.

모든 WordPress 설정에 대한 전체 액세스 권한이 있는 유일한 사용자 역할은 관리자입니다. 보안을 위해 관리자는 한 명만 있어야 합니다. 다른 WordPress 역할에는 작성자, 편집자, 기여자 및 구독자가 포함됩니다.

일부 플러그인은 업데이트된 권한을 가진 새로운 사용자 역할도 추가합니다.

각 역할에는 사용자가 특정 작업을 수행할 수 있는 권한이 제공됩니다. 예를 들어 작성자는 자신의 게시물을 게시하고 편집할 수 있지만 다른 사용자가 만든 게시물은 게시할 수 없습니다.

이상적으로는 어떤 사용자도 필요한 것보다 더 많은 권한을 부여하는 역할을 가져서는 안 됩니다. 잘못된 역할을 할당하면 사용자가 건드리지 말아야 할 WordPress 설정을 변경할 수 있으므로 보안 문제가 발생할 수 있습니다.

사용자 목록을 정기적으로 검토하여 모든 사람에게 올바른 역할이 할당되었는지 확인하는 것이 중요합니다. 이 간단한 방법은 잘못된 권한을 가진 팀원으로 인해 발생하는 보안 문제를 최소화하는 데 도움이 됩니다.

11. 기본 "관리자" 계정의 이름을 바꿉니다.

WordPress 관리자 계정은 공격자에게 가장 중요한 계정입니다. 해당 사용자가 액세스 권한을 얻게 되면 데이터를 훔치고 악성 코드를 심는 등 귀하의 웹 사이트에서 원하는 모든 작업을 수행할 수 있습니다.

기본적으로 WordPress에서는 관리자 계정에 admin 사용자 이름을 사용합니다. 계정을 만드는 동안 이를 변경할 수 있지만 나중에는 변경할 수 없습니다.

관리자 사용자 이름을 사용하는 경우 대부분의 공격자가 쉽게 추측할 수 있으므로 비밀번호만 알아내면 됩니다. WordPress에서는 관리자라도 기존 사용자 이름을 변경할 수 없습니다.

이를 방지하려면 더 강력한 사용자 이름을 사용하여 새 관리자 계정을 만든 다음 첫 번째 계정을 삭제할 수 있습니다. 이 작업은 관리자인 경우에만 수행할 수 있습니다.

12. 기본 데이터베이스 접두사 변경

기본적으로 WordPress는 사이트 데이터베이스에 wp_ 접두사를 사용합니다. 이렇게 하면 데이터베이스 이름을 상대적으로 쉽게 추측할 수 있으며, 이는 공격자가 해당 데이터베이스에 연결하는 데 도움이 될 수 있습니다.

해당 접두사를 변경하면 데이터베이스를 식별하는 자동화된 SQL 주입 도구의 위험을 줄일 수 있습니다. 이상적으로는 설정 프로세스 중에 이 작업을 수행하는 것이 좋습니다. WordPress 설정 마법사는 웹 사이트를 설정하기 전에 사용할 데이터베이스 접두사를 묻습니다.

사이트가 이미 활성화된 경우 wp-config.php 파일을 수정하여 데이터베이스 접두사를 변경해야 합니다. 파일 전송 프로토콜(FTP)을 사용하여 웹사이트에 연결하고 WordPress 루트 디렉터리에서 wp-config.php 파일을 찾습니다.

파일을 편집하고 $table_prefix = 'wp_';라는 줄을 찾으세요. 계속해서 wp_ 값을 사용하려는 접두어로 바꾸십시오. 파일을 저장하고 닫을 때 FTP 클라이언트가 변경 사항을 업로드해야 합니다.

이제 phpMyAdmin을 사용하여 데이터베이스에 액세스하십시오. 데이터베이스를 선택하고 SQL을 사용하십시오. 탭을 클릭하여 데이터베이스의 각 테이블에 대해 다음 쿼리를 실행합니다.

RENAME 테이블 wp_xxxx TO otherprefix_xxxx;

실제 생활에서는 쿼리가 어떻게 표시되어야 하는지는 다음과 같습니다.

이는 매우 민감한 프로세스이므로 접두사 변경을 시도하기 전에 전체 사이트 백업(데이터베이스 포함)이 있는지 확인해야 합니다.

프로세스가 완료되면 웹사이트가 제대로 작동하는지 확인하세요. 오류가 발생하면 데이터베이스 테이블 중 하나의 이름을 바꾸는 것을 잊었거나 잘못된 쿼리를 실행했을 수 있습니다.

13. /wp-admin 및 /wp-login.php 숨기기

아마도 이 두 URL 접미사를 모두 알고 계실 것입니다. WordPress에 로그인하고 대시보드에 액세스하는 데 사용됩니다. 기억하기 쉽지만 해커가 웹사이트에 더 쉽게 접근할 수 있습니다.

보안 관점에서 보면 두 URL에 서로 다른 접미사를 사용하는 것이 더 합리적입니다. 시작하려면 WordPress 로그인 URL을 변경하는 방법에 대한 이 튜토리얼을 확인하세요. 여기에는 wp-login 및 wp-admin.php를 수동으로 변경하거나 플러그인을 사용하여 변경하는 지침이 포함되어 있습니다.

14. 데이터 암호화를 위한 SSL 인증서 설치

요즘에는 웹사이트에서 SSL(Secure Sockets Layer) 인증서를 사용하지 않을 이유가 없습니다. 이러한 인증서는 사이트의 적법성을 검증하고 HTTPS 프로토콜을 사용하여 암호화된 데이터를 보내고 받을 수 있도록 해줍니다.

일부 브라우저는 사이트 연결이 안전하지 않거나 SSL 인증서가 유효하지 않거나 만료된 경우 사용자에게 경고합니다.

이 가이드에 따라 웹사이트에 대한 무료 SSL 인증서를 받고 설치할 수 있습니다. 자동 설정과 함께 무료 SSL 인증서를 제공하는 Jetpack의 권장 웹 호스트 중 하나를 사용할 수도 있습니다.

15. IP 주소로 FTP 액세스 제한

기본적으로 웹 사이트의 FTP 자격 증명에 액세스할 수 있는 사람은 누구나 해당 프로토콜을 사용하여 웹 사이트에 연결할 수 있습니다. 즉, 공격자가 귀하의 자격 증명을 손에 넣으면 사이트의 거의 모든 측면을 수정할 수 있습니다.

일부 웹 호스트는 IP 주소로 액세스를 제한하는 등 고급 FTP 보안 조치를 제공합니다. 이를 통해 FTP를 통해 웹사이트에 연결할 수 있는 주소를 선택할 수 있습니다.

FTP를 통해 액세스해야 하는 관리자 및 기타 팀 구성원에게만 필요한 권한이 있어야 합니다. 이를 통해 보안 사고를 최소화하고 WordPress에 문제가 발생한 경우 주요 파일을 변경한 사람을 식별하는 데 도움이 될 수 있습니다.

이상적으로는 FTP를 전혀 사용하지 않고 대신 SFTP 또는 SSH를 선택하여 서버에 액세스합니다.

이 프로세스는 웹 호스트에 따라 다릅니다. 호스팅 제공업체에서 IP 주소별로 FTP 액세스를 제한할 수 있는지 여부가 확실하지 않은 경우 해당 제공업체의 설명서를 확인하세요.

16. 파일 및 디렉터리 권한 보호

UNIX 기반 시스템은 숫자 집합을 기반으로 한 권한 규칙을 사용합니다. 개별 파일과 디렉터리에는 액세스, 편집, 실행할 수 있는 사람을 제어하는 ​​다양한 권한 집합이 있을 수 있습니다.

WordPress 개발자 핸드북에서 UNIX 권한이 작동하는 방식에 대해 자세히 알아볼 수 있습니다.

지금은 WordPress 웹사이트와 해당 파일 시스템에 이상적인 권한 수준이 있다는 점에 유의하는 것이 중요합니다.

이것들은:

• 파일의 경우 644 또는 640입니다. 첫 번째 숫자 집합은 소유자에게 파일에 대한 전체 읽기 및 쓰기 액세스 권한을 부여하며 그룹의 다른 사용자에게는 읽기 액세스 권한만 부여합니다. 두 번째 권한 집합은 사용자에게 읽기 액세스 권한을 제공하지 않습니다.
• 디렉토리의 경우 755 또는 750입니다. 이 권한 집합은 마지막 예와 동일한 방식으로 작동하지만 디렉터리를 사용합니다. 755는 소유자에게 전체 읽기 및 쓰기 액세스 권한을 부여하고 그룹의 다른 구성원에게는 읽기 액세스 권한을 부여합니다.

FTP를 사용하여 WordPress 파일 시스템에 대한 파일 권한을 변경할 수 있습니다. 이렇게 하려면 파일이나 디렉터리를 마우스 오른쪽 버튼으로 클릭하고 파일 권한 옵션을 선택합니다(사용하는 FTP 클라이언트에 따라 다를 수 있음).

일부 FTP 클라이언트에서는 특정 상자를 선택하고 숫자 시스템을 사용하여 파일 권한을 설정할 수 있습니다. 원하는 옵션을 자유롭게 선택할 수 있습니다.

17. 파일 편집 금지

WordPress에는 기본적으로 테마 및 플러그인 파일 편집기가 포함되어 있지만 일부 웹 호스트에서는 기본적으로 이를 비활성화합니다. 이는 대시보드에서 웹 사이트의 플러그인 및 테마에 대한 코드를 변경하는 데 사용할 수 있는 간단한 텍스트 편집기입니다.

대시보드에서 파일 편집을 활성화하면 보안 위험이 발생합니다. 이는 공격자가 대시보드에 액세스할 경우 FTP 자격 증명이나 호스팅 패널에 액세스하지 않고도 사이트 코드를 직접 수정할 수 있음을 의미합니다.

웹 호스트에서 WordPress의 파일 편집 기능을 사용할 수 있는 경우 wp-config.php 파일을 수정하여 이 옵션을 수동으로 비활성화할 수 있습니다. 파일을 열고 다음 코드 줄을 /* That's all, stop edit! 이라는 줄 앞 끝에 추가합니다. 행복한 블로깅하세요. */ :

 define('DISALLOW_FILE_EDIT', true);

값이 "true"로 설정되어 있는지 확인한 다음 변경 사항을 wp-config.php 에 저장하고 닫습니다. 지금 대시보드를 확인하면 테마 및 플러그인 편집기가 더 이상 표시되지 않습니다.

18. wp-config.php 파일을 보호하세요

이 WordPress 강화 가이드에서 본 것처럼 wp-config.php 파일은 보안 관점에서 매우 중요합니다. 파일 코드를 수정하여 웹사이트 보호를 강화할 수 있으므로 다른 사람이 해당 파일에 접근할 수 없도록 하는 것이 중요합니다.

우리는 이미 wp-config.php 파일을 무단 액세스로부터 보호하는 방법을 살펴보았습니다. 주로 FTP를 통해 웹사이트에 연결할 수 있는 사람을 제한하는 것과 관련이 있습니다. 이상적으로는 위험을 줄이기 위해 FTP를 통해 연결하도록 승인된 IP 주소를 하나 또는 제한된 수만 갖는 것입니다.

취할 수 있는 두 번째 보안 조치는 적절한 파일 권한이 있는지 확인하는 것입니다. 다른 파일에 대한 권장 권한 수준은 644 또는 640인 반면, wp-config.php 파일은 440 또는 400으로 설정되어야 합니다. 이러한 권한 수준은 관리자 이외의 다른 사용자는 읽기 액세스조차 얻을 수 없음을 의미합니다. 파일에.

재해 복구를 위한 백업의 중요성

백업 자동화는 아마도 가장 중요한 보안 조치일 것입니다. 최근 오프사이트 백업을 이용하면 문제가 발생하더라도 언제든지 웹사이트를 복원할 수 있습니다.

VaultPress Backup을 사용하는 경우 수동으로 백업을 생성하는 것에 대해 걱정할 필요가 없습니다. Jetpack → VaultPress Backup 으로 이동하여 클라우드 버튼에서 백업을 확인하세요 .

그러면 사용 가능한 모든 백업이 표시되고 한 번의 클릭으로 백업을 복원할 수 있는 옵션이 제공됩니다. VaultPress Backup은 사이트를 변경할 때마다 사이트의 실시간 복사본을 생성하므로 항상 최신 백업을 사용할 수 있습니다.

Jetpack Security가 안심할 수 있도록 백업을 처리하는 방법

Jetpack Security가 백업을 처리하는 방법을 자세히 살펴보겠습니다. 다음 기능은 Jetpack Security, Jetpack Complete 또는 VaultPress Backup과 같은 프리미엄 플랜에서만 사용할 수 있습니다.

1. 실시간 백업

대부분의 백업 솔루션에서는 수동으로 백업을 생성하거나 일정에 따라 백업을 생성해야 합니다. 예를 들어 매일, 매주 또는 매월 백업을 만드는 옵션이 있을 수 있습니다.

일일 백업은 좋은 시작이지만 웹 사이트를 복원해야 할 때 중요한 데이터가 손실될 위험이 있습니다. 일일 백업 이후와 다음 백업 이전에 사이트를 변경한 경우 해당 사항을 다시 구현해야 합니다.

VaultPress Backup은 사이트의 복사본을 실시간으로 생성하여 이 문제를 해결합니다. 변경할 때마다 플러그인이 항목을 백업하고 새로운 복원 지점을 사용할 수 있게 됩니다. 이는 데이터 손실 위험이 없음을 의미합니다.

2. 매우 안전한 오프사이트 스토리지

스토리지는 대부분의 백업 솔루션에서 문제가 될 수 있습니다. 사이트의 복사본을 서버, 로컬 또는 클라우드 저장소에 저장할 수 있습니다. 서버가 다운되더라도 계속 액세스할 수 있으므로 보안 측면에서 오프사이트 솔루션이 더 좋습니다.

VaultPress Backup은 자체 오프사이트 스토리지 솔루션을 제공합니다. Jetpack 저장소에 액세스할 때 클라우드 저장소 공급자와 작동하도록 플러그인을 구성할 필요가 없습니다.

플러그인은 지난 30일간의 백업을 자동으로 오프사이트에 저장합니다. 언제든지 이러한 백업 중 하나를 선택하고 복원할 수 있습니다.

3. 원클릭 복원

VaultPress Backup을 사용하면 웹사이트를 쉽게 복원할 수 있습니다. 복원하려는 백업을 선택하고 선택을 확인하기만 하면 나머지는 플러그인이 처리해 줍니다.

웹사이트에 다시 액세스하면 VaultPress Backup을 사용하여 복원한 버전이 표시됩니다. 그 시점부터 사이트를 계속 변경할 수 있습니다.

자주 묻는 질문

WordPress 웹사이트 또는 VaultPress Backup을 보호하는 방법에 대해 여전히 질문이 있는 경우 이 섹션에서 답변해 드립니다.

WordPress 강화란 무엇이며 왜 중요한가요?

WordPress 강화는 사이트 보안을 강화하는 과정을 의미합니다. 이로 인해 공격자가 웹 사이트에 액세스하기가 더 어려워집니다.

WordPress 사이트에 대한 가장 일반적인 위협은 무엇입니까?

대부분의 WordPress 취약점은 오래된 플러그인, 테마 및 WordPress 코어에서 발생합니다. 오래된 소프트웨어에는 공격자가 웹 사이트에 액세스하거나 제어권을 얻기 위해 악용할 수 있는 취약점이 있을 가능성이 더 높습니다.

WordPress 사이트의 보안 취약성을 어떻게 모니터링할 수 있나요?

사이트의 취약점을 모니터링하는 가장 쉬운 방법은 보안 스캐너를 사용하는 것입니다. Jetpack Security는 WPScan을 활용하여 웹사이트에서 알려진 WordPress 취약성을 검토합니다.

또한 Jetpack은 플러그인이 검사 중에 발견한 보안 문제를 해결하는 데 도움을 줄 수 있습니다.

WordPress 보안 플러그인에서 무엇을 찾아야 합니까?

최고의 WordPress 보안 플러그인은 다른 타사 도구의 필요성을 최소화하면서 웹사이트를 보호하는 데 도움이 되는 기능 모음을 제공합니다. Jetpack Security 계획과 함께 Jetpack을 사용하면 실시간 백업, WAF, 스팸 방지, 2FA 구현 등과 같은 기능에 액세스할 수 있습니다.

웹사이트 보안을 위해 Jetpack을 신뢰하는 사이트는 몇 개입니까?

Jetpack은 풍부한 보안 및 성능 최적화 기능으로 인해 시장에서 가장 인기 있는 WordPress 플러그인 중 하나입니다. 500만 개 이상의 웹사이트에서 Jetpack을 사용하므로 WordPress 신규 사용자와 숙련된 사용자 모두에게 탁월한 선택입니다.

Jetpack Security는 스팸 댓글과 양식 제출에도 도움을 줄 수 있나요?

Jetpack Security에는 고급 알고리즘 및 데이터를 기반으로 스팸 댓글을 자동으로 차단하거나 필터링하는 스팸 방지 기능이 포함되어 있습니다. 또한 플래그가 지정된 댓글을 검토하여 오탐지가 없는지 확인할 수도 있습니다.

Jetpack 보안에 대해 어디서 더 자세히 알아볼 수 있나요?

Jetpack Security에 대해 자세히 알아보려면 해당 플랜의 홈페이지를 방문하세요. 여기에서 해당 기능에 대한 추가 정보를 확인하고 플랜에 가입할 수 있습니다.

Jetpack Security를 ​​사용하여 웹사이트를 보호하세요

WordPress 웹사이트를 강화하는 방법에는 여러 가지가 있습니다. 이들 중 일부에는 기본 로그인 및 대시보드 URL 변경, wp-config.php 파일 보안 등과 같은 보안 조치 구현이 포함됩니다. 그러나 대부분의 경우 사이트를 보호하기 위해 할 수 있는 가장 효과적인 방법은 올인원 보안 플러그인을 사용하는 것입니다.

Jetpack Security는 강력한 솔루션입니다. 로그인 페이지를 보호하고 DDOS 공격으로부터 사이트를 방어 할 수 있습니다. 또한 실시간 백업, 스팸 보호 등을 제공합니다.

WordPress를 강화 할 때 어디에서 시작 해야할지 잘 모르겠다면 JetPack 보안을 확인하십시오. 계획에 가입하고 웹 사이트를 바로 보호하기 시작할 수 있습니다!