최근 각종 유튜브, 블로그 등에서 워드프레스를 해야 돈 번다는 영상들 때문에,
클라우드웨이즈의 공격적인 어필리에이트 (7% 수수료 추천인에게 무제한 제공) 프로그램들 때문에,
워드프레스 사이트를 여기저기서 열고 있는데,
워드프레스 보안 플러그인을 꼭 설치하라고 당부드리고 싶다.
워드프레스는 편이성과 자유도는 매우 높지만, 그만큼 관리도 만만치 않다.
* 티스토리, 네이버블로그, 블로그스팟과는 달리 – 오로지 본인이 감당해야만 한다.
Table of Contents
- 1. 워드프레스 보안 – 플러그인
- 2. 워드프레스 보안에 취약할 수 있는 이유
- 3. 워드프레스 시스템 내 어떤 파일이 가장 중요하며, 위험한가? 워드프레스 보안을 위해 알아야 하는 파일
- 4. 그렇다면 도대체 왜 워드프레스 개인 웹사이트를, 왜 건드는 것인가?
- 5. 워드프레스 보안 – WP-Login 기본 관리자 페이지 주소 변경 플러그인
1. 워드프레스 보안 – 플러그인
- 워드프레스 보안 최고봉 – Wordfence Security: 워드펜스는 가장 인기 있는 워드프레스 보안 플러그인 중 하나입니다. 워드프레스 전용으로 제작된 엔드포인트 방화벽과 멀웨어 스캐너가 포함되어 있습니다. 실시간 위협 방어 피드는 웹사이트를 안전하게 보호하는 데 필요한 최신 방화벽 규칙, 멀웨어 서명, 악성 IP 주소로 Wordfence를 무장시킵니다.
- iThemes Security: 이전에 Better WP Security로 알려진 iThemes Security는 워드프레스 사이트를 보호하고 보안을 유지하는 30가지 이상의 방법을 제공합니다. 주목할 만한 기능으로는 무차별 암호 대입 보호, 2단계 인증, 예약된 워드프레스 백업 등이 있습니다.
- All In One WP Security & Firewall: 이 플러그인은 웹사이트의 보안을 완전히 새로운 차원으로 끌어올립니다. 사용자 계정 보안, 사용자 로그인 보안, 데이터베이스 보안 등과 같은 다양한 도구를 제공하여 보안 위험을 줄입니다. 사용자 친화적이며 초보자를 위한 훌륭한 옵션입니다.
- Sucuri Security: 수쿠리 시큐리티는 웹 사이트 보안과 관련된 모든 문제에서 세계적으로 인정받는 권위자이며, 워드프레스 보안을 전문으로 합니다. 수쿠리 보안 워드프레스 플러그인은 모든 워드프레스 사용자에게 무료로 제공된다. 보안 활동 감사, 파일 무결성 모니터링, 원격 멀웨어 검사 등과 같은 다양한 보안 기능을 제공합니다.
- Jetpack: 젯팩은 보안 서비스 제공 외에도 성능 향상 및 사이트 관리 도구도 제공합니다. Jetpack의 보안 서비스에는 무차별 암호 대입 보호, 다운타임 모니터링, 보안 로그인, 2단계 인증이 포함됩니다.
- BulletProof Security: BulletProof Security는 방화벽 보안, 데이터베이스 보안, 로그인 보안 등을 제공합니다. 업그레이드 후 보안 설정을 자동으로 수정하는 설정 마법사가 함께 제공됩니다.
- SecuPress: SecuPress는 시장에 출시된 최신 플러그인입니다. 무차별 암호 대입 방지 로그인, 방화벽, 보안 경고와 같은 기능을 갖춘 직관적인 인터페이스를 제공합니다. 또한 사이트의 취약점을 스캔하고 수정 조치를 제안하는 보안 스캐너가 있습니다.
- Shield Security: Shield Security는 시스템 프로빙, 봇 및 무차별 암호 대입 공격에 대한 강력한 보호 기능을 제공합니다. 또한 간단하고 사용자 친화적인 설정 프로세스를 제공하며 대부분의 기능을 자동 구성할 수 있습니다.
- Hide My WP: 이 플러그인은 워드프레스 사용 사실을 숨겨 해커의 공격으로부터 사이트를 보호하는 데 도움이 됩니다. 스팸 방지, 방화벽, 워드프레스 기본값 변경, 워드프레스 버전 숨기기 등의 기능을 제공합니다.
- MalCare WordPress Security Plugin – MalCare는 수천 명의 개발자와 에이전시에게 사랑받는 가장 빠른 멀웨어 탐지 및 제거 플러그인입니다. 업계 최초의 원클릭 자동 멀웨어 제거 기능으로 Google이 블랙리스트에 올리거나 웹호스트가 삭제하기 전에 워드프레스 웹사이트가 깨끗해집니다. MalCare는 2.5년에 걸쳐 240,000개 이상의 웹사이트를 분석한 후 처음부터 개발되었습니다.
보안은 건강한 웹사이트를 유지하기 위한 필수 요소이며, 이러한 플러그인은 매우 유용하지만 좋은 보안 습관을 대체하지는 못한다는 점을 기억하세요. 정기적인 업데이트, 강력한 비밀번호, 사용자 권한 및 타사 애드온에 대한 신중한 결정은 모두 웹사이트 보안을 유지하는 데 필요합니다.
2. 워드프레스 보안에 취약할 수 있는 이유
워드프레스는 세계에서 가장 인기 있는 콘텐츠 관리 시스템(CMS) 중 하나로, 전체 웹사이트의 3분의 1 이상이 워드프레스를 사용하고 있습니다. 널리 사용되고 있기 때문에 워드프레스는 해커와 악의적인 활동의 주요 표적이 되고 있습니다.
워드프레스 보안이 취약할 수 있는 몇 가지 이유는 다음과 같습니다:
- 오래된 워드프레스 코어: 워드프레스의 핵심 소프트웨어는 취약점을 패치하고 기능을 개선하기 위해 개발자 팀에 의해 지속적으로 업데이트됩니다. 워드프레스 사이트를 최신 버전으로 정기적으로 업데이트하지 않으면 알려진 보안 문제에 취약할 수 있습니다.
- 플러그인 취약점: 워드프레스의 주요 강점 중 하나는 다양한 플러그인이 있다는 것입니다. 하지만 플러그인은 심각한 보안 위험도 내포하고 있습니다. 오래되었거나 코딩이 잘못되었거나 유지 관리가 되지 않는 플러그인은 해커가 사이트에 침투할 수 있는 취약점을 가지고 있을 수 있습니다.
- 테마 취약점: 플러그인과 마찬가지로 테마에도 취약점이 있을 수 있습니다. 특히 무료 테마나 신뢰할 수 없는 출처의 테마에는 악성 코드가 포함되어 있을 수 있습니다.
- 취약한 사용자 이름 및 비밀번호: 예측 가능하거나 약한 사용자 이름과 비밀번호를 사용하는 것은 일반적인 취약점입니다. 공격자가 가능한 많은 사용자 이름과 비밀번호 조합을 시도하는 무차별 암호 대입 공격은 자격 증명이 충분히 강력하지 않은 경우 성공할 수 있습니다.
- 부적절한 호스팅 보안: 웹사이트가 호스팅되는 서버가 안전하지 않다면 웹사이트도 안전하지 않습니다. 공유 호스팅 환경은 서버의 다른 사이트가 손상된 경우에도 위험을 초래할 수 있습니다.
다음은 시간이 지남에 따라 워드프레스 보안에서 발견되는 일반적인 취약점 유형입니다:
- 크로스 사이트 스크립팅(XSS): 워드프레스 플러그인에서 발견되는 가장 일반적인 취약점입니다. 공격자가 다른 사용자의 브라우저에 저장되어 실행될 수 있는 페이로드(주로 자바스크립트 코드)를 삽입할 때 발생합니다.
- SQL 인젝션(SQLi): 공격자가 데이터베이스에 대한 쿼리를 조작하여 데이터베이스 콘텐츠를 보거나 변경 또는 삭제할 수 있을 때 발생합니다.
- 사이트 간 요청 위조(CSRF): 공격자가 피해자를 속여 피해자가 알지 못하거나 동의하지 않은 상태에서 작업을 실행하도록 할 때 발생합니다.
- 파일 인클루전 익스플로잇: 공격자가 PHP 코드를 통해 원격 서버의 파일을 포함할 수 있는 경우 발생합니다. 이를 통해 공격자는 서버에서 모든 명령을 실행할 수 있습니다.
- 권한 상승: 이는 사용자가 가져야 할 권한보다 더 높은 수준의 권한을 얻을 수 있는 경우로, 공격자가 사이트에 대한 관리자 수준의 액세스 권한을 얻는 경우가 많습니다.
이러한 취약점과 문제는 정기적인 업데이트, 강력한 자격 증명 사용, 신뢰할 수 있는 보안 플러그인 사용 등 워드프레스 웹사이트의 모범 보안 관행을 따르는 것이 중요하다는 점을 강조합니다.
3. 워드프레스 시스템 내 어떤 파일이 가장 중요하며, 위험한가? 워드프레스 보안을 위해 알아야 하는 파일
워드프레스는 강력하고 안전한 플랫폼이지만 보안 모범 사례를 따르지 않으면 여전히 공격에 취약할 수 있습니다. 해커와 악의적인 행위자는 특정 파일의 기능과 취약점을 악용할 가능성 때문에 특정 파일을 표적으로 삼는 경우가 많습니다. 다음은 제대로 보안하지 않으면 가장 위험한 것으로 간주되는 워드프레스 파일 몇 가지입니다:
- wp-config.php: 이 파일은 이름, 호스트, 로그인 자격 증명 등 데이터베이스에 대한 정보를 담고 있어 워드프레스 설치에서 가장 중요한 파일 중 하나입니다. 이 파일이 손상되면 해커가 전체 워드프레스 데이터베이스에 액세스할 수 있게 됩니다.
- .htaccess: .htaccess 파일은 URL 재작성 및 리디렉션과 같은 웹사이트에 특정 규칙을 추가하는 데 사용됩니다. 해커는 이 파일을 조작하여 사이트를 다른 URL로 리디렉션하거나 사이트 운영 방식을 변경할 수 있습니다.
- wp-admin 및 wp-includes: 이 디렉터리는 워드프레스 코어의 일부입니다. 사이트를 손상시키거나 보안 취약점을 만들 수 있으므로 수정하거나 변조해서는 안 됩니다. wp-admin 디렉토리는 관리 기능과 관련된 파일을 포함하므로 특히 민감합니다.
- wp-login.php: 이 파일은 워드프레스 사이트에 로그인하는 데 사용됩니다. 해커가 이 파일을 익스플로잇할 수 있다면 워드프레스 대시보드에 액세스할 수 있습니다. 이 파일에 대한 무차별 암호 대입 공격은 종종 액세스 권한을 얻기 위해 시도됩니다.
- xmlrpc.php: 워드프레스 보안 플러그인인 워드펜스는 이 파일에 대한 공격을 무수히 많이 잡아낸다. 이 파일은 워드프레스에 원격으로 연결하는 데 사용됩니다. 하지만 웹사이트에 대한 무차별 암호 대입 공격과 디도스 공격을 실행하는 데 악용되고 있습니다. 워드프레스 5.5부터 XML-RPC는 기본적으로 활성화되어 있지만 사이트에서 필요할 때만 XML-RPC 서비스를 사용하도록 하여 필요에 따라 필요한 기능으로 만들고 취약성을 최소화했습니다.
- 업로드 디렉토리: 특정 파일이 아니라 업로드된 모든 미디어 파일이 저장되는 디렉터리입니다. 제대로 보안하지 않으면 서버에서 악성 스크립트를 업로드하고 실행하는 데 사용될 수 있습니다.
- 테마 및 플러그인 파일: 테마와 플러그인은 워드프레스 사이트에 기능을 추가하지만, 특히 코딩이 잘못되었거나 유지 관리가 되지 않는 경우 파일에 취약점이 생길 수 있습니다. 공격자는 취약점을 악용하여 악성 코드를 삽입하거나 무단 액세스 권한을 얻을 수 있습니다.
- update-core.php: 이 파일은 워드프레스 업데이트에 사용됩니다. 이 파일이 손상되면 공격자가 워드프레스 설치에 악성 코드를 삽입할 수 있습니다.
워드프레스 사이트를 안전하게 유지하려면 워드프레스 코어, 플러그인, 테마를 정기적으로 업데이트하고, 강력한 사용자 아이디와 비밀번호를 사용하고, 로그인 시도를 제한하고, 보안 플러그인을 사용하여 사이트를 모니터링하고 보호해야 합니다. 또한 웹사이트의 정기적인 백업은 사이트가 손상된 경우 복구하는 데 도움이 될 수 있습니다.
4. 그렇다면 도대체 왜 워드프레스 개인 웹사이트를, 왜 건드는 것인가?
개인이 개인 웹사이트를 포함한 워드프레스 사이트를 악의적인 활동의 표적으로 삼는 데에는 몇 가지 이유가 있습니다:
- 인기: 워드프레스는 전 세계적으로 가장 인기 있는 콘텐츠 관리 시스템(CMS) 중 하나입니다. 널리 사용되기 때문에 해커가 한 번의 익스플로잇으로 많은 사이트에 영향을 미칠 수 있기 때문에 해커의 주요 표적이 됩니다.
- 금전적 이득: 일부 공격자는 멀웨어를 배포하거나 피싱 사기를 실행하거나 웹사이트를 인질로 삼아 금전적 이익을 얻으려 합니다.
- 리소스 사용: 해커는 손상된 웹사이트를 사용하여 불법 콘텐츠를 저장 및 배포하거나 분산 서비스 거부(DDoS) 공격과 같은 다른 악의적인 활동에 서버의 리소스를 사용할 수 있습니다.
- SEO 스팸: 일부 공격자는 특정 사이트의 검색 엔진 순위를 조작하기 위해 스팸성 콘텐츠나 링크를 삽입합니다. 이는 품질이 낮은 웹사이트나 제품을 홍보하기 위한 대규모 SEO 계획의 일부일 수 있습니다.
- 도전 또는 재미: 일부 해커는 도전의 스릴을 느끼거나 자신의 능력을 증명하기 위해 이러한 활동에 참여합니다.
해커는 일반적으로 자동화된 도구를 사용하여 취약한 사이트를 찾는다는 점에 주목할 필요가 있습니다. 해커는 개인 웹사이트와 비즈니스 웹사이트를 구분하지 않는 경우가 많으며, 사이트에 취약점이 있고 해커의 도구가 이를 발견하면 해당 사이트가 표적이 될 수 있습니다.
따라서 워드프레스 설치 및 플러그인을 최신 상태로 유지하고, 강력한 비밀번호를 사용하고, 신뢰할 수 있는 보안 플러그인을 설치하고, 평판이 좋은 호스팅 제공업체를 이용하는 등 워드프레스 보안 모범 사례를 따르는 것이 중요합니다. 또한 정기적인 백업은 사이트가 손상되었을 때 복원하는 데 도움이 될 수 있습니다.
5. 워드프레스 보안 – WP-Login 기본 관리자 페이지 주소 변경 플러그인
기본 로그인 URL(wp-admin)을 변경하면 해커가 관리자 대시보드에 액세스하기 어렵게 만들어 워드프레스 사이트에 보안을 한층 더 강화할 수 있습니다. 다음은 워드프레스 관리자 URL을 변경하는 데 사용할 수 있는 몇 가지 플러그인입니다:
- WPS Hide Login: 로그인 양식 페이지의 URL을 원하는 대로 쉽고 안전하게 변경할 수 있는 매우 간단하고 가벼운 플러그인입니다. 말 그대로 코어의 파일 이름을 바꾸거나 변경하지 않으며 재작성 규칙을 추가하지도 않습니다. 페이지 요청을 가로채서 모든 워드프레스 웹사이트에서 작동합니다. 구성 후에는 사용자 정의 URL을 통해 페이지에 액세스할 수 있으며 wp-admin/wp-login.php는 액세스할 수 없게 됩니다.
- Change WP Admin Login: WP 관리자 로그인 변경은 워드프레스 웹사이트의 관리자 로그인 URL을 원하는 대로 안전하게 변경할 수 있는 사용하기 쉬운 워드프레스 플러그인입니다. 플러그인의 간단한 2단계 프로세스를 통해 몇 초 안에 워드프레스 관리자 로그인 URL을 안전하게 변경할 수 있으며, 이 모든 과정을 코딩 없이 수행할 수 있습니다.
- iThemes Security (formerly Better WP Security): 관리자 사용자 URL을 변경하는 기능이 포함된 포괄적인 워드프레스 보안 플러그인입니다. 로그인 URL을 변경하려면 ‘고급’ 섹션으로 이동하여 ‘백엔드 숨기기’ 기능을 찾아야 합니다. 이 기능을 사용하면 로그인 URL, 등록 URL, 관리자 URL을 변경할 수 있습니다.
- WP Hide & Security Enhancer: 이 플러그인은 wp-admin URL을 변경할 수 있을 뿐만 아니라 워드프레스를 사용하고 있다는 사실을 숨길 수 있는 더 많은 기능을 제공하는 또 다른 플러그인입니다. 다양한 옵션이 포함된 포괄적인 인터페이스를 제공한다. 초보자에게는 다소 복잡할 수 있지만, 구성에 도움이 되는 온라인 가이드와 리소스가 많이 있습니다.
관리자 URL을 변경하는 것은 사소한 보안 계층을 추가하는 것일 뿐이며 포괄적인 보안 접근 방식의 일부가 되어야 한다는 점을 기억하세요. 테마, 플러그인, 워드프레스 자체를 업데이트하고, 강력한 비밀번호를 사용하고, 평판이 좋은 보안 플러그인을 설치하는 등 모범 사례는 여전히 적용됩니다.
Table of Contents
- 1. 워드프레스 보안 – 플러그인
- 2. 워드프레스 보안에 취약할 수 있는 이유
- 3. 워드프레스 시스템 내 어떤 파일이 가장 중요하며, 위험한가? 워드프레스 보안을 위해 알아야 하는 파일
- 4. 그렇다면 도대체 왜 워드프레스 개인 웹사이트를, 왜 건드는 것인가?
- 5. 워드프레스 보안 – WP-Login 기본 관리자 페이지 주소 변경 플러그인
1) 유튜브 채널 – 10,500 구독자와 함께하는 유튜버 [ 큐레이터 단비 ]
– 유튜브 채널 ‘내’가 있는 유튜브와 블로그로 이루는 퍼스널 브랜딩 채널
2) 네이버 카페 커뮤니티
– [ 큐레이터 단비 – 퍼스널 브랜딩 커뮤니티 유튜브 온라인 수익화 방법 및 노하우 공유 ]
3) 본 블로그의 다른 글 보기
액션캠 악세사리 추천 – DJI 오즈모 액션4 추천