제퍼넷 로고

생성 데이터 인텔리전스

SEO

WordPress 사이트를 보호하는 방법 » 순위 수학

플라톤에 의해 재발행
플라톤에 의해 재발행

시간

조회 수 : 65

사이버 공격의 빈도와 복잡성이 증가함에 따라 WordPress 사이트 보안이 그 어느 때보다 중요하다는 사실을 알고 계십니까? 어떤 온라인 비즈니스도 무시할 수 없는 가혹한 현실입니다.

사실에 따라 Colorlib 보고서, 13,000년에는 매일 2023개 이상의 WordPress 웹사이트가 해킹당했습니다.

이는 엄청난 숫자이며, 이는 온라인 활동 보안에 있어 더욱 주의를 기울여야 함을 의미합니다.

하지만 당황할 필요는 없습니다.

이 게시물에서는 귀하가 걱정 없이 비즈니스 성장에 집중할 수 있도록 웹사이트를 안전하게 유지하고 사이버 위협으로부터 보호하기 위해 취할 수 있는 조치에 대해 논의하겠습니다.

따라서 웹사이트 보안을 한 단계 더 발전시킬 준비가 되었다면 바로 시작해 보세요!

1 WordPress 웹사이트를 보호하는 이유는 무엇입니까?

귀하의 웹사이트는 온라인 홈 역할을 하며 WordPress는 그 뒤에 있는 플랫폼입니다. 그러나 실제 집과 마찬가지로 WordPress 사이트에는 잠재적인 위협에 대비할 수 있는 강력한 벽이 필요합니다. 

웹사이트 보안이 중요한 이유는 다음과 같습니다.

웹사이트 및 방문자의 개인정보 보호

데이터에 따르면 해킹된 WordPress 사이트의 평균 69%가 오래된 소프트웨어와 취약한 비밀번호의 피해를 입었습니다. 이는 사이버 도둑을 위한 환영 매트를 놓고 현관문을 열어 두는 것과 같습니다.

기업의 사이버 범죄 손실은 매년 수조 달러에 달하며 WordPress는 빈번한 표적이 됩니다. 

따라서 비밀번호, 이메일, 금융 세부정보 등 민감한 데이터를 보호하는 것이 중요합니다. 안전한 웹사이트는 사용자의 신뢰와 참여를 촉진하고, 사용자는 안전한 사이트로 돌아올 확률이 높아져 방문자 충성도와 전환율이 높아집니다.

데이터 침해 및 악성 코드 주입 방지

데이터 침해는 평판 손상, 법적 문제 및 고객 신뢰 상실을 야기할 수 있으며, 미국에서 기업이 복구하는 데 평균 9.44만 달러의 비용이 소요될 수 있습니다. 

또한 해킹된 WordPress 웹사이트에 악성 코드가 주입되면 방문자가 악성 사이트로 리디렉션되어 SEO 순위와 사용자 경험이 손상될 수 있습니다. 따라서 이러한 상황을 방지하려면 웹사이트를 안전하게 유지해야 합니다.

웹사이트의 SEO 성능 향상

Google은 보안을 최우선으로 생각하며 보안 웹사이트는 종종 다음과 같은 이점을 누리고 있습니다. 더 나은 SEO 순위. WordPress 사이트를 보호하면 검색 엔진 순위가 향상되어 더 많은 유기적 트래픽을 유도할 수 있습니다.

더욱이 악성 스크립트와 플러그인은 웹사이트를 마비시켜 페이지 로딩 시간을 지연시키고 사용자를 실망시킬 수 있습니다. 안전한 웹사이트는 원활하게 운영되어 방문자의 만족도와 참여도를 유지합니다.

데이터 프라이버시 규정 준수

데이터 개인정보 보호 규정은 사용자 데이터를 보호하기 위해 강력한 웹사이트 보안 조치를 요구합니다. GDPR과 CCPA는 기업이 준수해야 하는 규정 중 일부입니다. 

따라서 막대한 벌금과 법적 문제를 피하려면 WordPress 사이트를 보호하는 것이 필수적입니다.

웹사이트 보안은 일회성 투자가 아니라 지속적인 프로세스라는 점을 기억하십시오. 

사전 조치를 취하면 WordPress 사이트를 취약한 대상에서 안전한 포트리스로 전환하여 데이터, 평판 및 온라인 성공을 보호할 수 있습니다.

2 WordPress 사이트를 보호하는 방법

이제 WordPress 사이트를 보호하는 다양한 방법에 대해 논의하겠습니다.

2.1 기본 필수 보안 조치

이제 WordPress 웹사이트를 잠재적인 위험으로부터 보호하기 위한 중요한 보안 관행에 대해 논의하겠습니다.

모든 것을 최신 상태로 유지

WordPress 사이트를 보호하는 것은 간단합니다.최신 상태로 유지. 여기에는 WordPress와 테마 및 플러그인과 같은 핵심 파일이 포함됩니다.

정기적인 업데이트에는 이전 버전에서 발견된 취약점에 대한 보안 패치가 포함되는 경우가 많기 때문에 매우 중요합니다.

업데이트는 보안 외에도 웹사이트에 새로운 기능과 향상된 기능을 도입합니다.

WordPress 사이트와 핵심 파일을 검토하고 업데이트하려면 대시보드에 로그인하고 다음으로 이동하세요. 대시보드 → 업데이트.

업데이트가 있으면 버전으로 업데이트 단추. 테마와 플러그인을 보려면 테마 or 플러그인 섹션에서 업데이트가 필요한 항목을 선택하고 각 항목 옆에 있는 업데이트 버튼을 클릭하세요.

업데이트 확인

보안을 강화하려면 WordPress, 플러그인 및 테마에 대한 자동 업데이트를 활성화하는 것이 좋습니다. 이렇게 하면 사이트를 적극적으로 모니터링하지 않는 경우에도 사이트의 보안이 유지됩니다.

자동 업데이트를 활성화하기 전에 웹 사이트를 정기적으로 백업하십시오. 이 예방 조치를 통해 업데이트 도중이나 업데이트 후에 문제가 발생하는 경우 사이트를 쉽게 복원할 수 있습니다.

강력하고 고유한 암호 사용

강력하고 고유한 비밀번호를 사용하여 WordPress 웹사이트를 보호할 수도 있습니다. 취약하고 쉽게 추측할 수 있는 비밀번호를 사용하면 해커가 사이트에 대한 무단 액세스를 더 쉽게 얻을 수 있습니다.

강력하고 안전한 비밀번호를 만들려면 다음 팁을 따르세요.

  •  최소 12자 이상을 선택하세요.
  • 대문자, 소문자, 숫자, 특수문자를 혼합하세요.
  • 연속된 숫자, 반복되는 문자 또는 "password123"과 같은 일반적인 비밀번호를 사용하지 마십시오.
  • WordPress 사이트를 포함하여 각 온라인 계정에 대해 다른 비밀번호를 사용하십시오.
  • 비밀번호를 생성하고 안전하게 저장하려면 신뢰할 수 있는 비밀번호 관리자 도구를 활용하는 것을 고려해 보세요.
  • 가능하다면 사용자 이름이나 웹사이트 이름이 포함된 비밀번호를 사용하지 마세요.

새로운 WordPress 사이트를 설치할 때 항상 기본 비밀번호 샘플을 더 강력한 비밀번호로 바꾸세요. 

하지만 WordPress 웹사이트가 이미 설정되어 있는 경우 다음으로 이동하여 비밀번호를 변경하세요. 사용자 → 프로필, 아래로 스크롤한 후 새 비밀번호 설정 강력하고 임의의 비밀번호를 위한 버튼입니다.

새 비밀번호 설정

또한, 매번 강력한 비밀번호로 정기적으로 비밀번호를 변경하세요.

SSL 인증서 설치

WordPress 사이트를 보호할 때 SSL 인증서를 설치하는 것이 중요합니다. 이 인증서는 귀하의 웹사이트와 방문자 간에 교환되는 데이터가 암호화되어 무단 액세스로부터 보호되도록 보장합니다.

SSL 인증서를 얻으려면 평판이 좋은 공급자로부터 인증서를 구입하거나 호스팅 공급자를 통해 무료 인증서를 얻어야 합니다.

그러나 WordPress 웹사이트에 SSL 인증서를 이미 설치했지만 웹사이트 URL에 표시되지 않는 경우 이를 활성화하는 방법이 있습니다.

간단히 이동 설정 → 일반 WordPress 대시보드에서 'http://' 대신 'https://'를 앞에 추가하여 '워드프레스 주소(URL)' 및 '사이트 주소(URL)'를 수정하세요. 

사이트 URL

하지만 웹사이트에서 SSL 관련 문제가 발생하면 다음과 같은 플러그인을 사용할 수 있습니다. 정말 간단한 SSL or SSL Insecure Content Fixer 해결합니다.

보안 호스팅을 선택하세요

보안을 강화하려면 보안 조치와 안정성으로 잘 알려진 평판이 좋은 호스팅 제공업체를 선택하세요. 방화벽, 맬웨어 검사, DDoS 보호와 같은 기능을 찾아보세요. 

정기적인 백업을 제공하고 SFTP 또는 SSH와 같은 보안 프로토콜을 지원하며 인프라와 소프트웨어를 최신 상태로 유지하십시오. 보안 호스팅 제공업체는 WordPress 사이트 보안을 위한 강력한 기반을 형성합니다.

이를 구현하려면 호스팅 제공업체를 조사하고, 리뷰를 읽고, 보안 평판이 좋은 업체를 선택하세요. 

해당 기능, 지원 및 백업 옵션을 확인하세요. 안전한 호스팅 환경을 우선시하면 웹사이트와 데이터를 보호하는 데 도움이 됩니다.

2.2 WordPress 웹사이트 보안

이제 무단 액세스를 방지하고, 데이터를 보호하고, 사이버 공격의 위험을 줄이는 방법을 포함하여 WordPress 웹사이트를 보호하는 가장 효과적인 몇 가지 방법에 대해 논의하겠습니다.

보안 테마 및 플러그인 사용

WordPress 사이트의 테마와 플러그인을 선택할 때 공식 사이트와 같이 평판이 좋은 소스에서 선택하는 것이 중요합니다. 워드 프레스 저장소 or MyThemeShop.

이러한 소스는 철저한 보안 검사를 수행하고 제품의 보안을 보장하기 위해 지속적으로 업데이트를 제공합니다.

그러나 알 수 없거나 신뢰할 수 없는 소스의 테마나 플러그인, 특히 null이 포함된 테마나 플러그인을 사용하지 않는 것이 중요합니다. 여기에는 사이트 보안을 위협할 수 있는 취약점이나 악성 코드가 숨어 있을 수 있습니다.

테마나 플러그인을 설치하기 전에 시간을 내어 평점을 검토하고, 사용자 피드백을 읽고, 업데이트 빈도를 평가하여 신뢰할 수 있고 적극적으로 유지 관리되는지 확인하세요.

이를 통해 귀하의 웹사이트는 최신 보안 조치를 통해 안전하게 유지되고 최신 상태로 유지됩니다.

WordPress 웹사이트를 정기적으로 백업하세요.

보안 사고, 데이터 손실 및 웹사이트 문제로부터 웹사이트를 보호하려면 웹사이트 데이터를 정기적으로 백업하는 것이 필수적입니다. 최신 백업을 사용하면 사이버 공격이 발생할 경우 사이트를 신속하게 복원하고 가동 중지 시간을 최소화할 수 있습니다. 

특히 콘텐츠가 많고 트래픽이 많은 웹사이트의 경우 일반적으로 매일 백업을 만드는 것이 좋습니다. 

또한 신뢰성을 보장하기 위해 정기적으로 백업을 테스트하는 것이 중요합니다. 백업 프로세스를 단순화하는 한 가지 방법은 예약된 백업 및 원격 저장소 옵션과 같은 기능을 제공하는 플러그인을 사용하는 것입니다. 

자세한 포스팅을 참고하시면 됩니다 WordPress 웹사이트 백업.

로그인 시도 제한

웹사이트를 보호하는 또 다른 방법은 웹사이트에서 로그인 시도를 제한하는 것입니다. 이는 단일 IP 주소에서 실패한 로그인 시도 횟수를 제한합니다.

이렇게 하면 해커가 로그인 자격 증명을 추측하여 무단 액세스를 얻는 것이 더 어려워집니다. 

로그인 시도를 제한하면 WordPress 웹사이트에 대한 무차별 대입 공격에 대한 보호 계층을 추가할 수 있습니다.

사이트 로그인 시도를 제한하는 방법은 다음과 같습니다.

잠금 옵션
  • 차단된 IP 주소의 잠금 기간을 설정합니다.
  • 선택적으로 이메일 알림을 활성화하여 잠금 또는 의심스러운 로그인 시도에 대한 경고를 받을 수 있습니다. 이 옵션은 다음에서 볼 수 있습니다. 일반 설정.
잠금 알림

적절한 설정을 마치면 사이트 로그인 시도가 제한되며, 지정된 로그인 시도 실패 횟수를 초과하는 모든 IP 주소는 일시적으로 로그인 페이지 액세스가 차단됩니다.

2FA 활성화(XNUMX단계 인증)

2단계 인증(XNUMXFA)을 활성화하면 사용자가 로그인할 때 두 가지 형식의 확인을 제공하도록 요구하여 WordPress 사이트에 추가 보안 계층을 추가합니다. 

Google, Facebook, Twitter와 마찬가지로 이 기능을 사용하면 WordPress 웹사이트를 강화할 수 있어 비밀번호가 유출된 경우에도 무단 액세스 위험을 크게 낮출 수 있습니다.

방법은 다음과 같습니다.

  •  "를 설치하고 활성화하십시오.Wordfence 로그인 보안" 플러그인. 활성화되면 '로그인 보안' 메뉴로 이동하세요.
  • '2단계 인증' 탭에서 QR 코드와 키를 찾으세요. 따라서 웹사이트에서 인증기를 활성화하려면 이를 스캔해야 합니다. 
Google Authenticator 앱
  •  다음으로 Google Authenticator 앱 휴대전화에서; 웹사이트 활성화를 위해 QR 코드를 스캔하는 데 사용됩니다.
  • 앱을 열고 'QR 코드 스캔'을 선택하여 코드를 스캔하거나 수동으로 설정 키를 입력하세요.
  • 앱이 코드를 확인한 후 고유 코드를 제공합니다. 이 코드를 복구 코드 섹션 아래의 지정된 필드에 복사하세요.
  • 온 클릭 활성화 버튼을 눌러 설정을 완료합니다.

다음을 사용하여 5개의 복구 코드를 다운로드하는 것을 잊지 마십시오. 다운로드 단추. 이 코드는 휴대폰을 분실한 경우 웹사이트에 계속 액세스할 수 있도록 하는 데 매우 중요합니다.

강력한 스팸 방지 솔루션 사용

스팸은 귀찮고 보안 위험을 초래하며 사용자 경험을 손상시키고 사이트 성능에 부정적인 영향을 미칠 수 있습니다. 

따라서 귀하의 웹사이트에서 스팸을 효과적으로 방지하려면 "Akismet 스팸 방지” 워드프레스 플러그인.

Akismet은 WordPress를 개발한 Automattic에서 개발한 강력한 스팸 필터링 플러그인입니다. 일반적으로 WordPress가 사전 설치되어 제공되므로 활성화하고 API 키를 받기만 하면 됩니다. 

API 키를 얻으려면 Akismet 웹사이트에 등록한 다음 WordPress 대시보드 플러그인 페이지의 API 키 필드에 입력해야 합니다.

API 키를 성공적으로 연결하면 Akismet 플러그인은 고급 알고리즘을 사용하여 웹 사이트의 댓글과 양식 제출을 자동으로 분석하여 스팸을 효과적으로 필터링합니다.

또는 '안티 스팸 꿀벌” 플러그인도 비슷한 목적으로 사용됩니다.

기본 관리자 사용자 이름 변경

WordPress 웹사이트를 설치하는 동안 기본 사용자 이름은 일반적으로 'admin'으로 설정됩니다. 그러나 사용자가 실수로 이 사용자 이름을 변경하지 않은 경우가 있습니다.

해커는 널리 알려진 "admin" 사용자 이름을 표적으로 삼는 경우가 많으며, 이는 악의적인 시도를 용이하게 합니다. 사이트의 보안을 강화하려면 관리자 사용자 이름을 변경하여 공격자가 추측하고 무단 액세스를 얻는 것을 더 어렵게 만드는 것이 중요합니다.

불행하게도 WordPress는 설치가 완료된 후 사용자 이름을 수정할 수 있는 직접적인 옵션을 제공하지 않습니다.

사용자 이름은 변경할 수 없습니다

따라서 이를 우회하려면 "사용자 이름 변경" 플러그인을 설치하고 활성화해야 합니다. 활성화되면 다음으로 이동하세요. 사용자 → 모든 사용자, 사용자 이름이 "admin"인 사용자를 선택하고 "편집"을 클릭합니다. 

프로필 페이지에서 '사용자 이름' 옵션을 찾아 클릭하세요. 변화. 그런 다음 관리자 계정의 새 사용자 이름을 선택하세요. 사이트 이름과 관련이 없고 고유한 사용자 이름을 선택하는 것이 좋습니다.

마지막으로 페이지 하단으로 스크롤한 후 프로필 업데이트 버튼을 눌러 변경 사항을 저장하세요. WordPress는 관리자 사용자 이름을 자동으로 업데이트합니다.

관리자 사용자 이름을 변경해도 웹사이트 콘텐츠나 설정에는 영향을 미치지 않습니다. 유일한 변경 사항은 관리자 대시보드에 액세스하기 위한 사용자 이름입니다.

기본 "wp-login" URL 변경

WordPress 기반 웹사이트의 기본 로그인 URL은 일반적으로 "wp-login"으로 끝난다는 것을 누구나 알고 있습니다. 

그러나 사람들이 귀하의 로그인 URL에 액세스하는 것을 더 어렵게 만들기 위해 이 URL 패턴을 변경해야 하며, 귀하의 로그인 세부 정보를 사용하려는 시도도 해야 합니다.

기본 "wp-login" URL을 변경하려면 다음 단계를 따르세요.

  • "를 설치하고 활성화하십시오.WPS 비공개 로그인” 플러그인을 WordPress 플러그인 디렉토리에서 다운로드하세요.
  • 활성화 후 다음으로 이동합니다. 설정 → WPS 로그인 숨기기, WordPress 사이트의 일반 설정 맨 아래로 이동합니다.
  • 다음으로, 고유하고 쉽게 추측할 수 없는 사용자 정의 로그인 URL을 추가하세요.
WPS 비공개 로그인
  •  그런 다음 변경 사항을 저장하면 플러그인이 자동으로 로그인 URL을 업데이트합니다.

사용자 정의 로그인 URL이 설정되면 WordPress 관리 대시보드에 로그인하려면 새 URL에 액세스해야 합니다. 기본 “wp-login” URL은 더 이상 액세스할 수 없습니다.

자신은 기억하기 쉽지만 다른 사람은 추측하기 어려운 사용자 정의 로그인 URL을 선택하는 것이 좋습니다. 

웹사이트를 정기적으로 스캔하세요

WordPress 사이트를 안전하게 유지하려면 잠재적인 보안 위협, 맬웨어 또는 의심스러운 활동을 정기적으로 검사하는 것이 중요합니다. 이러한 사전 조치는 웹사이트의 무결성을 유지하는 데 도움이 됩니다.

다음과 같은 보안 플러그인을 설치하고 활성화하세요. Sucuri 보안 WordPress 플러그인 디렉토리에서 정기적인 검사를 수행합니다. 

활성화 후 다음으로 이동합니다. 슈쿠리시큐리티 → 대시보드, 스캔을 시작할 수 있습니다. 플러그인은 기본적으로 매일 검사를 수행하지만 설정에서 빈도를 사용자 정의할 수 있습니다.

각 스캔 후 플러그인에서 제공하는 결과를 검토하고 결과에 따라 필요한 조치를 취하십시오. 이러한 일상적인 모니터링은 WordPress 사이트의 지속적인 보안을 보장합니다.

WordPress 사이트를 보호하려면 Sucuri 플러그인을 설치하세요.

일부 검사 결과에는 맬웨어 제거, 플러그인 또는 테마 업데이트 또는 식별된 취약점 해결이 포함될 수 있습니다.

항상 사이트와 사용자 활동을 확인하세요

WordPress 웹사이트의 보안을 보장하려면 사이트 및 사용자 활동을 모니터링하는 것이 중요합니다. 

사이트에서 수행된 작업을 추적함으로써 의심스럽거나 승인되지 않은 활동을 즉시 감지하고 이를 효과적으로 해결하기 위해 필요한 조치를 취할 수 있습니다.

사이트 활동을 모니터링하려면 감사 로그 Sucuri 플러그인의 기능. Sucuri 대시보드에 액세스하고 다음을 찾을 때까지 아래로 스크롤합니다. 감사 로그 탭. 

감사 로그

이 로그에는 로그인 시도, 파일 수정, 플러그인 설치 등과 같은 세부 정보가 표시됩니다.

또한 다음 위치로 이동할 수 있습니다. 마지막 로그인 섹션을 통해 성공 및 실패 시도를 포함한 웹사이트 로그인 활동을 확인하고 추적할 수 있습니다.

로그인 성공

의심스러운 활동이 감지되면 즉각적인 조치를 취하여 잠재적인 보안 위험을 조사하고 완화하세요.

또 다른 옵션은 ''라는 독립형 플러그인을 활용하는 것입니다.단순한 역사' 귀하의 웹사이트 활동 로그를 모니터링합니다. 이 도구는 사용자 작업에 대한 귀중한 통찰력을 제공하고 안전한 WordPress 환경을 유지하는 데 도움이 됩니다.

보안 경고 시스템 설정

보안 경고 시스템을 설정하면 WordPress 웹사이트의 잠재적인 보안 문제나 변경 사항에 대한 알림을 적시에 받을 수 있습니다. 

알림을 즉시 수신하면 모든 위협이나 취약점을 즉시 해결할 수 있습니다.

당신은을 사용할 수 있습니다 알림 Sucuri 플러그인의 기능을 사용하면 웹사이트 활동 알림을 받을 수 있습니다. 다음으로 이동하세요. 설정 섹션을 선택하고 알림 탭.

경고 기능

. 알림 탭에서 알림을 받을 이메일을 추가하고, 빈도를 설정하고, 보안 알림 유형을 지정하세요.

경고 알림을 위해 제공된 연락처 세부 정보가 정확하고 최신인지 확인하십시오. 이 기능은 다른 보안 플러그인에서도 흔히 볼 수 있습니다.

2.3 고급 보안 조치

이제 WordPress 웹사이트의 보안을 강화하기 위해 취할 수 있는 몇 가지 고급 보안 조치를 살펴보겠습니다. 

IP를 차단하도록 지역 차단 설정

WordPress 웹사이트에 지리적 차단을 구현하면 해당 위치와 연결된 IP 주소를 차단하여 특정 국가 또는 지역의 액세스를 제한할 수 있습니다. 

이를 통해 잠재적인 악의적 행위자나 고위험 지역의 액세스를 방지하여 사이트 보안을 강화할 수 있습니다.

WordPress 대시보드, cPanel, WordPress 플러그인, .htaccess 및 config.php 파일을 통해 IP를 차단할 수 있습니다.

GEO 차단은 특정 지역의 액세스를 효과적으로 차단할 수 있지만 완벽하지는 않을 수 있습니다. 

일부 IP 주소는 동적으로 할당되거나 쉽게 스푸핑될 수 있으므로 다른 보안 조치와 함께 GEO 차단을 사용하는 것이 좋습니다.

웹 애플리케이션 방화벽 보호 활성화

WAF(웹 애플리케이션 방화벽)는 악성 트래픽을 필터링하고 알려진 공격 패턴을 차단하여 사이트와 잠재적인 위협 사이에 보호 장벽 역할을 합니다.

다음을 사용하여 WAF 보호 옵션을 무료로 활성화할 수 있습니다. Wordfence 보안 플러그인. 따라서 WordPress 웹사이트에 플러그인을 설치하고 활성화해야 합니다.

활성화 후 다음으로 이동합니다. 워드펜스 → 방화벽 그리고 Wordfence 방화벽을 활성화하세요. 그런 다음 WAF 규칙 및 고급 방화벽 옵션 활성화 등 기본 설정에 따라 방화벽 설정을 관리하세요.

워드펜스 방화벽

그런 다음 설정을 저장하면 Wordfence 플러그인이 웹 사이트에 WAF 보호를 제공하기 시작합니다.

Wordfence WAF를 활성화하면 SQL 주입, XSS(교차 사이트 스크립팅) 공격, 무차별 로그인 시도와 같은 일반적인 보안 위협으로부터 웹사이트를 보호할 수 있습니다. 

WAF는 들어오는 트래픽을 지속적으로 모니터링하고 필터링하여 악의적인 요청이 웹 사이트에 도달하기 전에 차단합니다.

트랙백 및 핑백 비활성화

트랙백 및 핑백은 귀하의 사이트가 다른 사이트의 콘텐츠에 링크될 때 WordPress에서 다른 사이트에 알리기 위해 사용하는 방법입니다. 그러나 스패머가 악의적인 목적으로 악용할 수 있습니다.

트랙백과 핑백을 비활성화하려면 다음 단계를 따르세요.

  • WordPress 관리 대시보드에 로그인합니다.
  • '설정' 섹션으로 이동하여 '토론'을 클릭하세요.
  • "기본 게시물 설정" 섹션에서 "새 게시물에 대해 다른 블로그의 링크 알림(핑백 및 트랙백) 허용" 옆의 확인란을 선택 취소합니다.
토론 설정
  • 아래로 스크롤하여 저장 (Save Changes) 버튼을 클릭합니다.

트랙백 및 핑백을 비활성화하면 WordPress 사이트에서 이러한 알림을 보내거나 받을 수 없습니다. 

이는 스팸이나 악의적인 트랙백/핑백 요청과 관련된 불필요한 서버 로드와 잠재적인 보안 위험을 줄이는 데 도움이 됩니다.

정확한 파일 권한 설정

파일 권한은 사이트의 파일 및 디렉터리에 대한 다양한 사용자 또는 프로세스의 액세스 및 제어 수준을 결정합니다. 

파일 권한이 올바르게 구성되면 무단 액세스를 제한하고 잠재적인 보안 위반을 방지할 수 있습니다.

WordPress 사이트에 대한 정확한 파일 권한을 설정하려면 다음 일반 지침을 따르십시오.

  •  FTP 클라이언트 또는 호스팅 제어판을 사용하여 사이트 파일에 액세스하세요.
  • wp-content 디렉터리, wp-config.php 파일 및 .htaccess 파일과 같이 권한 조정이 필요한 기본 디렉터리 및 파일을 식별합니다.
  • '디렉터리' 권한을 755로 설정하면 소유자는 파일을 읽고, 쓰고, 실행할 수 있고 다른 사람은 읽고 실행만 하도록 제한할 수 있습니다.
권한 변경
  • '파일' 권한을 644로 설정하면 소유자는 파일을 읽고 쓸 수 있고 다른 사람은 읽기 전용으로 제한할 수 있습니다.
  • wp-config.php 파일과 같이 더 민감한 파일의 경우 권한을 600으로 설정하세요. 그러면 소유자에게 읽기 및 쓰기 액세스 권한만 부여됩니다.

이는 일반적인 설정일 뿐이므로 권장 파일 권한은 호스팅 환경에 따라 다를 수 있으므로 구체적인 지침은 호스팅 공급자의 지원에 문의하세요.

오류 보고 비활성화

오류 보고를 비활성화하는 것은 민감한 정보가 공격자에게 노출될 가능성을 방지하여 WordPress 웹사이트를 보호하는 데 도움이 되는 중요한 보안 관행입니다.

오류 로그는 악의적인 개인이 악용할 수 있는 사이트 구성이나 기본 코드에 대한 세부정보를 실수로 공개할 수 있습니다.

오류 보고를 비활성화하려면 다음 단계를 따르십시오.

  •  FTP 클라이언트 또는 cPanel을 통해 웹사이트의 루트 디렉터리에 액세스하세요.
  • 루트 디렉터리 또는 public_html에서 wp-config.php 파일을 찾습니다.
  • 안전을 위해 wp-config.php 파일의 백업 복사본을 다운로드하세요.
  • wp-config.php 파일을 마우스 오른쪽 버튼으로 클릭하고 '편집'을 선택하여 엽니다.
  • 라는 줄을 찾습니다. define('WP_DEBUG', true);
  • 'true'를 'false'로 바꿔서 만듭니다. define('WP_DEBUG,' false); 아래 그림과 같이.
코드를 찾아보세요
  • wp-config.php 파일을 수정한 후 변경 사항을 저장했는지 확인하세요.

오류 로그 보고를 비활성화하면 공격자에게 유용할 수 있는 민감한 정보를 포함하여 잠재적인 오류 메시지나 경고가 사용자에게 표시되는 것을 방지할 수 있습니다.

그러나 오류 보고를 비활성화한다고 해서 오류를 완전히 무시해야 하는 것은 아닙니다. 여전히 사이트에 문제가 있는지 모니터링하고 즉시 해결해야 합니다.

wp-config.php 파일을 보호하세요

wp-config.php 파일은 데이터베이스 자격 증명 및 보안 키와 같은 민감한 정보를 포함하므로 WordPress 설치의 중요한 구성 요소입니다. 

잠재적인 보안 위반으로부터 WordPress 웹사이트를 보호하려면 이 파일을 보호하기 위한 조치를 취하는 것이 필수적입니다.

wp-config.php 파일을 보호하기 위한 몇 가지 권장 조치는 다음과 같습니다.

  1. wp-config.php 파일을 웹 루트 폴더 외부의 디렉터리로 이동하는 것을 고려해보세요. 이렇게 하면 인터넷에서 파일에 직접 액세스할 수 없으므로 공격자가 취약점을 악용하기가 더 어려워집니다.
  2. 앞에서 설명한 권장 권한을 사용하여 wp-config.php에 대한 파일 권한이 올바르게 구성되었는지 확인하세요.
  3. WordPress 사이트를 설정할 때 강력하고 고유하며 복잡한 데이터베이스 자격 증명을 사용하세요. 여기에는 강력한 데이터베이스 사용자 이름과 비밀번호를 사용하는 것이 포함됩니다.
  4. 사이트의 .htaccess 파일에 다음 규칙을 추가하여 wp-config.php 파일에 더 많은 보호 기능을 추가하세요. 
<files wp-config.php>
order allow,deny
deny from all
</files>

이러한 규칙은 모든 IP 주소의 파일에 대한 액세스를 거부할 수 있습니다.

특정 WordPress 디렉토리에서 PHP 파일 실행 비활성화

특정 디렉터리에서 PHP 파일 실행을 비활성화하여 WordPress 웹사이트의 보안을 강화할 수도 있습니다. 이렇게 하면 해당 디렉터리 내의 PHP 파일이 웹 사이트에서 실행되거나 실행되는 것을 방지할 수 있습니다.

PHP 파일 실행을 비활성화하려면 주로 사용자 생성 콘텐츠가 있는 대상 디렉터리에서 .htaccess 파일을 수정하세요. wp-content/uploads 디렉토리. 

텍스트 편집기에서 .htaccess 파일을 열고 다음 줄을 추가하면 됩니다.

<Files *.php>
deny from all
</Files>

다음으로 이 파일을 .htaccess로 저장하고 다음 위치에 업로드하세요. /wp-content/uploads/ FTP 클라이언트 또는 파일 관리자를 사용하여 웹사이트의 폴더.

이 줄은 지정된 디렉터리 내에서 .php 확장자를 가진 모든 파일에 대한 액세스를 거부하도록 서버에 지시합니다.

또는 위에서 언급한 Sucuri 플러그인의 강화 기능을 사용하여 원클릭으로 이 작업을 수행할 수 있습니다.

2.4 추가 보안 조치

WordPress 사이트를 더욱 안전하게 보호하기 위해 취할 수 있는 추가 보안 조치에 대해 논의하겠습니다. 

WordPress에서 유휴 사용자를 자동으로 로그아웃

사용자가 로그인 상태를 유지하고 일정 기간 동안 활동이 없으면 무단 액세스 또는 계정 변조의 위험이 있습니다. 

따라서 이 보안 취약점을 완화하려면 유휴 사용자를 로그아웃해야 합니다.

이렇게 하려면 다음을 설치하고 활성화해야 합니다. 비활성 로그아웃 플러그인. 활성화되면 다음으로 이동하세요. 설정 → 비활성 로그아웃 플러그인 설정을 구성합니다.

비활성 로그아웃

유휴 사용자를 자동으로 로그아웃하면 세션이 도용되거나 계정이 무단으로 변경될 위험이 줄어듭니다. 

이는 민감한 정보를 처리하거나 관리 권한이 있는 사용자 계정이 있는 웹사이트에 특히 중요합니다.

WordPress 버전 숨기기

WordPress 버전을 공개적으로 표시하면 공격자가 특정 WordPress 버전과 관련된 취약점을 더 쉽게 표적으로 삼을 수 있습니다.

WordPress 버전을 숨기려면 테마의 function.php 파일을 수정하거나 보안 플러그인을 사용하세요. 

몇 가지 다른 방법을 사용할 수 있지만 다음 가이드를 참조하는 것이 좋습니다. WordPress 버전을 숨기는 방법 자세한 지침은

WordPress 사이트 테마 이름 숨기기

공격자가 웹 사이트에서 사용 중인 WordPress 테마를 쉽게 식별할 수 있으면 해당 테마와 관련된 알려진 취약점을 악용하기가 더 쉬워집니다.

테마 이름을 숨기면 공격자가 사이트 설정에 대한 정보를 수집하고 잠재적으로 약점을 악용하는 것이 더 어려워집니다. 이는 WordPress 웹사이트에 추가 보안 계층을 추가합니다.

사이트의 테마 이름을 숨기려면 다음의 단계별 가이드를 따르세요. WordPress 테마 이름을 숨기는 방법.

WordPress 대시보드에서 파일 편집 비활성화

WordPress에는 WordPress 관리 영역에서 테마와 플러그인 파일을 편집할 수 있는 코드 편집기가 내장되어 있습니다.

테마 파일 스타일.css

해커가 WordPress 대시보드에 무단으로 액세스할 경우 악성 코드를 삽입하여 특정 파일을 수정하려고 시도할 수 있습니다. 

따라서 보안 위협이 될 수 있으므로 해당 기능을 비활성화하는 것이 좋습니다. 이렇게 하려면 사이트의 wp-config.php 파일.

// Disallow file edit

define( 'DISALLOW_FILE_EDIT', true );

이 변경 사항이 구현되면 관리자 액세스 권한이 있는 사용자는 더 이상 WordPress 관리 패널의 테마 및 플러그인 편집기에 액세스할 수 없습니다.

하지만 이 파일 편집을 비활성화한 후에도 FTP 또는 파일 관리자를 통해 테마 및 플러그인 파일에 액세스하여 변경할 수 있습니다.

기본 데이터베이스 테이블 접두사 변경

기본적으로 WordPress는 데이터베이스 테이블에 "wp_" 접두사를 사용하므로 공격자가 사이트를 더 쉽게 식별하고 타겟팅할 수 있습니다. 

보안을 강화하려면 테이블 접두사를 변경하여 잠재적인 악용을 더욱 어렵게 만드는 것이 좋습니다.

접두사 조정에는 wp-config.php 파일 및 phpMyAdmin 수정이 포함됩니다. 이 수동 프로세스는 올바르게 구성되지 않으면 웹 사이트가 손상될 위험이 있습니다. 

따라서 플러그인 방식을 사용하는 것이 좋습니다.

따라서 설치하고 활성화하십시오. Brozzme DB 접두사 및 도구 애드온 플러그인. 활성화 후 다음으로 이동하십시오. 도구 → DB PREFIX.

플러그인 내의 데이터베이스 테이블 접두사를 고유하고 예측하기 어려운 문자, 숫자 및 밑줄 조합으로 변경합니다. 특수문자나 공백은 피하세요.

변경하기 전에, 웹사이트 데이터베이스를 백업하세요. wp-config.php가 서버에 쓸 수 있는지 확인하고 잠재적인 문제를 방지하려면 MySQL ALTER 권한이 활성화되어 있는지 확인하세요. 

이러한 신중한 접근 방식은 사이트 기능에 대한 위험을 최소화하면서 보다 원활한 전환을 보장합니다.

Brozmme 플러그인

필요한 조정을 마친 후 DB 접두사 변경 버튼을 클릭합니다.

WordPress에서 XML-RPC 비활성화

XML-RPC는 사이트와 웹 또는 모바일 애플리케이션 간의 연결을 용이하게 하는 WordPress 기능입니다. WordPress 3.5부터 자동으로 활성화되었습니다. 

그러나 웹사이트에 대한 무차별 대입 공격이나 DDoS 공격을 증폭시키는 잠재적인 도구 역할을 할 수도 있습니다.

XML-RPC가 활성화되면 해커는 단일 기능을 사용하여 수천 개의 암호로 여러 번 로그인을 시도할 수 있습니다. XML-RPC를 사용하지 않으면 각 암호에 대해 별도의 시도가 필요합니다. 이는 심각한 보안 위험을 초래합니다.

이러한 위험을 방지하려면 XML-RPC를 적극적으로 사용하지 않는 경우 사이트의 .htaccess 파일에 코드를 추가하여 비활성화하는 것이 좋습니다. 

FTP 클라이언트 또는 호스팅 제어판을 사용하여 웹 사이트 파일에 액세스하고 루트 디렉터리에서 .htaccess 파일을 찾은 후 다음 코드를 추가합니다.

# Disable XML-RPC
<Files xmlrpc.php>
    Order Deny,Allow
    Deny from all
</Files>

하지만 이 방법을 사용하고 싶지 않다면 다음과 같은 WordPress 보안 플러그인을 사용할 수 있습니다. 단순 비활성화 XML-RPC

플러그인을 설치하고 활성화한 후 다음으로 이동하세요. 단순 비활성화 XML-RPC 활성화 후 확인해보세요 XML-RPC 사용 안 함 옵션을 선택하고 변경 사항을 저장합니다.

변경 사항을 저장하다

앞서 언급한 웹 애플리케이션 방화벽을 사용하는 경우 방화벽이 이를 처리할 수 있습니다.

핫링크 비활성화

핫링크를 비활성화하는 것은 웹사이트의 대역폭을 보호하고 다른 사람이 사이트의 이미지 및 기타 미디어 파일에 직접 연결하는 것을 방지하는 데 도움이 되는 보안 조치입니다. 

핫링크는 귀하의 웹사이트에 호스팅된 이미지나 미디어 URL을 다른 웹사이트에서 사용하거나, 귀하의 허락 없이 서버의 리소스를 사용하는 것을 의미합니다.

핫링크를 쉽게 비활성화하려면 다음을 설치하고 활성화하십시오. 올인원 보안(AIOS) WordPress 플러그인. 

활성화되면 다음으로 이동하십시오. WP 보안 → 파일 시스템 보안을 선택하고 파일 보호 탭. 아래로 스크롤하여 스위치를 켭니다. 이미지 핫링크 방지 섹션에 있어야 합니다., 아래 그림과 같이.

개인 핫링크

설정을 저장하는 것을 잊지 마세요.

디렉토리 색인화 및 찾아보기 비활성화

디렉토리 색인화 및 검색을 비활성화하는 것은 웹사이트 디렉토리의 컨텐츠에 대한 무단 액세스를 방지하는 중요한 보안 조치입니다. 

기본적으로 일부 웹 서버는 디렉터리 인덱싱을 허용합니다. 즉, 디렉터리에 인덱스 파일(예: index.html 또는 index.php)이 없으면 서버는 해당 디렉터리에 있는 파일 및 폴더 목록을 표시합니다. 

WP-포함

이로 인해 민감한 정보가 노출될 수 있으며 공격자가 취약점을 더 쉽게 식별할 수 있습니다.

파일에 대한 무단 액세스, 이미지 복사 및 디렉토리 구조 공개를 방지하려면 디렉토리 색인화 및 탐색을 비활성화하는 것이 좋습니다.

FTP 클라이언트 또는 호스팅 제어판을 통해 웹사이트 파일에 액세스하세요. WordPress 설치의 루트 디렉터리에서 .htaccess 파일을 찾습니다.

텍스트 편집기에서 .htaccess 파일을 열고 끝에 다음 코드를 추가합니다.

# Disable Directory Indexing and Browsing
Options -Indexes

.htaccess 파일에 대한 변경 사항을 저장하고 서버에 다시 업로드하여 필요한 경우 기존 파일을 바꿉니다. 

보안 헤더 사용

보안 헤더는 웹사이트의 특정 측면을 처리하도록 브라우저에 지시하여 일반적인 보안 취약성에 대한 추가 보호를 제공합니다. 

다음은 몇 가지 일반적인 보안 헤더와 그 이점입니다.

  •  X-XSS-Protection 헤더는 XSS(교차 사이트 스크립팅) 공격을 방지하기 위해 악성 스크립트 삽입을 차단합니다. 
  • X-Content-Type-Options 헤더는 MIME 유형 스니핑으로 인한 보안 취약점을 방지합니다. 
  • HSTS(Strict-Transport-Security) 헤더는 HTTPS를 적용하여 보안 연결을 보장합니다. 
  • CSP(Content-Security-Policy) 헤더를 사용하면 다양한 공격으로부터 보호하기 위한 보안 정책을 설정할 수 있습니다. 

따라서 WordPress 웹사이트에 이러한 보안 헤더를 구현하려면 다음을 설치하고 활성화해야 합니다. 보안 헤더 생성기 플러그인.

설치 후 다음으로 이동합니다. 보안 헤더 부분. 거기에서 시간을 정하고 원하는 대로 플러그인을 구성할 수 있습니다.

보안 헤더

보안 헤더를 구현할 때 웹사이트를 손상시키는 경향이 있으므로 웹사이트를 철저히 테스트하여 기존 기능과 충돌하지 않는지 확인하는 것이 중요합니다. 

또한 다음과 같은 온라인 도구를 사용할 수 있습니다. securityheaders.com 보안 헤더의 효율성과 올바른 구현을 확인합니다.

"AIOS(All-In-One Security)" 또는 "Wordfence"와 같은 보안 플러그인을 사용하는 경우 해당 옵션을 사용하여 사이트의 보안 헤더를 쉽게 구성할 수 있으므로 이전 플러그인이 필요하지 않습니다.

3 결론

잠재적인 위협과 취약성으로부터 WordPress 웹사이트를 보호하려면 WordPress 웹사이트를 보호하는 것이 중요합니다. 

따라서 "AIOS(All-In-One Security)"와 같은 강력한 보안 플러그인을 설치하면 이 게시물에서 논의된 대부분의 보안 조치를 포괄하는 광범위한 기능을 제공하므로 도움이 될 수 있습니다. 

그러나 보안 플러그인을 설치하는 것만으로는 충분하지 않습니다. 사용 가능한 모든 옵션을 검토하고 필요에 맞게 플러그인 설정을 사용자 정의하는 데 시간을 투자해야 합니다. 

그러나 플러그인에서 다루지 않는 고유한 보안 요구 사항이 있는 경우 추가 플러그인을 설치하거나 사용자 정의 코드를 활용하여 이러한 요구 사항을 해결하는 것이 좋습니다. 

위험을 완화하기 위해 코드를 변경하거나 새 플러그인을 활성화하기 전에 항상 웹사이트를 백업하는 것이 좋습니다. 

또한 WordPress 플러그인을 정기적으로 업데이트하고, 알림이나 결과를 검토하고, 최신 보안 뉴스와 모범 사례를 최신 상태로 유지하면 보안 위반 위험을 크게 줄일 수 있습니다.

이 게시물이 WordPress 웹사이트 보안에 도움이 되었나요? 그렇다면 자유롭게 의견을 공유해 주세요. 트윗 @rankmathseo

spot_img

최신 인텔리전스

spot_img

저작권 @ 2024 Plato Technologies Inc.