WordPress 로그인 페이지를 보호하는 방법(전체 가이드)

게시 됨: 2022-08-16

성공적인 WordPress 웹사이트 운영의 중요한 요소는 모니터링 및 보안 조치를 구현하는 것입니다. 결국 해킹된 사이트는 사이트가 비즈니스 또는 개인 용도로 사용되는지 여부에 관계없이 많은 골치거리를 유발할 수 있습니다. 수익에 영향을 미치고 방문자 정보를 위험에 빠뜨리며 평판을 망칠 수 있습니다.

해커의 일반적인 진입점은 오늘 우리의 초점이 될 WordPress 로그인 페이지입니다. 다음은 악의적인 행위자가 사이트를 침해하지 않도록 WordPress 로그인 보안을 강화하는 14가지 방법에 대한 요약입니다.

WordPress 로그인 페이지를 보호해야 하는 이유는 무엇입니까?

보안 팁 목록을 보기 전에 먼저 무차별 대입 공격 등으로부터 WordPress 로그인 페이지를 보호해야 하는 이유에 대해 간단히 논의하겠습니다.

  • WordPress는 매우 인기가 있으므로 사이버 범죄자들은 ​​종종 다양한 사이트에서 악용할 수 있는 새로운 취약점을 찾고 있습니다.
  • 해커는 WordPress에 익숙하기 때문에 웹 사이트가 언제 구식인지, 각 버전에 어떤 보안 결함이 있는지 알고 있습니다.
  • 로그인 페이지를 통해 액세스 권한을 얻기 위해 해커는 항상 고급 개발 지식이나 특별한 기술이 필요한 것은 아닙니다.

안전한 WordPress 로그인 페이지를 유지하는 것은 웹사이트의 장기적인 성공과 전반적인 성능을 위해 필수적입니다.

WordPress 로그인 보안을 강화하는 방법

보안 WordPress 로그인을 만들어야 하는 이유를 알고 있지만 어떻게 수행할 수 있습니까? 데이터 또는 고객 정보의 안전을 우연에 맡길 필요가 없도록 WordPress 로그인 페이지를 적절하게 보호하는 14가지 방법을 모았습니다.

1. 워드프레스 보안 플러그인 설치

고품질 WordPress 보안 플러그인을 설치하면 단 몇 분 만에 대부분의 보안 문제를 해결할 수 있습니다. 많은 플러그인이 사이트의 특정 측면을 보호하거나 특정 종류의 공격을 방지하는 데 특화되어 있지만 일반 사이트에는 보다 포괄적인 접근 방식이 가장 좋습니다. 올인원 보안 플러그인에는 감사 로그, 맬웨어 검사, 방화벽 및 로그인 보안 도구와 같은 기능이 단일 솔루션에 포함됩니다.

그리고 권장 사항 목록의 맨 위에는 Jetpack Security가 있습니다.

젯팩 시큐리티 홈페이지

Jetpack Security는 수많은 보안 작업을 자동으로 처리하여 작동합니다. 그리고 무료 및 유료 기능을 통해 WordPress 웹 사이트를 사용하는 모든 사람이 일정 수준의 보호를 받을 수 있습니다. 보안 침해를 방지 할 수 있을 뿐만 아니라 경험한 모든 사고를 진단하고 복구하는 데 도움이 되는 강력한 기능이 있습니다. 여기에는 다음이 포함됩니다.

  • 무차별 대입 공격 보호
  • 스팸 방지
  • 맬웨어 검사
  • 다운타임 모니터링
  • 백업
  • 활동 로그
  • 이중 인증

여기에 설명된 나머지 단계를 스스로 진행할 수 있지만 Jetpack Security와 같은 플러그인을 사용하면 로그인 강화 프로세스가 간소화됩니다.

2. WordPress 로그인 URL 변경 및 숨기기

로그인 페이지를 보다 안전하게 만드는 또 다른 방법은 다른 사람의 눈에 띄지 않도록 숨기는 것입니다. 기본적으로 모든 WordPress 사이트의 로그인 주소는 http://www.yourwebsitename.com/wp-admin이며 이는 기본적으로 강도에게 집 주소를 제공하는 것과 같습니다. 따라서 이것을 숨기기 위해 할 수 있는 모든 것은 좋은 생각입니다.

WordPress 로그인 URL을 변경하는 것은 해커의 작업을 더 어렵게 만드는 장벽을 설치하는 좋은 방법입니다. 이 작업을 수행하는 플러그인을 찾을 수 있지만 직접 수행할 수도 있습니다.

이를 위해서는 웹사이트에 대한 FTP 액세스가 필요합니다. 일단 가지고 있으면 튜토리얼의 지침을 따르십시오: WordPress 로그인 URL: 그것을 찾고, 변경하고, 숨기는 방법.

3. 강력한 암호를 사용하여 WordPress에 로그인

더 강력한 암호로 업그레이드하여 사이트 보안을 강화할 수도 있습니다. 강력한 암호 수단을 구현하면 해커나 봇이 암호를 "추측"할 가능성이 훨씬 줄어듭니다. "fluffy21"은 기억하기 쉽지만 추측하기가 너무 쉽습니다. 특히 "Fluffy"가 사랑하는 애완동물의 이름인 경우에는 더욱 그렇습니다.

이름, 나이 또는 애완 동물을 기준으로 암호를 선택하는 대신 문자와 숫자, 대문자와 소문자, 그리고 몇 가지 기호를 결합한 암호를 만드는 것이 훨씬 좋습니다. 다음과 같은 몇 가지 방법으로 강력한 암호를 만들 수 있습니다.

  • 강력한 암호 도구가 내장되어 있습니다. WordPress에는 자연스럽게 선택하려는 경향이 있는 것보다 더 강력한 암호를 만들도록 권장하는 강력한 암호 도구가 있습니다.
  • 암호 생성기. 많은 암호 생성기를 사용하면 직관적으로 추측할 수 없는 강력한 암호를 쉽게 개발할 수 있습니다.
  • 암호 키퍼/관리자입니다. 강력한 암호의 유일한 문제는 기억하기 어렵다는 것입니다. 암호 키퍼 또는 관리 도구를 사용하면 이 문제가 해결됩니다. 인기 있는 옵션에는 LastPass, DashLane 및 1Password가 있습니다.
라스트패스 홈페이지

4. 로그인 페이지를 비밀번호로 보호

기본적으로 누구나 WordPress 사이트의 로그인 페이지에 액세스할 수 있습니다. 그리고 이전에 논의한 것처럼 로그인 URL을 숨기거나 변경할 수 있지만 wp-admin 폴더에 계속 액세스할 수 있는 경우 해커가 이를 찾을 수 있습니다.

그렇기 때문에 로그인 페이지에 액세스하기 전에 다른 보호 계층을 추가하는 것이 좋습니다. 그리고 wp-admin 폴더를 암호로 보호하여 이를 수행할 수 있습니다. 웹 호스트가 cPanel을 사용하는 경우 이 프로세스는 비교적 쉽습니다.

호스팅 제공업체 계정에 로그인하고 cPanel에 액세스한 다음 디렉터리 개인정보 보호 폴더로 이동합니다.

사이트 파일을 보는 동안 public_html/wp-admin 으로 이동합니다. 이 디렉터리를 암호로 보호 하는 확인란이 표시되어야 합니다. 확인란을 선택합니다. 그런 다음 wp-admin 폴더에 액세스하기 위한 새 사용자 이름과 암호를 만듭니다. 변경 사항을 저장합니다.

평소와 같이 사이트에 로그인해 보십시오. 이제 WordPress에 로그인할 수 있는 권한을 부여받기 전에 다른 자격 증명 세트를 입력해야 합니다.

참고: 이 프로세스는 로그인 페이지의 위치를 ​​이동한 경우에도 동일합니다. wp-admin이 아니더라도 로그인 페이지가 있는 폴더를 암호로 보호하십시오.

5. 로그인 시도 횟수 제한

WordPress 로그인 페이지를 보호하기 위해 해야 할 또 다른 일은 로그인 시도를 제한하는 것입니다. 해커는 봇을 사용하여 코드를 해독할 때까지 반복적으로 로그인을 시도할 수 있습니다. 즉, 암호를 알아내고 웹사이트에 액세스할 수 있습니다. 불행히도 WordPress는 기본적으로 무제한 로그인을 허용합니다.

이 잠재적인 액세스 지점을 방지하기 위해 로그인 시도를 제한할 수 있습니다. 플러그인은 이를 수행하는 가장 좋은 방법입니다. 실제로 Jetpack Security는 올인원 보안 솔루션의 일부로 무차별 대입 공격 방지를 제공합니다.

Jetpack이 차단한 무차별 대입 공격 수

무차별 대입 공격은 해커가 액세스하기 전에도 웹 사이트 기능에 엄청난 지장을 줄 수 있습니다. 예를 들어, 사이트 속도가 상당히 느려지거나 완전히 응답하지 않을 수 있습니다. 반복된 로그인 시도는 결국 성공할 수 있으며 해커는 계속해서 멀웨어를 주입하거나 링크를 삽입하거나 혼란을 일으킬 수 있습니다. 이러한 공격은 개인 정보를 위험에 빠뜨릴 수도 있습니다.

Jetpack Security에 포함된 무차별 대입 공격 방지 기능은 공격을 차단하고 악의적인 해커가 데이터에 액세스하는 것을 방지하는 데 필요한 도구를 제공합니다. 악성 IP가 사이트에 도달하기 전에 차단하여 작동합니다. 또한 총 공격 수를 제공하고 알려진 IP 주소를 화이트리스트에 추가할 수 있습니다.

6. WordPress 로그인 양식에 보안 질문 추가

로그인 프로세스에 보안 질문(또는 두 개)을 추가하여 로그인 양식의 보안을 확장할 수도 있습니다. 따라서 사용자는 사용자 이름과 비밀번호를 입력하는 대신 보안 질문에 답해야 액세스 권한을 얻을 수 있습니다.

이 한 단계만 거치면 웹사이트를 해킹하기가 훨씬 더 어려워집니다. 그리고 구현하기가 비교적 쉽습니다.

No-Bot Registration 플러그인은 이를 수행하는 좋은 방법입니다. 플러그인 → 새로 추가 로 이동하여 다운로드한 다음 플러그인 이름을 입력합니다. 표시되면 다운로드하여 활성화하십시오.

노봇 등록 플러그인

활성화되면 WordPress 대시보드에서 설정 으로 이동합니다. 여기에서 플러그인을 설정하고 보안 질문이 사용되는 시기에 대한 규칙을 구성할 수 있습니다(등록, 로그인 또는 비밀번호 분실 페이지에서).

이것은 간단하고 논리적인 질문에 답하기만 하면 되므로 보안문자보다 훨씬 더 사용자 친화적입니다.

7. WordPress에 이중 인증 추가

다음으로 이중 인증을 활성화할 수 있습니다. Gmail을 비롯한 많은 웹사이트와 앱에서 이 인기 있는 보안 옵션을 사용합니다. 로그인 프로세스를 완료하기 전에 입력해야 하는 SMS 코드를 휴대전화로 전송하여 작동합니다.

이는 귀하의 신원을 확인하고 승인된 사용자에게만 액세스 권한이 부여되도록 하는 데 사용됩니다. 프로세스에 추가하는 모든 인증 계층은 누군가가 귀하의 사이트를 해킹하는 것을 훨씬 더 어렵게 만듭니다. 악의적인 행위자가 귀하의 로그인 정보에 액세스하더라도 2FA 프로세스를 방해할 가능성은 거의 없습니다.

WordPress에 이중 인증을 추가하는 가장 쉬운 방법은 2FA 플러그인을 사용하는 것입니다. 여러 보안 플러그인에 이 기능이 포함되어 있지만 Jetpack Security는 보안 인증을 통해 강력하게 제공됩니다.

보안 인증을 사용하면 표준 WordPress.com 자격 증명을 사용하여 로그인하고 기본 로그인 양식을 완전히 비활성화하거나 우회할 수 있습니다. 또한 모든 사용자가 사이트를 추가로 보호하기 위해 2단계 인증을 요구하도록 선택할 수 있습니다.

8. WordPress 사이트에 SSL 인증서 설치

또 다른 보호 방법은 SSL 인증서를 설치하는 것입니다. SSL 인증서를 무료로 받는 것은 쉽기 때문에 누구도 건너뛸 수 없는 보안 조치입니다.

SSL은 대부분의 웹사이트가 데이터를 보호하는 방법입니다. 그리고 URL 필드의 "HTTP"에 "S"가 추가되어 "HTTPS"로 읽히므로 사이트가 안전한지 알 수 있습니다. 브라우저는 종종 녹색 자물쇠 아이콘과 같은 다른 시각적 표시를 사용하여 방문자에게 사이트에 활성 SSL 인증서가 있음을 알립니다.

보안 관련 사항 외에도 방문자는 보안되지 않은 사이트를 발견하면 사이트를 계속 탐색하지 못할 수 있습니다. 또한 SSL 인증서가 있는 사이트는 검색 엔진에서 순위가 ​​더 높은 경향이 있으며 일부 브라우저는 인증서가 없는 경우 방문자에게 경고를 표시하기도 합니다.

이 단계를 건너뛰지 마십시오. 무료 SSL 인증서를 받는 방법을 알아보세요.

9. 로그인 시도 실패 후 WordPress 로그인 힌트 비활성화

로그인 힌트는 실제 WordPress 사용자에게 진정으로 도움이 될 수 있지만 때때로 해커에게 사용자 이름과 비밀번호에 대한 너무 많은 정보를 제공할 수 있습니다. WordPress 사이트에 로그인을 시도하고 사용자 이름을 잘못 입력하면 "사용자 이름이 이 사이트에 등록되어 있지 않습니다. 사용자 이름이 확실하지 않으면 대신 이메일 주소를 입력하십시오.”

등록되지 않은 사용자 이름에 대한 오류 메시지

올바른 사용자 이름이나 이메일 주소를 입력했지만 비밀번호가 잘못된 경우에도 비슷한 일이 발생합니다.

잘못된 비밀번호 오류

로그인 힌트를 제거하려면 사이트의 functions.php 파일에 몇 줄의 코드를 추가해야 합니다.

 function no_wordpress_errors(){ return 'There is an error.'; } add_filter( 'login_errors', 'no_wordpress_errors' );

실제 또는 봇이 잘못된 사용자 이름이나 비밀번호를 입력하면 기본값이 아닌 "오류가 있습니다."라는 메시지가 표시됩니다.

10. WordPress 설치 및 플러그인을 최신 상태로 유지

해커는 또한 오래된 설치를 통해 WordPress 사이트의 진입점을 찾습니다. WordPress가 업데이트될 때마다 수정된 모든 버그 수정 및 보안 허점이 온라인에 게시됩니다. 설치가 오래된 경우 해커는 사이트 침입에 대한 지침 매뉴얼을 가지고 있습니다.

새로운 WordPress 핵심 업데이트가 출시되면 사이트를 백업하고 가능한 한 빨리 업데이트를 설치해야 합니다.

하지만 그것만이 당신이 염두에 두어야 할 전부는 아닙니다. 플러그인 및 테마와 같은 타사 소프트웨어도 잠재적인 약점입니다. 플러그인과 테마는 다양한 표준과 접근 방식을 가진 다양한 개발 회사에서 만들어지기 때문에 업데이트를 유지하는 데 더욱 중요합니다.

이것이 또한 설치하는 플러그인과 테마에 대해 선택해야 하는 이유이기도 합니다. 이동 소셜 공유 플러그인이 2년 동안 업데이트되지 않았다면 정기적으로 업데이트되는 플러그인을 찾아야 할 때입니다.

11. WordPress 버전 번호 숨기기

로그인 페이지의 보안을 향상시키는 빠른 방법은 WordPress 버전 번호를 숨기는 것입니다. 최소한 이렇게 하면 해커가 어떤 보안 허점을 악용할지 결정하기 위해 더 철저하게 살펴보게 됩니다. 그리고 당신은 그것을 오히려 쉽게 제거할 수 있습니다.

functions.php 파일을 찾아 (사이트를 백업한 후) 파일에 다음 코드 줄을 추가하십시오:

 remove_action('wp_head', 'wp_generator');

12. WordPress 로그인 사용자 이름 숨기기

취할 수 있는 또 다른 단계는 WordPress 로그인 사용자 이름을 숨기는 것입니다. 대부분의 경우 매우 안전한 암호를 만드는 데 중점을 두고 있습니다. 이는 매우 훌륭하지만 사용자 이름도 고려해야 합니다. 종종 공개적으로 사용할 수 있습니다. 해커가 악용할 수 있는 기회입니다.

엿보는 눈에서 사용자 이름을 숨기는 가장 빠른 방법은 블로그 게시물과 작성자 아카이브에 표시되지 않도록 제거하는 것입니다.

블로그 게시물에서 사용자 이름을 제거하려면 WordPress에 로그인한 상태에서 사용자 → 프로필 → 닉네임 으로 이동하면 됩니다. 여기에서 사용자 이름이 사이트 방문자에게 더 이상 표시되지 않도록 닉네임을 변경할 수 있습니다. 따라서 "blogperson02"가 표시되는 대신 귀하의 이름, 성과 이름 또는 귀하가 구성한 다른 별명이 표시됩니다.

작성자 아카이브에 사용자 이름이 표시되지 않도록 제거하려면 Yoast SEO와 같은 SEO 플러그인이 필요합니다.

다른 플러그인과 마찬가지로 Yoast를 설치한 다음 WordPress 대시보드에서 SEO → 검색 모양 → 아카이브 메뉴로 이동합니다. 작성자 아카이브를 비활성화하는 옵션이 있습니다. 이 작업을 수행한 다음 변경 사항 저장 을 클릭합니다.

Yoast로 작성자 아카이브 비활성화

13. WordPress 자동 로그아웃 타이머 단축

계정을 자주 사용할 때 로그인 상태를 유지하는 것이 일반적입니다. 그러나 이것은 특히 여러 사람이 귀하의 사이트에 계정을 가지고 있는 경우 잠재적인 위반을 일으킬 수 있습니다. 자동 로그아웃 타이머를 구현하는 것은 이러한 보안 허점을 닫는 좋은 방법입니다.

세션이 무인 상태로 두면 자동으로 로그아웃됩니다. 기본적으로 WordPress는 48시간 후에 사용자를 로그아웃합니다. "기억하기" 상자를 선택하면 사용자가 14일 동안 로그인 상태를 유지합니다. 타사 플러그인을 사용하여 이러한 시간 프레임을 약간 변경할 수 있습니다. 이 기능 전용 기능은 비활성 로그아웃입니다.

설치가 완료되면 설정 → 비활성 로그아웃 → 기본 관리 로 이동합니다. 그런 다음 로그아웃을 트리거할 유휴 시간 기간을 선택합니다.

14. 오래되고 사용하지 않는 WordPress 사용자 계정 삭제

마지막으로 더 이상 사용하지 않는 계정을 삭제하면 WordPress 보안을 개선하는 데 도움이 됩니다. 사이트에 계정이 여러 개 있다는 것은 각 계정이 개인 데이터에 대한 액세스 지점임을 의미합니다. 그리고 이러한 계정의 암호를 정기적으로 업데이트하지 않으면 심각한 취약점이 나타날 수 있습니다.

이를 방지하려면 오래되고 사용하지 않는 계정을 삭제하십시오. 이를 정기적인 사이트 유지 관리 계획의 일부로 만드십시오.

또한 권한이 필요한 사용자에게만 권한을 제공해야 합니다. 모든 사용자에게 편집자 또는 관리자 권한이 필요한 것은 아닙니다.

마찬가지로 나열된 계정을 주시하십시오. 때때로 해커는 가짜 계정을 만들 것입니다. 하나가 나타나면 즉시 삭제하고 나머지 보안 조치를 강화하십시오. WordPress 웹 사이트가 해킹된 경우 수행할 작업에 대해 알아보세요.

WordPress 로그인 페이지 보호

웹사이트를 소유한다는 것은 콘텐츠와 사용자에 대해 일정 수준의 책임을 지는 것을 의미합니다. 물론, 고객 정보를 수집하는 경우에는 이중으로 해당됩니다. 그러나 WordPress 사이트를 어떻게 사용하든 로그인 페이지 주변의 보안을 강화하는 것은 장기적으로 데이터를 안전하게 유지하는 좋은 방법입니다.

여기에 제시된 팁은 WordPress 보안 유지 관리를 즉시 효율적으로 수행하는 데 도움이 될 것입니다.

첫 번째 단계를 밟을 준비가 되셨습니까? Jetpack 보안을 시작하십시오.