WordPress 보안 – 해커로부터 웹사이트를 보호하는 24가지 팁

워드프레스 보안은 웹사이트를 관리할 때 최우선 순위가 되어야 합니다. 웹 사이트를 디자인하고 콘텐츠를 게시하고 온라인으로 제품을 판매하지만 WordPress 보안을 심각하게 생각하지 않으면 사이트가 언제든지 해킹될 수 있습니다.

매일 30,000개의 웹사이트가 해킹당하고 2,000개 이상의 웹사이트가 Google에 의해 블랙리스트에 올라갑니다. 당신도 예외는 아닙니다. 정부 웹사이트가 해킹당할 수 있다면 왜 당신의 웹사이트는 해킹되지 않습니까?

어느 날 아침, 잠에서 깨어나 WordPress 사이트에 액세스할 수 없고 다음과 같은 임의의 메시지가 표시됩니다.

" 귀하의 웹사이트가 xyz 에 의해 해킹당했습니다. " – 사이트가 해킹당했습니다.

" 앞에 사이트에 맬웨어가 포함되어 있습니다 ." - Google에서 블랙리스트에 올렸습니다.

이것은 웹사이트에서 직면할 수 있는 최악의 상황입니다.

그런데 왜 워드프레스인가?

WordPress는 웹에 있는 전체 웹사이트의 31%(8천만 개) 이상을 차지합니다. W3Techs에 따르면 워드프레스는 다른 플랫폼보다 CMS 시장 점유율이 60% 이상 높아 해커를 끌어들이는 데 상당한 이유가 됩니다.

그러나 당황하지 마십시오. WordPress 보안 강화는 매우 쉽고 여러분도 할 수 있습니다.

이 기사에서는 해커와 맬웨어로부터 웹 사이트를 보호하기 위한 24가지 최고의 WordPress 보안 팁을 공유합니다.

"당신의 궁전으로 통하는 문을 그들이 발견하기 전에 사라지게 하지 않겠습니까?" – WP마이웹

일반적인 WordPress 보안 문제

WordPress 보안 모범 사례에 대해 자세히 알아보기 전에 먼저 몇 가지 일반적인 WordPress 보안 문제를 이해하겠습니다.

많은 사용자는 WordPress가 비즈니스에 사용하기에 안전한 플랫폼이 아니라고 생각합니다. 이는 전혀 사실이 아닙니다. 이것은 WordPress 보안에 대한 지식 부족, 열악한 시스템 관리, 오래된 WordPress 소프트웨어 및 플러그인 사용 등으로 인한 것입니다.

많은 WordPress 초보자는 웹 사이트를 만드는 것이 끝이며 보안 유지 관리가 필요하지 않다고 가정합니다. 이것이 사이트를 취약하게 만드는 방법입니다.

해커가 사이트에서 취약성을 발견하면 쉽게 사이트를 악용할 수 있습니다.

몇 가지 일반적인 WordPress 보안 문제를 확인해 보겠습니다.

1. 무차별 대입 공격:

무차별 대입 공격에서 자동화된 스크립트는 사용자 이름과 암호의 다양한 조합을 생성하는 데 사용됩니다. 해커는 WordPress의 로그인 페이지를 사용하여 무차별 대입 공격을 실행합니다.

간단한 사용자 이름과 암호를 사용하는 경우 이 공격의 다음 희생자가 될 수 있습니다.

2. 교차 사이트 스크립팅(XSS):

Cross Site Scripting은 공격자가 신뢰할 수 있는 웹사이트에 악성 코드/스크립트를 삽입하는 공격 유형입니다. 이 해킹 방법은 웹 사이트를 서핑하는 사용자에게 완전히 보이지 않습니다.

이러한 악성 스크립트는 익명으로 로드되어 사용자의 브라우저에서 정보를 훔칩니다. 사용자가 어떤 형태로든 데이터를 입력하더라도 데이터가 도난당할 수 있습니다.

3. SQL 주입:

WordPress는 MySQL 데이터베이스를 사용하여 블로그 정보를 저장합니다.

SQL 인젝션은 해커가 WordPress 데이터베이스에 액세스할 때 발생합니다. 해커는 WordPress 데이터베이스를 해킹하여 사이트에 대한 전체 액세스 권한이 있는 새 관리자 계정을 만들 수 있습니다.

또한 MySQL 데이터베이스에 데이터를 삽입하고 악성 또는 스팸 웹사이트에 대한 링크를 추가할 수 있습니다.

4. 백도어:

"백도어"라는 이름으로 그 의미를 이해할 수 있습니다.

백도어(Backdoor)는 해커가 정상적인 인증 절차를 거치지 않고 웹사이트 소유자에게 들키지 않고 침입할 수 있도록 하는 해킹 방법입니다.

웹사이트를 해킹한 후 해커는 일반적으로 발자국을 남기므로 해킹이 제거되더라도 웹사이트에 다시 액세스할 수 있습니다.

5. 제약 해킹:

WordPress Pharma hacks는 Viagra, Nexium, Cialis 등과 같은 웹에서 금지된 스팸성 약국 콘텐츠로 검색 엔진 결과를 채우는 일종의 웹사이트 스팸입니다.

다른 WordPress 해킹과 달리 제약 해킹 결과는 검색 엔진에만 표시됩니다. 따라서 웹사이트나 소스 코드를 보는 것만으로는 해킹을 발견할 수 없습니다.

Google로 이동하여 site:domain.com을 입력합니다. 검색 결과에 웹사이트 콘텐츠(약국 콘텐츠가 아님)가 표시되면 사이트가 약국 해킹의 영향을 받지 않는 것입니다.

이 해킹의 목표는 제목 태그를 유해한 링크로 덮어써서 가장 가치 있는 페이지를 악용하는 것입니다. 말할 것도 없이, 문제를 조기에 검사하지 않으면 Google, Bing과 같은 검색 엔진이 악성 콘텐츠를 제공하는 웹사이트를 블랙리스트에 올릴 수 있습니다.

6. 악성 리디렉션:

WordPress 악성 리디렉션은 사이트 방문자가 도박, 포르노, 데이트 사이트와 같은 스팸 사이트로 자동 리디렉션되는 일종의 해킹입니다. 이 해킹은 악성 코드가 웹사이트의 파일이나 데이터베이스에 주입될 때 발생합니다.

사이트가 방문자를 불법 또는 악의적인 사이트로 리디렉션하는 경우 귀하의 사이트는 Google에서 블랙리스트에 올릴 수 있습니다.

WordPress 보안이 중요한 이유는 무엇입니까?

귀하의 웹사이트는 귀하의 브랜드, 귀하의 비즈니스, 그리고 가장 중요한 것은 고객과의 첫 번째 접촉을 나타냅니다.

비즈니스를 유지하고 트래픽을 늘리는 데 많은 노력을 기울인 데는 몇 년이 걸렸을 것입니다. 당신의 청중은 당신의 기사를 사랑하고 당신의 제품을 신뢰합니다. 그것이 그들이 당신과 계속 연락하는 이유입니다.

WordPress 사이트가 안전하지 않은 경우 사이트와 고객 모두가 영향을 받는 방법은 다양합니다. 해커는 사용자의 개인 정보, 비밀번호, 신용 카드 세부 정보, 거래 정보를 도용하고 사용자에게 멀웨어를 배포할 수 있습니다.

사이트가 해킹당하면 트래픽이 급격히 감소하고 있음을 알 수 있습니다. 또한 Google은 귀하의 웹사이트를 블랙리스트에 올릴 것입니다.

구글 블로그에 따르면 2016년 해킹된 웹사이트의 수는 2015년 대비 약 20% 증가했다.

한 연구에서 Securi는 Google이 매일 10,000개 이상의 웹사이트를 블랙리스트에 추가한다고 보고합니다.

비즈니스에 대해 진지한 경우 WordPress 보안에 각별한 주의를 기울여야 합니다.

최고의 WordPress 보안 가이드

1. 좋은 WordPress 호스팅 받기
2. 워드프레스 버전 업데이트 유지
3. Nulled/Cracked 테마 또는 플러그인을 사용하지 마십시오.
4. 강력한 암호 사용
5. (2FA) 2단계 인증 추가
6. WordPress 로그인 URL 변경
7. 로그인 시도 제한
8. 사이트를 정기적으로 백업
9. WordPress 보안 플러그인 사용
10. 유휴 사용자 자동 로그아웃
11. WordPress 로그인 페이지에 보안 질문 추가
12. 기본 "admin" 사용자 이름 변경
13. 가능한 가장 낮은 역할에 사용자 할당
14. 파일 변경 및 사용자 활동 모니터링
15. SSL 인증서 설치
16. 사용하지 않는 테마 및 플러그인 삭제
17. WordPress 대시보드에서 파일 편집 비활성화
18. 암호 보호 WordPress 로그인 페이지
19. 디렉토리 탐색 비활성화
20. WordPress 버전 번호 제거
21. WordPress 데이터베이스 테이블 접두사 변경
22. 신뢰할 수 있는 WordPress 테마 및 플러그인만 사용
23. PHP 오류 보고 비활성화
24. WordPress에 HTTP 보안 헤더 추가

준비가 된? 시작하자.

1. 좋은 워드프레스 호스팅 받기

WordPress 호스팅은 WordPress 보안을 향상시키는 데 중요한 역할을 합니다.

당신은 호스팅 서비스에 대한 비용을 지불하고 있으며 귀하의 웹사이트는 그들의 통제하에 있습니다. 따라서 웹 사이트에 적합한 WordPress 호스팅을 선택하기 전에 주의해야 합니다.

A2Hosting, Bluehost 등과 같은 공유 호스팅은 트래픽이 적은 블로그를 운영하는 데 가장 적합한 호스팅 옵션입니다. 그러나 공유 호스팅에서는 항상 교차 사이트 오염의 기회가 있습니다.

교차 사이트 오염은 해커가 취약한 웹 사이트를 통해 웹 서버에 액세스한 다음 동일한 웹 서버의 다른 모든 웹 사이트를 악용할 수 있을 때 발생합니다.

관리형 WordPress 호스팅 제공업체를 사용하는 것이 좋습니다. 관리되는 WordPress 호스팅 회사는 웹 사이트에 대한 다계층 보안 옵션을 제공합니다. 그들의 호스팅 플랫폼은 매우 안전하며 일일 맬웨어 검사를 제공하고 외부 공격을 방지합니다. 어쨌든 서버에서 맬웨어를 발견하면 책임을 지고 즉시 제거합니다.

또한 일일 백업, 무료 SSL 인증서, 연중무휴 전문가 지원을 제공합니다.

WPEngine 관리 WordPress 호스팅 회사를 권장합니다. WordPress 사이트를 보호하기 위해 여러 보안 계층을 제공합니다. 그들의 계획에 따라 매일 백업, 무료 SSL, 글로벌 CDN 및 연중무휴 전문가 지원을 받을 수 있습니다.

WPEngine 을 방문하십시오. [이 링크에 추가된 할인 코드]

맨 위로

2. 워드프레스 버전 업데이트 유지

WordPress 사이트를 최신 상태로 유지하는 것은 WordPress 보안을 강화하기 위한 좋은 보안 방법입니다. 이 업데이트에는 WordPress 버전, 플러그인 및 테마가 포함됩니다.

최근 연구에서 Securi는 WordPress에 감염된 전체 웹사이트의 56%가 여전히 최신 버전이라고 분석했습니다. 당신이 그들 중 하나라면, 당신은 위험에 처해 있습니다.

매일 새로운 취약점이 발견되며 이를 막을 방법이 없습니다. 오래된 소프트웨어 및 플러그인에는 해커가 사이트를 악용하는 데 사용할 수 있는 취약점이 포함될 수 있습니다.

업데이트할 때마다 개발자는 새로운 기능을 포함하고, 보안 허점을 패치하고, 버그를 수정합니다. WordPress 소프트웨어와 마찬가지로 WordPress 테마 및 플러그인도 업데이트해야 합니다.

좋은 점은 WordPress가 자동으로 업데이트를 출시하고 사용자에게 알린다는 것입니다.

WordPress 버전, 플러그인 및 테마 업데이트는 매우 쉽고 WordPress 관리 대시보드를 통해 업데이트할 수 있습니다.

WordPress, 플러그인 및 테마를 업데이트하는 방법은 무엇입니까?

먼저 WordPress 대시보드에 로그인하고 대시보드> 업데이트 로 이동합니다. 거기에서 사용 가능한 새 업데이트가 있는지 확인할 수 있습니다.

참고: WordPress 버전을 업데이트하기 전에 파일과 데이터베이스의 전체 백업을 수행하십시오. 오류가 발생하는 경우 사이트를 이전 버전으로 쉽게 복원할 수 있습니다. 클릭 한 번으로 BlogVault를 사용하여 사이트를 쉽게 백업하고 복원할 수 있습니다.

페이지에서 "업데이트된 버전의 WordPress를 사용할 수 있습니다."를 볼 수 있습니다 . 지금 업데이트 버튼을 클릭하여 WordPress 버전을 업데이트하십시오. 이 프로세스는 몇 초 정도 걸릴 수 있습니다.

업데이트가 완료되면 아래로 스크롤하여 WordPress 플러그인을 업데이트하십시오. 플러그인을 하나씩 업데이트하는 것이 좋습니다. 먼저 플러그인을 선택하고 플러그인 업데이트 를 클릭합니다.

비슷한 방법으로 아래에서 테마를 업데이트하세요.

그러나 업데이트 프로세스는 일부 사용자, 특히 기술에 정통하지 않은 사용자에게는 약간 까다롭습니다.

SiteGround, Kinsta, FlyWheel과 같은 일부 관리 WordPress 호스팅 공급자는 자동 업데이트 기능을 제공합니다. 따라서 바쁜 일정에 있거나 업데이트가 게으른 경우 유용할 수 있습니다.

또한 WordPress 버전, 플러그인 및 테마를 수동으로 업데이트하는 방법도 읽어보세요.

맨 위로

3. Nulled/Cracked 테마 및 플러그인을 사용하지 마십시오.

프리미엄 플러그인과 테마가 더 많은 기능을 포함하고 전문적으로 보이는 것은 당연합니다. 그러나 프리미엄 제품은 모두 무료가 아닙니다. 가격과 함께 제공되며 프리미엄 제품을 구매한 후 사용자는 제품 키를 입력해야 제품을 활성화할 수 있습니다.

그러나 프리미엄 테마와 플러그인을 무료로 제공하는 악성 웹사이트가 많이 있습니다. 금이 간 테마와 플러그인은 활성화하는 데 직렬 키가 필요하지 않으며 업데이트되지 않습니다.

내가 의미하는 바는 다음과 같습니다.

무효화된 테마와 플러그인은 사이트에 매우 위험합니다. 해커는 특별히 악성 코드를 삽입하고 귀하의 사이트에 백도어를 만듭니다. 그래서 그들은 당신의 웹사이트에 쉽게 접근하고 데이터베이스를 포함한 당신의 웹사이트를 해킹할 수 있습니다.

따라서 null 또는 금이 간 WordPress 테마 및 플러그인을 사용하지 마십시오.

WordPress.org에서만 무료 테마 또는 플러그인을 다운로드하는 것이 좋습니다.

우리는 무료 테마 또는 플러그인의 기능이 매우 제한적이라는 것을 알고 있습니다. 그러나 이러한 무료 테마 또는 플러그인은 사용하기에 안전하며 정기적으로 업데이트됩니다.

또한 읽기, WordPress를 위한 7가지 최고의 프리미엄 블로깅 테마

맨 위로

4. 강력한 암호 사용

비밀번호는 WordPress 사이트에 액세스하기 위한 기본 키입니다. 간단하고 짧으면 해커가 쉽게 암호를 해독할 수 있습니다. 해킹 관련 침해의 80% 이상이 취약한 비밀번호 또는 도난된 비밀번호로 인해 발생합니다.

최근 연구에서 SplashData는 2017년 최악의 비밀번호 100가지를 공개했습니다.

다음은 그 중 몇 가지입니다.

1. 123456
2. 비밀번호
3. 12345678
4. 쿼티
5. 12345
6. 123456789
7. 나를 들여 보내줘
8. 1234567
9. 축구
10. 사랑해요
11. 관리자
12. 환영하다
13. 원숭이(웃음)

위와 같이 비밀번호가 단순하다면 바로 변경하세요. 강력한 비밀번호는 10자리 이상이어야 하며 대문자, 소문자, 숫자 및 특수 문자를 포함해야 합니다.

온라인 암호 생성 도구를 사용하여 수천 개의 보안 암호를 즉시 생성할 수 있습니다.

또한 암호를 컴퓨터에 저장해야 합니다.

더 쉽게 만들기 위해 비밀번호 관리자 소프트웨어를 사용하여 LastPass, Dashlane 등과 같은 모든 비밀번호를 관리할 수 있습니다.

사용자에게 강력한 암호 적용

기본적으로 WordPress에는 사용자가 약한 암호를 입력하는 것을 방지하는 기능이 없습니다. 대부분의 경우 사용자는 계정에 약한 비밀번호를 설정하고 거의 변경하지 않습니다.

다중 사용자 WordPress 블로그를 운영하는 경우 사용자에게 강력한 암호를 사용하도록 강제해야 합니다.

이 프로세스를 더 쉽게 하기 위해 플러그인을 사용할 수 있습니다. Force Strong Passwords 플러그인을 설치하고 활성화하면 완료됩니다. 이렇게 하면 사용자와 관리자가 약한 암호를 입력하는 것을 방지할 수 있습니다.

맨 위로

5. 2단계 인증(2FA) 추가

WordPress 보안을 강화하는 또 다른 간단한 방법은 WordPress 로그인 페이지에 이중 인증(2FA)을 추가하는 것입니다. 기본적으로 2단계 인증 또는 2단계 인증은 본인 확인을 위해 두 가지 방법이 필요한 보안 프로세스입니다.

기본적으로 우리는 일반적으로 웹사이트에 로그인하기 위해 사용자 이름과 비밀번호를 입력합니다. 이중 인증을 추가하면 인증 프로세스를 승인하기 위해 스마트폰 앱과 같은 추가 인증 프로세스가 필요합니다.

따라서 누군가 귀하의 사용자 이름과 비밀번호를 알고 있는 경우 귀하의 스마트폰이 귀하의 사이트에 로그인하기 위한 인증 코드를 받아야 합니다.

이중 인증을 추가하면 WordPress 로그인 페이지를 보호할 뿐만 아니라 무차별 대입 공격도 방지할 수 있습니다.

Google 이중 인증자 WordPress 플러그인을 사용하여 이중 인증을 쉽게 활성화할 수 있습니다.

활성화되면 사용자> 사용자 프로필 로 이동하여 플러그인을 활성화합니다.

그런 다음 휴대전화에서 Google 인증 앱을 다운로드하고 바코드 를 스캔하거나 사이트에서 비밀 코드 (위 스크린샷 참조)를 입력하여 웹사이트를 추가합니다.

추가되면 사이트에서 로그아웃합니다. 로그인 페이지에 Google OTP 모바일 앱에서 인증 코드를 입력해야 하는 추가 필드가 표시됩니다.

자세한 지침은 WordPress 로그인 페이지에서 Google 이중 인증을 추가하는 방법에 대한 가이드를 참조하세요.

맨 위로

6. WordPress 로그인 페이지 URL 변경

기본적으로 "domain.com/wp-admin" 또는 "domain.com/ "과 같이 도메인 이름 끝에 "wp-admin" 또는 "wp-login.php" 를 추가하기만 하면 누구나 로그인 페이지에 액세스할 수 있습니다. wp-login.php” .

뭔지 맞춰봐! 해커는 로그인 페이지를 사용하여 무차별 대입 공격을 실행할 수 있습니다. 매우 간단한 암호를 사용하는 경우 해커가 쉽게 암호를 해독하고 웹사이트에 들어갈 수 있습니다.

그러나 그들이 어디를 공격해야 할지 모른다면? 예, 당신이 올바르게 추측했습니다.

로그인 페이지 URL을 숨기거나 이름을 바꾸면 해커가 무차별 대입 공격을 실행할 수 없습니다.

WordPress에서는 플러그인을 사용하여 로그인 페이지를 쉽게 숨기거나 이름을 바꿀 수 있습니다. WordPress 플러그인 갤러리에서 WPS Hide Login 플러그인을 설치하고 활성화합니다.

활성화되면 설정> 일반 으로 이동하여 하단에서 WP 로그인 숨기기 옵션 을 찾을 수 있습니다.

로그인 URL "login" 을 추측하기 어려운 다른 것으로 변경하고 변경 사항 저장 을 클릭하기만 하면 됩니다.

완료되면 새 로그인 페이지를 북마크에 추가하면 완료됩니다.

맨 위로

7. 로그인 시도 제한

기본적으로 WordPress는 로그인 양식을 통한 로그인 시도 횟수를 제한하지 않습니다. 즉, 누구나 로그인 URL을 알고 있으면 원하는 만큼 로그인 기능을 시도할 수 있습니다. 이런 식으로 해커는 무차별 대입 공격을 실행하여 웹 사이트에 액세스하기 위해 "사용자 이름"과 "비밀번호"를 해독합니다.

로그인 시도를 제한하여 WordPress 보안을 강화하고 무차별 대입 공격으로부터 로그인 페이지를 보호할 수 있습니다.

사용자가 동일한 IP 주소에서 할 수 있는 최대 잘못된 로그인 시도 횟수를 설정할 수 있습니다. 사용자가 제한을 초과하면 사용자의 IP가 특정 시간 동안 차단됩니다.

WordPress에서 로그인 시도를 제한하려면 Login LockDown 플러그인을 설치하십시오. 활성화되면 설정> 로그인 잠금 으로 이동하여 플러그인을 구성하십시오.

자세한 지침은 WordPress에서 로그인 시도를 제한하는 방법에 대한 가이드를 참조하세요.

맨 위로

8. 사이트를 정기적으로 백업

백업은 Time Machine과 같습니다. 당신이 그것을 가지고 있다면, 당신의 웹 사이트는 안전합니다.

그러나 웹 사이트 백업은 해커로부터 사이트를 보호하지 않지만 사이트를 복구하는 데 도움이 됩니다.

예를 들어 업데이트 중에 사이트에 문제가 발생하거나 웹사이트가 해킹된 경우 사이트를 다시 수정하는 방법은 무엇입니까? 당신은 아마 당신의 사이트를 잃을 것입니다.

그러나 사이트 백업이 있는 경우 해킹 또는 충돌이 발생하기 전에 사이트를 쉽게 복원할 수 있습니다.

그렇기 때문에 안정적인 WordPress 백업 플러그인을 사용하는 것이 좋습니다. 그러나 많은 호스팅 회사에서 무료 웹사이트 백업을 제공하지만 치명적인 오류가 발생하는 경우 사이트 가용성을 보장할 수 있습니다. 따라서 Google 드라이브, Amazon S3, Dropbox 등과 같은 원격 위치에 백업을 저장해야 합니다.

고맙게도 이것은 BlogVault 또는 BackUpBuddy WordPress 백업 플러그인을 사용하여 수행할 수 있습니다. 둘 다 일일 백업과 원클릭 복원을 제공합니다. 추가 비용 없이 준비 사이트를 만들 수도 있습니다.

맨 위로

9. WordPress 보안 플러그인 사용

WordPress 보안 을 강화하기 위해 다음으로 필요한 것은 보안 플러그인입니다. 해커와 맬웨어로부터 사이트를 잠글 수 있는 WordPress 보안 플러그인이 많이 있습니다.

WordPress 보안 플러그인은 사이트에 멀웨어가 있는 경우 이를 감지하고 제거합니다. 또한 실시간으로 사용자 활동을 모니터링하고 변경 사항이 있는지, 플러그인에 맬웨어가 포함되어 있는지 알려주고, 스팸 트래픽을 차단하는 등 다양한 기능을 제공합니다.

Securi WordPress 보안 플러그인을 권장합니다. Securi Security는 보안 활동 감사, 웹사이트 모니터링, 웹사이트 방화벽 등과 같은 다양한 유형의 보안 기능을 제공합니다.

Securi의 가장 좋은 점은 사이트가 서비스를 사용하는 동안 Google에 의해 해킹되거나 블랙리스트에 올라도 사이트 수정을 보장한다는 것입니다.

대부분의 WordPress 보안 전문가는 해킹된 사이트를 수정하는 데 300달러 이상을 청구하지만 모든 보안 서비스는 연간 199달러 에 이용할 수 있습니다. WordPress 보안을 강화하기 위한 좋은 투자입니다.

맨 위로

10. 유휴 사용자 자동 로그아웃

사용자가 사이트에서 너무 오랫동안 유휴 상태 또는 비활성 상태를 유지하면 무차별 대입 공격이 발생할 수 있습니다.

사용자가 너무 오랫동안 비활성 상태를 유지하면 해커가 쿠키 또는 세션 하이재킹 방법을 사용하여 웹사이트에 무단으로 액세스할 수 있습니다. 그렇기 때문에 은행 및 결제 게이트웨이 웹 사이트와 같은 대부분의 교육 및 금융 관련 웹 사이트는 사용자 세션 시간 제한 기능을 사용합니다. 따라서 사용자가 페이지에서 벗어나 일정 시간 동안 상호 작용하지 않으면 웹 사이트는 비활성 사용자를 자동으로 로그아웃합니다.

WordPress 보안을 개선하기 위해 WordPress 사이트에 추가할 수 있는 것과 동일한 기능입니다. WordPress에서 자동으로 로그아웃 유휴 사용자를 추가하는 것은 매우 간단합니다. 플러그인을 설치하기만 하면 됩니다.

먼저 Inactive Logout WordPress 플러그인을 다운로드하여 설치합니다. 그런 다음 활성화하고 설정> 비활성 로그아웃 으로 이동하여 플러그인을 구성합니다.

설정에서 유휴 시간 제한을 변경할 수 있습니다. 따라서 시간이 지나면 사이트의 모든 사용자가 자동으로 로그아웃됩니다.

유휴 시간 초과 메시지를 변경하고 필요한 경우 다른 설정을 수정할 수도 있습니다.

완료되면 변경 사항 저장 을 클릭하여 설정을 저장합니다.

자세한 지침은 WordPress에서 유휴 사용자를 자동으로 로그아웃하는 방법에 대한 가이드를 참조하세요.

맨 위로

11. WordPress 로그인 페이지에 보안 질문 추가

WordPress 로그인 페이지에 보안 질문을 추가하면 WordPress 로그인 페이지를 보호할 뿐만 아니라 WordPress 보안을 강화할 수 있습니다.

보안 질문은 로그인하는 동안 ID를 추가로 인증하기 위해 추가 보안 계층을 추가합니다. 이는 다중 작성자 WordPress 블로그를 실행하는 경우 매우 유용합니다.

사용자 또는 비밀번호가 도난당한 경우 보안 질문이 생명을 구할 수 있습니다.

사용자 이름과 비밀번호는 쉽게 해킹될 수 있지만 올바른 보안 질문과 답변을 선택하는 것은 거의 불가능하기 때문입니다. 이렇게 하면 해커와 무차별 대입 공격으로부터 WordPress 로그인 페이지를 저장할 수 있습니다.

WordPress 로그인 페이지에 보안 질문을 추가하려면 WP 보안 질문 플러그인을 설치하세요.

활성화되면 WP 보안 질문 > 플러그인 설정 으로 이동하여 플러그인을 구성합니다.

기본적으로 플러그인에는 많은 일반적인 질문이 추가되었습니다. 그러나 목록에서 보안 질문을 추가하거나 제거할 수 있습니다.

하단의 로그인 페이지, 등록 및 비밀번호 분실 페이지에서 보안 질문을 활성화할 수 있습니다. 플러그인을 구성한 후 설정 저장 을 클릭하는 것을 잊지 마십시오.

참고: 신규 사용자만 등록하는 동안 보안 질문과 답변을 설정할 수 있습니다. 따라서 등록된 사용자는 자신의 보안 질문과 답변을 수동으로 설정해야 합니다. 보안 질문과 답변을 설정할 수도 있습니다. 이것은 사용자 프로필 페이지에서 수행할 수 있습니다.

자세한 지침은 WordPress 로그인 페이지에 보안 질문을 추가하는 방법에 대한 가이드를 참조하세요.

맨 위로

12. 기본 "관리자" 사용자 이름 변경

워드프레스를 설치한 후 원하는 만큼 비밀번호를 변경할 수 있습니다. 하지만 사용자 이름이 설정되면 변경할 수 있습니까? 권리 없다?

기본적으로 WordPress는 사용자가 사용자 이름을 변경하는 것을 허용하지 않습니다. 그런데 왜 바꿔야 합니까?

"admin"과 같은 매우 일반적인 사용자 이름을 사용하는 경우 해커는 사용자 이름을 사용하여 무차별 대입 연결을 실행할 수 있습니다.

그러나 당황하지 마십시오. WordPress를 쉽게 변경할 수 있는 몇 가지 방법이 있습니다.

그러나 프로세스를 더 쉽게 하기 위해 플러그인을 사용합니다. 먼저 사용자 이름 체인저 플러그인을 다운로드하여 설치합니다 . 그런 다음 사용자> 내 프로필 로 이동하여 사용자 이름 옵션을 찾습니다. 거기에서 " 사용자 이름 변경 " 옵션을 찾을 수 있습니다.

사용자 이름 변경 버튼을 클릭하고 새 사용자 이름을 입력합니다. 완료되면 프로필 업데이트 를 클릭합니다.

플러그인 없이 사용자 이름을 수동으로 변경하려면 WordPress 사용자 이름을 변경하는 3가지 방법 기사를 확인하세요.

맨 위로

13. 가능한 가장 낮은 역할에 사용자 할당

다중 작성자 WordPress 사이트를 운영하는 경우 사용자에게 역할을 할당하기 전에 주의해야 합니다.

여러 번 WordPress 사이트 소유자는 새 사용자에게 더 높은 사용자 역할을 할당합니다. 이렇게 하면 사용자에게 모든 권한이 부여되고 결과적으로 모든 사용자는 원하는 작업을 수행할 수 있습니다.

예를 들어 편집자 사용자 역할이 무엇을 수행할 수 있는지 모르고 일반 사용자에게 역할을 할당하면 사용자는 모든 게시물을 삭제하고, 링크를 편집하고, 스팸 게시물을 만들고, 블로그에 악성 링크를 추가할 수 있습니다. 게시물. 이것이 사용자가 웹사이트를 쉽게 망칠 수 있는 방법입니다.

기본적으로 WordPress에는 5가지 사용자 역할이 있습니다.

• 관리자
• 편집자
• 작가
• 기부자
• 구독자

1. 관리자: 관리자는 WordPress 사이트에서 가장 강력한 사용자 역할입니다. 그들은 사용자 계정을 생성, 편집 및 삭제할 수 있으며 WordPress 관리자 패널 전체에서 모든 작업을 수행할 수 있으며 콘텐츠 영역 전체를 제어하고 댓글도 검토할 수 있습니다.
2. 편집자: 편집자 역할이 있는 사용자는 모든 콘텐츠를 제어할 수 있습니다. 그들은 다른 사용자가 작성한 게시물을 포함하여 모든 게시물을 작성, 편집 및 삭제할 수 있습니다. 또한 댓글을 검토하고 링크를 수정할 수 있습니다.
3. 작성자: 작성자는 자신의 게시물만 게시, 편집 또는 삭제할 수 있습니다. 그들은 자신의 게시물에 사용할 미디어 파일을 업로드할 수 있습니다. 댓글을 볼 수는 있지만 댓글을 승인하거나 삭제할 수는 없습니다.
4. 기고자: 기고자 역할을 가진 사용자는 자신의 게시되지 않은 게시물을 작성, 편집 또는 삭제할 수만 있지만 자신의 게시물을 게시할 수는 없습니다.
5. 구독자: 구독자는 비밀번호를 포함한 계정 정보만 수정할 수 있지만 콘텐츠나 사이트 설정에 대한 액세스 권한은 없습니다. 그들은 WordPress 사이트에서 가장 낮은 기능을 가지고 있습니다.

WordPress 사용자 역할을 이해하면 위험 없이 쉽게 관리할 수 있습니다.

또한 새 사용자 기본 역할을 구독자로 설정하는 것이 좋습니다. 설정> 일반 설정으로 이동하여 설정된 새 사용자 기본 역할 – 가입자 에서 변경 사항 저장 을 클릭합니다.

자세한 내용은 WordPress 사용자 역할 및 기능에 대한 초보자 가이드를 참조하세요.

맨 위로

14. 파일 변경 및 사용자 활동 모니터링

WordPress 보안을 강화하는 또 다른 현명한 방법은 사용자 활동 및 파일 변경 사항을 모니터링하는 것입니다.

다중 사용자 WordPress 사이트를 운영하는 경우 WordPress 사이트 전체에서 활동이 무엇인지 더 잘 이해하기 위해 사용자 행동을 추적해야 합니다.

사용자가 의심스러운 작업을 하거나 웹사이트를 해킹하려는 경우 누가 알겠습니까? 그것을 어떻게 알 수 있습니까?

사용자 활동 및 파일 변경 사항을 추적하는 유일한 방법 은 사용자 활동 WordPress 플러그인을 사용하는 것입니다. WordPress에서 사용자 활동 플러그인을 사용하여 다음을 수행할 수 있습니다.

• 누가 로그인했는지 실시간으로 무엇을 하고 있는지 확인
• 사용자가 로그인 및 로그아웃할 때
• 사용자가 로그인을 시도했지만 실패한 횟수

또한 편집자가 귀하의 허가 없이 게시물이나 페이지를 변경한 경우 쉽게 찾아 되돌릴 수 있습니다. 사용자 활동 플러그인의 좋은 점은 문제가 발생하면 즉시 이메일 알림을 보낸다는 것입니다.

WP 보안 감사 로그는 사용자 활동 및 파일 변경 사항을 실시간으로 모니터링하는 최고의 플러그인입니다. 플러그인 작동 방식은 아래 스크린샷입니다.

또한 읽기, WordPress에서 사용자 활동을 모니터링하는 5가지 최고의 플러그인(대체 플러그인)

맨 위로

15. SSL 및 HTTPS 구현

SSL 인증서 없이는 WordPress 보안 을 개선할 수 없습니다. SSL(Secure Socket Layer)은 웹사이트 보안의 근간입니다.

SSL은 온라인 거래와 같은 온라인 통신에서 서버와 웹 브라우저 사이에 암호화된 링크를 생성하는 표준 보안 기술입니다. 따라서 암호, 신용 카드 세부 정보 등과 같은 모든 민감한 데이터는 암호화된 링크를 통과합니다.

온라인 비즈니스나 결제를 수락하는 블로그를 운영하는 경우 SSL 인증서는 필수입니다. 고객의 데이터를 해커로부터 안전하게 보호합니다. 온라인 상점이나 WooCommerce 사이트의 경우 SSL 인증서 비용은 약 $20-$170입니다.

WordPress 블로그를 운영하는 경우 유료 SSL 인증서가 필요하지 않습니다. SiteGround, WPEngine과 같은 cPanel 호스팅을 사용하는 경우 클릭 한 번으로 SSL 인증서를 무료로 설치할 수 있습니다.

먼저 호스팅 cPanel 계정에 로그인하고 보안 으로 이동합니다. (아래는 cPanel을 호스팅하는 SiteGround의 스크린샷입니다.)

SSL/TLS 관리자 로 이동하여 SSL 인증서 설치 를 클릭합니다. 페이지에서 도메인을 선택 하고 도메인별 자동 완성을 클릭합니다. 프로세스는 자동이므로 아무 것도 편집하거나 수정할 필요가 없습니다.

이제 인증서 설치 버튼을 클릭하여 설정 프로세스를 마칩니다.

완료되면 WordPress 관리자 대시보드에 로그인하여 사이트 URL을 수정합니다. 설정> 일반 으로 이동하여 사이트 URL 앞에 HTTP를 HTTPS로 교체를 추가합니다. 아래는 스크린샷입니다.

업데이트되면 변경 사항 저장 을 클릭합니다.

WordPress에서 HTTP를 HTTPS로 리디렉션하는 방법

SSL 인증서를 올바르게 설치했다면 HTTPS로 사이트에 액세스할 수 있습니다.

그러나 누군가 브라우저 주소 표시줄에 귀하의 웹사이트 이름(예: domain.com)만 입력하면 사이트에 " 연결이 안전하지 않습니다 "라는 메시지가 표시될 수 있습니다. 즉, HTTP로 사이트에 액세스할 수 있습니다.

이 문제를 해결하려면 WordPress에서 HTTPS를 강제 실행해야 사이트가 HTTPS로만 로드됩니다. WordPress에서 HTTPS를 쉽게 강제 실행할 수 있습니다.

먼저 호스팅 cPanel에 로그인하고 웹사이트의 루트 폴더로 이동하여 .htaccess 파일을 찾습니다. .htaccess 파일을 편집하고 끝에 다음 코드를 추가합니다.

다시 쓰기 엔진 켜기
RewriteCond %{HTTPS} 끄기
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

파일을 저장하면 완료됩니다. 이제 웹사이트는 HTTPS로만 액세스할 수 있습니다.

웹 호스팅 공급자가 무료 SSL 인증서를 제공하지 않는 경우 SSL 인증서를 수동으로 설치할 수 있습니다. 다음은 무료 SSL 인증서를 설치하는 방법에 대한 안내입니다 .

맨 위로

16. 사용하지 않는 테마 및 플러그인 삭제

WordPress 보안 강화와 관련하여 사이트를 취약하게 만들 수 있는 작은 단계를 무시해서는 안 됩니다.

대부분의 경우 WordPress 사이트 소유자는 사이트에서 더 잘 보이는 테마 또는 더 많은 기능이 있는 플러그인을 테스트하기 위해 다양한 테마와 플러그인을 설치합니다. 괜찮아. 그러나 사용하지 않는 테마와 플러그인을 유지하면 사이트가 취약해집니다.

많은 WordPress 테마와 플러그인을 유지하려면 사용 중인 것과 같은 정기적으로 업데이트해야 하기 때문입니다. 업데이트하지 않으면 취약해지며 해커는 취약한 테마와 플러그인을 통해 사이트를 쉽게 악용할 수 있습니다. 게다가, 너무 많은 테마와 플러그인을 유지하면 WordPress 사이트가 느려집니다.

따라서 사이트 성능과 WordPress 보안을 향상시키기 위해 사용하지 않는 테마와 플러그인을 항상 삭제해야 합니다 .

사용하지 않는 플러그인을 삭제하려면 플러그인> 설치된 플러그인 으로 이동하십시오. 그런 다음 더 이상 필요하지 않은 플러그인을 찾으십시오. 먼저 플러그인을 비활성화하고 삭제 를 클릭합니다.

마찬가지로 테마를 삭제하려면 모양> 테마 로 이동하여 테마 세부 정보 를 클릭합니다. 그런 다음 오른쪽 하단에서 삭제 를 클릭합니다.

맨 위로

17. WordPress 대시보드에서 파일 편집 비활성화

기본적으로 WordPress에서는 사용자가 WordPress 대시보드에서 직접 테마 및 플러그인 파일을 편집할 수 있습니다. 테마 및 플러그인 파일을 자주 수정해야 하는 사용자에게 유용한 옵션입니다.

그러나 이 기능을 활성화된 상태로 유지하면 심각한 보안 문제가 될 수 있습니다. 해커가 웹 사이트에 액세스하면 일반적으로 웹 사이트 파일에 악성 코드를 삽입하여 발자국을 남깁니다. WordPress 파일 편집 기능이 활성화되어 있으면 해커가 사용자가 모르는 테마 또는 플러그인 파일에 악성 코드를 쉽게 삽입할 수 있습니다.

WordPress 보안을 개선하려면 WordPress 대시보드에서 파일 편집 기능을 비활성화해야 합니다. WordPress에서 WordPress 테마 및 플러그인 편집기를 비활성화하는 것은 매우 쉬운 과정입니다.

먼저 호스팅 cPanel 계정에 로그인하고 WordPress 사이트의 루트 폴더로 이동해야 합니다. 거기에서 wp-config.php를 찾으십시오. 편집을 클릭하고 끝에 다음 코드를 추가합니다.

정의( 'DISALLOW_FILE_EDIT', true );

이제 파일을 저장하고 WordPress 대시보드를 새로 고칩니다. 테마 및 플러그인 편집기 옵션이 사라진 것을 볼 수 있습니다. 이 작은 트릭으로 WordPress 보안을 쉽게 향상시킬 수 있습니다.

WordPress에서 테마 및 플러그인 편집기를 비활성화하는 방법에 대한 자세한 가이드 읽기

맨 위로

18. 비밀번호 보호 WordPress 로그인 페이지

WordPress 보안을 향상시키는 또 다른 좋은 방법은 WordPress 로그인 페이지를 암호로 보호하는 것입니다.

WordPress 로그인(/wp-login.php) 또는 admin(/wp-admin) 페이지를 비밀번호로 보호하면 로그인 페이지에 액세스하려면 비밀번호가 필요하므로 해커가 로그인 페이지에 액세스하는 것을 방지할 수 있습니다. 이 기능을 활성화하면 사이트에 로그인 페이지에 액세스하는 모든 사용자에게 사용자 이름과 비밀번호 창이 표시됩니다. 간단히 말해서 모든 사용자는 WordPress 관리 대시보드에 액세스하기 전에 다른 사용자 이름과 비밀번호로 두 번 로그인해야 합니다.

이렇게 하면 WordPress 보안을 강화하고 로그인 페이지에 보안 계층을 추가할 수 있습니다.

WordPress 로그인 페이지를 암호로 보호하는 방법에 대한 심층 가이드를 읽어보세요.

맨 위로

19. WordPress에서 디렉토리 탐색 비활성화

기본적으로 Apache, NGINX 및 LiteSpeed와 같은 대부분의 웹 서버에서는 모든 사용자가 WordPress 파일 및 폴더가 포함된 디렉토리를 탐색할 수 있습니다. 그들은 또한 당신이 사용하고 있는 테마와 플러그인을 볼 수 있고 웹사이트 구조에 대해 더 많이 알 수 있습니다.

이 정보는 WordPress 사이트를 취약하게 만들고 사이트를 손상시키려고 할 때 해커를 도울 수 있습니다.

WordPress 보안을 강화하려면 이 옵션을 비활성화하는 것이 좋습니다. WordPress에서 디렉토리 탐색을 비활성화하려면 .htacces 파일에 다음 줄을 추가하기만 하면 됩니다.

옵션 전체 - 인덱스

자세한 지침은 WordPress에서 디렉토리 탐색을 비활성화하는 방법에 대한 가이드를 참조하십시오.

맨 위로

20. WordPress 버전 제거

기본적으로 WordPress는 사용 중인 WordPress 버전을 표시하는 여러 위치에 메타 태그를 자동으로 추가합니다.

문제는 다음과 같습니다. 해커가 귀하가 오래된 WordPress 버전을 실행하고 있다는 것을 알고 있으면 이전 WordPress 버전에 존재하는 알려진 취약점을 통해 사이트를 악용할 수 있습니다.

따라서 WordPress 보안을 개선하려면 WordPress 버전을 제거하는 것이 좋습니다. WordPress 대시보드, 헤더, 스타일 및 자바스크립트, RSS 피드와 같이 WordPress가 메타 태그를 추가하는 여러 위치가 있습니다.

헤더 및 RSS에서 WordPress 버전 제거

헤더와 RSS에서 버전을 제거하려면 functions.php 파일 끝에 다음 줄을 추가하세요.

기능 제거_wordpress_version() {
반품 '';
}
add_filter('the_generator', 'remove_wordpress_version');

스크립트 및 CSS에서 WordPress 버전 번호 제거

CSS 및 스크립트에서 WordPress 버전을 제거하려면 functions.php 파일 끝에 다음 줄을 추가하세요.

// 스크립트와 스타일에서 버전 번호 선택
기능 제거 버전_from_style_js( $src ) {
if ( strpos( $src, 'ver=' . get_bloginfo( 'version' ) ) )
$src = remove_query_arg( 'ver', $src );
반환 $src;
}
add_filter( 'style_loader_src', 'remove_version_from_style_js');
add_filter( 'script_loader_src', 'remove_version_from_style_js');

완료되면 functions.php 파일을 저장하십시오.

그게 다야 이 간단한 트릭으로 WordPress 보안을 확실히 향상시킬 수 있습니다. 그러나 항상 WordPress 버전과 테마 및 플러그인을 정기적으로 업데이트하는 것이 좋습니다.

자세한 지침은 WordPress 버전을 숨기거나 제거하는 방법에 대한 가이드를 참조하세요.

맨 위로

21. WordPress 데이터베이스 테이블 접두사 변경

WordPress 설치 중에 다른 데이터베이스 접두사를 사용할 것인지 묻습니다. 우리는 일반적으로 이 단계를 건너뛰므로 WordPress는 자동으로 (WP_) 를 기본 데이터베이스 테이블 접두사로 사용합니다. 강력하고 독특한 것으로 변경하는 것이 좋습니다.

기본(WP_) 접두사를 사용하면 WordPress 데이터베이스가 SQL 주입 공격에 취약해집니다. 이러한 공격은 데이터베이스 접두사(WP_)를 고유한 것으로 변경하여 방지할 수 있습니다.

WordPress를 설치한 후 플러그인을 사용하거나 수동으로 기본 데이터베이스 테이블 접두사를 쉽게 변경할 수 있습니다. BackupBuddy, Brozzme DB Prefix와 같은 플러그인을 사용하면 클릭 한 번으로 테이블 접두사를 변경할 수 있습니다.

튜토리얼을 위해 Brozzme DB Prefix 플러그인을 사용하여 변경하는 방법을 보여드리겠습니다.

참고: 데이터베이스를 사용하기 전에 사이트와 데이터베이스를 백업해야 합니다. 문제가 발생하면 사이트를 복원할 수 있습니다.

먼저 Brozzme DB Prefix 플러그인을 설치하고 활성화합니다. WordPress 대시보드에서 도구> DB 접두사 로 이동하고 데이터베이스 접두사의 새 고유 이름을 입력합니다.

새 접두사를 입력했으면 DB 접두사 변경 을 클릭합니다.

수동 프로세스의 경우 phpMyAdmin을 사용하여 데이터베이스 테이블 접두사를 변경하는 방법을 읽으십시오.

맨 위로

22. 신뢰할 수 있는 WordPress 플러그인만 사용

WordPress에는 48,000개 이상의 플러그인이 있습니다. 그렇다고 모든 플러그인이 유용하고 사용하기에 안전한 것은 아닙니다.

WordPress 플러그인 갤러리에는 오랫동안 업데이트되지 않고 일반적으로 취약한 플러그인이 많이 있기 때문입니다. 게다가 플러그인으로 인해 사이트가 중단되면 지원을 받을 수 없습니다.

무료 플러그인을 사용하기 전에 확인해야 할 두 가지 중요한 사항,

• 플러그인이 마지막으로 업데이트된 시간 확인: 플러그인이 자주 업데이트되지 않거나 플러그인 개발자가 더 이상 유지 관리하지 않는 경우 플러그인을 피해야 합니다.

• 플러그인에 최대 긍정적 평가가 있는지 확인: 다음으로 플러그인에 최대 긍정적 또는 부정적 평가가 있는지 확인해야 합니다. 플러그인에 최대 부정적인 평가가 있는 경우 사용해서는 안 됩니다.

플러그인의 리뷰 및 지원 페이지를 확인하여 다른 사용자가 플러그인에 대해 어떻게 말하는지 확인할 수도 있습니다.

하지만 걱정하지 마세요. WordPress 플러그인 갤러리에서 찾을 수 있는 유사한 플러그인이 많이 있습니다.

프리미엄 플러그인을 사용하고 싶다면 걱정할 필요가 없습니다. 프리미엄 플러그인은 정기적으로 업데이트되며 플러그인 개발자로부터 24x 지원을 받게 됩니다.

맨 위로

23. PHP 오류 보고 비활성화

WordPress 보안을 강화하는 또 다른 좋은 방법은 WordPress에서 PHP 오류 보고서를 비활성화하는 것입니다. 많은 경우 오래된 플러그인이나 테마를 설치하면 PHP 오류 경고가 표시될 수 있습니다.

그러나 코드와 파일 위치를 보여주기 때문에 해커가 사이트를 얻을 경우 사이트가 취약해질 수 있습니다. 위험을 최소화하기 위해 WordPress에서 PHP 오류 보고를 비활성화할 수 있습니다.

WordPress에서 PHP 오류 경고를 비활성화하는 것은 매우 쉽습니다. 먼저 wp-config.php 파일을 편집하고 다음 코드가 있는 줄을 찾습니다.

정의('WP_DEBUG', 거짓);

"거짓" 대신 "참"이 표시될 수 있습니다. 이제 줄을 다음 코드로 바꿉니다.

ini_set('디스플레이 오류','끄기');
ini_set('오류 보고', E_ALL );
정의('WP_DEBUG', 거짓);
정의('WP_DEBUG_DISPLAY', 거짓);

파일을 저장하면 완료됩니다.

또한 이러한 종류의 문제를 방지하려면 최신 플러그인을 사용하는 것이 좋습니다.

맨 위로

24. WordPress에 HTTP 보안 헤더 추가

WordPress 보안을 강화하는 또 다른 좋은 방법은 WordPress 사이트에 HTTP 보안 헤더를 추가하는 것입니다.

누군가 귀하의 웹사이트에 액세스하면 브라우저가 귀하의 웹 서버에 요청합니다. 그런 다음 웹 서버는 HTTP 헤더와 함께 요청에 응답합니다. 이러한 HTTP 헤더는 콘텐츠 인코딩, 캐시 제어, 콘텐츠 유형, 연결 등과 같은 정보를 전달합니다.

보안 HTTP 응답 헤더를 추가하여 WordPress 보안을 개선하고 공격 및 보안 취약성을 완화할 수도 있습니다.

아래는 HTTP 헤더입니다.

• HSTS(HTTP Strict Transport Security): HSTS( HTTP Strict Transport Security)는 웹 사이트와 통신할 때 웹 브라우저가 보안 연결(HTTPS)만 사용하도록 합니다. 이것은 SSL 프로토콜 해킹, 쿠키 하이재킹, SSL 스트리핑 등을 방지합니다.
• X-Frame-Options : X-Frame-Options는 브라우저가 프레임에 웹사이트를 렌더링할 수 있는지 여부를 지정하는 일종의 HTTP 헤더입니다. 이것은 클릭재킹 공격을 방지하고 귀하의 웹사이트가 <frame>을 사용하는 다른 웹사이트에 포함되지 않도록 합니다.
• X-XSS-Protection : X-XSS-Protection은 사용자 입력에서 악성 스크립트가 삽입된 경우 페이지가 로드되지 않도록 차단하는 Internet Explorer, Google Chrome, Firefox 및 Safari 브라우저의 내장 기능입니다.
• X-Content-Type-Options : X-Content-Type-Options는 웹 브라우저가 선언된 콘텐츠 유형의 응답을 MIME 스니핑하는 것을 방지하는 값이 nosniff인 HTTP 응답 헤더의 일종입니다.
• Referrer-Policy: Referrer 정책은 도메인 간 참조자 누출을 방지하는 HTTP 응답 헤더입니다.

WordPress에 HTTP 보안 헤더를 추가하려면 다음 코드 줄을 .htaccess 파일에 추가하기만 하면 됩니다.

헤더 세트 Strict-Transport-Security "max-age=31536000" env=HTTPS
헤더는 항상 X-Frame-Options SAMEORIGIN을 추가합니다.
헤더 세트 X-XSS-Protection "1; 모드=차단"
헤더 세트 X-Content-Type-Options nosniff
헤더 참조자 정책: 다운그레이드 시 참조자 없음

이제 securityheaders.com으로 이동하여 코드가 작동하는지 여부를 확인하십시오. 사이트가 손상될 수 있으므로 "콘텐츠 보안 정책"을 추가하지 않았습니다. 그러나 WordPress 사이트를 안전하게 만드는 것으로 충분합니다.

맨 위로

결론

관리되는 WordPress 호스팅 사용, 계정에 대한 강력한 암호 사용, 사용자 활동 모니터링, WordPress 보안 플러그인 사용, SSL 및 HTTPS 구현 등 WordPress 보안 을 강화할 수 있는 여러 가지 방법이 있습니다.

WordPress 보안을 강화하는 것은 로켓 과학이 아닙니다. 이 기사에서 공유한 WordPress 보안 모범 사례를 구현하여 WordPress 사이트를 쉽게 보호할 수 있습니다. 이를 구현하면 WordPress 사이트를 보호할 뿐만 아니라 해커가 사이트에 액세스하는 것을 방지할 수 있습니다.

완료되면 WordPress 보안에 대해 걱정할 필요가 없습니다. 또한 생산성을 높이고 부담을 덜 수 있습니다.

이제 당신의 차례 입니다. 기사를 철저히 읽고 사이트에 구현하십시오. 당신은 당신이 그것을 한 행복할 것입니다.

여기서 언급할 중요한 WordPress 보안 팁을 놓쳤습니까? 의견 섹션에 자유롭게 알려주십시오.

워드프레스 보안 인포그래픽