WordPress 블로그를 보호하는 방법
WordPress 블로그를 보호하는 것은 서버에 블로그를 설정한 후 수행해야 하는 필수 작업입니다. 해커가 몰래 들어와 정보를 훔치거나 데이터를 파괴할 수 있도록 WordPress를 활짝 열어둘 이유가 없어야 합니다. WordPress를 보호하는 데 몇 시간을 투자하면 지속적인 공격을 처리하는 데 수많은 시간을 절약할 수 있습니다. 이 가이드에서는 데이터와 정보를 안전하게 유지하기 위해 WordPress를 보호하는 여러 가지 방법을 보여줍니다.
또한 유용합니다. WordPress 웹사이트에 대한 무료 SSL 인증서를 받아 사이트 방문자를 보호 할 수 있습니다 .
1. 올인원 보안 플러그인을 사용하세요
작업을 단순하게 유지하려면 한 곳에서 여러 작업을 처리하는 WordPress 보안 플러그인으로 시작하세요. 가장 좋은 옵션 중 하나는 올인원 보안(AIOS) 입니다 . 백만 개 이상의 설치에 걸쳐 인상적인 별 5개 등급을 받은 이 제품은 귀하의 사이트에 추가할 가치가 있습니다. 게다가 많은 기능이 완전 무료입니다.
플러그인은 다음을 수행합니다.
- 무차별 대입 공격을 중지합니다.
- 이중 인증을 활성화합니다
- 봇으로부터 로그인 페이지를 숨깁니다.
- 항상 로그인 상태를 유지하려는 사용자는 강제로 로그아웃됩니다.
- 비밀번호 강도를 향상하는 데 도움이 됩니다.
- 매주 변경되는 64개의 새 문자를 추가하여 WordPress Salts(비밀번호를 암호화하는 해시 프로세스의 일부)를 개선합니다.
- 방화벽 보호 추가
- 맬웨어 방지 포함(프리미엄에만 해당)
- 스팸 댓글 감소
이는 포함된 내용의 아주 작은 부분일 뿐입니다. 모든 것을 설정하는 데 시간이 걸릴 수 있지만 하나의 플러그인을 관리하는 것이 여러 플러그인보다 낫습니다.
2. 무차별 공격을 중지하세요
해커는 무차별 대입 공격을 사용하여 로그인 비밀번호와 자격 증명을 쉽게 해독할 수 있습니다. 이를 방지하려면 로그인 잠금 플러그인을 설치하세요. 이 플러그인은 실패한 모든 WordPress 로그인 시도의 IP 주소와 타임스탬프를 기록합니다. 특정 횟수의 실패한 시도가 감지되면 해당 범위의 모든 요청에 대해 로그인 기능이 비활성화됩니다.
또한 이중 인증과 CAPTCHA라는 두 가지 편리한 기능을 추가합니다. 이는 또한 무차별 대입 공격을 대폭 감소시킵니다.
3. 강력한 비밀번호를 사용하세요
다른 사람이 추측하기 어려운 강력한 비밀번호를 사용하세요. 숫자, 특수문자, 대소문자를 조합하여 비밀번호를 만드세요. WordPress 2.5 이상에서 비밀번호 검사기를 사용하여 비밀번호의 안전성을 확인할 수도 있습니다.
비밀번호 관리자를 사용하여 완전히 무작위이고 안전한 비밀번호를 생성하는 것도 또 다른 옵션입니다. 비밀번호를 저장하지 않더라도 사이트에 고유한 비밀번호를 생성하는 데 유용한 도구입니다.
4. WP-Admin 폴더 보호
“wp-admin” 폴더에는 사이트에 대한 모든 중요한 정보가 포함되어 있으며 다른 사람에게 액세스 권한을 부여하려는 마지막 장소입니다. 이를 보호하는 가장 쉬운 방법은 추가 비밀번호를 추가하는 것입니다. 해커가 사용자의 자격 증명을 가지고 사이트에 침입하더라도 여전히 폴더의 자격 증명을 알아내야 합니다 wp-admin
. 이 시점에서 귀하는 이미 침해 사실을 알고 있으며 보안 강화를 위해 해킹된 사용자의 비밀번호와 wp-admin 비밀번호를 변경할 수 있습니다.
이를 수행하는 방법에는 여러 가지가 있습니다. 첫 번째는 웹 호스트에 따라 다릅니다. 많은 사람들이 cPanel을 제공합니다. 단계는 호스트에 따라 약간 다를 수 있습니다.
- 사이트의 cPanel 섹션에 로그인하세요. 웹 호스트에서 이를 수행하는 방법에 대한 지침을 얻을 수 있습니다.
- ‘보안’까지 아래로 스크롤한 후 ‘비밀번호 보호 디렉터리’를 선택합니다.
- “디렉터리 개인 정보 보호”를 선택하십시오.
- 비밀번호로 보호하려는 디렉토리를 선택하고 프롬프트를 따르십시오. 일반적으로 이 방법을 사용하여 디렉터리를 가장 잘 보호하는 방법을 자세히 설명하는 자습서가 있습니다.
두 번째 방법은 수동이며 일반적으로 권장되지 않습니다. 올바르게 수행하지 않으면 사이트가 차단될 수 있기 때문입니다.
- 즐겨 사용하는 텍스트 편집기를 사용하여 텍스트 파일을 만들고 이름을 “.htaccess”로 지정하세요.
- 다음을 파일에 추가하되 AuthUserFile 경로를 비밀번호 파일을 업로드할 위치로 변경하고(다음 단계에서) “yourusername”을 사용자 이름으로 변경합니다.
AuthName "Admins Only"AuthUserFile /home/user/public_html/example.com/wp-admin/.htpasswd
AuthGroupFile /dev/null
AuthType basic
require user yourusername
- “.htpasswd”라는 다른 텍스트 파일을 만듭니다.
- htpasswd 생성기를 사용하여 파일 내용을 생성합니다. Hosting Canada , web2generators 및 AskApache 에는 모두 사용하기 쉬운 생성기가 있습니다. 생성기를 작성한 후 제공된 텍스트를 복사하십시오. htpasswd 파일을 생성했습니다.
- 두 파일을 모두 wp-admin 폴더에 복사하면 모든 설정이 완료됩니다.
5. WordPress 버전 정보 제거
많은 WordPress 테마에는 메타 태그에 WordPress 버전 정보가 포함되어 있습니다. 해커는 이 정보를 빠르게 파악하고 해당 버전의 보안 취약성을 표적으로 하는 특정 공격을 계획할 수 있습니다.
WordPress 버전 정보를 제거하려면:
- WordPress 대시보드에 로그인합니다.
- ‘디자인 -> 테마 편집기’로 이동하세요.
- 오른쪽에서 “헤더” 파일을 찾으세요.
- 다음 코드 줄을 찾으세요.
<meta name="generator"content="WordPress versionnumber"/>
- 이 줄을 삭제하고 “파일 업데이트”를 누르세요.
Sucuri Security 와 같은 WordPress 보안 플러그인을 사용하여 이 정보를 숨길 수도 있습니다.
6. 플러그인 폴더 숨기기
웹사이트 URL: https://yourwebsite.com/wp-content/plugins로 이동하여 사용한 플러그인의 전체 목록을 볼 수 있다면 WordPress 사이트는 그다지 안전하지 않습니다. 빈 “index.html”을 플러그인 디렉토리에 업로드하면 이 페이지를 쉽게 숨길 수 있습니다.
- 텍스트 편집기를 엽니다. 빈 문서를 “index.html”로 저장합니다.
- FTP 프로그램을 이용하여 “/wp-content/plugins” 폴더에 “index.html”을 업로드합니다.
또한 도움이 됩니다: WordPress 통계 플러그인을 사용하여 웹사이트를 측정하세요.
7. 로그인 이름 변경
기본 사용자 이름은 “admin”입니다. WordPress를 보호하는 간단한 방법은 이를 변경하는 것입니다. 그렇지 않으면 해커가 이미 로그인 정보의 절반을 알고 있는 것입니다.
- WordPress 대시보드에 로그인하고 “사용자”를 선택하세요.
- “새 사용자”를 선택하십시오.
- 역할을 ‘관리자’로 설정하고 원하는 이메일 계정으로 초대장을 보냅니다. 초대를 수락하면 로그인하여 비밀번호를 만들고 새 관리자 계정이 될 수 있습니다.
- 새 사용자가 설정되면 ‘사용자’로 돌아갑니다.
- “관리자” 계정을 찾아서 삭제하세요.
- “모든 게시물과 링크에 대한 속성 지정”을 선택하고 사용자 이름을 선택하세요.
- “삭제 확인”을 누르세요.
8. 최신 버전으로 업그레이드
WordPress는 테마 및 플러그인과 함께 정기적인 업데이트를 받습니다. 이는 새로운 기능을 추가하고, 버그를 해결하고, 보안 취약성을 수정합니다. 마지막 부분이 가장 중요합니다. 해커가 보안 결함이 있는 이전 버전을 발견하면 즉시 오프닝을 악용할 것입니다.
매달 업데이트를 수행할 날짜를 예약하세요. 모든 항목에 대해 새로운 업데이트가 없을 수도 있지만 사용 가능한 항목에 대해 업데이트를 수행하세요. 여기에는 핵심 WordPress 설치가 포함됩니다. WordPress를 보호하는 간단한 방법이지만 매우 효과적입니다.
중요한 업데이트를 수행하기 전에 만일의 경우를 대비해 사이트를 완전히 백업하세요.
9. 정기적인 보안 검색 수행
모든 WordPress 설치에는 보안 플러그인이 필요합니다. 이미 언급한 올인원 보안(AIOS)과 Sucuri Security는 훌륭한 옵션입니다. 다음을 시도해 볼 수도 있습니다.
10. WordPress 사이트 백업
사이트가 아무리 안전하더라도 여전히 최악의 상황에 대비하고 싶습니다. WordPress 백업 플러그인을 설치하고 매일 데이터베이스를 백업하도록 예약하세요.
선택할 수 있는 옵션은 다양하지만 주요 옵션 중 일부는 다음과 같습니다.
11. 사용자 권한 정의
블로그 작성자가 두 명 이상인 경우 사용자 역할 편집기 플러그인을 설치하여 각 사용자 그룹의 기능을 정의할 수 있습니다. 이를 통해 블로그 소유자는 사용자가 블로그에서 할 수 있는 것과 할 수 없는 것을 제어할 수 있습니다.
12. SSL로 업그레이드
SSL 인증서가 없다면 지금이 바로 인증서를 발급받을 때입니다. SSL(Secure Sockets Layer)은 사용자와 웹사이트 간에 전송되는 내용을 암호화하는 프로토콜입니다. 많은 웹 호스트는 설치가 매우 쉬운 무료 또는 저렴한 SSL 인증서를 제공합니다. 이는 사용자가 사이트에 로그인하거나 구매하는 경우 특히 중요합니다. 또한 Google은 SSL 인증서가 있는 사이트를 선호합니다.
13. 파일 편집 비활성화
사이트의 관리 영역에서 직접 플러그인과 테마 코드를 편집할 수 있습니다. 다른 사람이 당신의 허락 없이 코드를 조작하기 시작했다고 상상해 보세요. 불쾌한 놀라움을 피하려면 파일 편집을 비활성화하십시오.
Sucuri와 같은 플러그인을 사용할 수 있지만 “wp-config.php” 파일에 몇 줄의 코드를 추가할 수도 있습니다.
- 사이트의 루트 폴더에서 “wp-config.php” 파일을 찾으세요. 파일에 액세스하려는 모든 FTP 클라이언트를 사용할 수 있습니다.
- 파일을 다운로드하고 메모장 등 즐겨 사용하는 텍스트 편집기에서 엽니다.
- 코드에 다음을 추가합니다.
// Disable file editdefine('DISALLOW_FILE_EDIT', true);
- 파일 편집을 비활성화하려면 기존 “wp-config.php” 파일을 새 버전으로 교체하세요.
또한 도움이 됩니다. 웹 사이트에 많은 미디어를 추가하는 경우 WordPress 이미지 최적화 팁을 고려하세요 .
14. 이중 인증 사용
해커가 사용자의 로그인 정보에 접근할 수 있더라도 2단계 인증(2FA)은 해커가 여전히 다른 비밀번호에 접근해야 함을 의미합니다. 이 경우 일반적으로 사용자의 휴대폰으로 코드가 전송됩니다. 이 게시물의 앞부분에서 언급한 것과 같은 보안 플러그인이나 miniOrange Google Authenticator 또는 WP 2FA 와 같은 전용 2FA 플러그인을 사용할 수 있습니다 .
이미지 크레디트: Unsplash . Crystal Crowder의 스크린샷.
답글 남기기