WordPress는 전 세계 모든 웹 사이트의 35% 이상을 지원합니다. 하지만 전담 보안 팀과 활발하고 참여도 높은 전 세계 커뮤니티가 있어도 이처럼 선도적인 콘텐츠 관리 시스템에서 실행되는 웹사이트는 종종 보안 침해의 표적이 됩니다.
그러나 진실은 WordPress는 안전하다는 것입니다. WordPress 보안 취약성의 14%만이 WordPress 코어에서 발생하며 WordPress 조직은 이러한 문제를 수정하기 위한 엄격한 프로세스를 준수합니다. 그렇다면 WordPress 웹사이트는 어떻게 해커에게 노출될까요? 종종 보안 취약점은 불충분한 유지 관리로 인해 발생합니다.
특정 WordPress 설치에 있어 몇 가지 기본적이지만 종종 간과되는 모범 사례를 구현하는 것이 중요합니다. 이 게시물에서는 웹사이트의 보안을 유지하기 위한 여러 가지 방법을 살펴보겠습니다.
서버에서 시작하기
다른 작업을 수행하기 전 WordPress를 실행하는 데 사용하는 서버가 안전한지부터 확인하십시오. 이 프로세스는 하드닝이라 부르며 악의적 제3자가 서버에 무단 액세스할 위험을 줄이는 데 도움이 됩니다.
서버에서 취할 수 있는 가장 큰 보안 예방 조치 중 하나는 소프트웨어 업데이트입니다. 업데이트는 중요한 취약성 패치에서 사소한 버그 수정에 이르기까지 다양하며 자주, 정기적으로 적용해야 합니다.
자체 서버를 운영하는 데에는 엄청난 이점이 있습니다. 완전한 제어를 통해 원하는 대로 할 수 있지만 적절한 유지관리의 전적인 책임이 있습니다. Linode에서 WordPress 사이트를 호스팅하며 서버 보안을 어디서부터 시작해야 할지 확신이 서지 않는 경우 이 문서가 무단 액세스로부터 Linode 보안을 강화하는 방법을 설명합니다.
이러한 단계가 너무 번거롭게 느껴질 경우 사용자를 대신하여 모든 서버 수준(및 많은 WordPress 수준)의 보안 업데이트를 수행하는 Pressidium 등의 관리형 WordPress 호스트를 사용하는 것이 좋습니다.
WordPress 업데이트
서버 강화 후 WordPress 웹사이트를 안전하게 유지하는 가장 쉬운 방법은 사용 가능한 WordPress 업데이트 설치입니다. 상당한 수의 기여자(2019년 약 70명의 개발자가 거의 5,000개의 커밋을 코어에 기여)가 있으므로 대부분 달마다 업데이트가 제공되는 것도 당연한 일입니다. 업데이트는 두 가지 유형으로 제공됩니다.
- 새로운 기능이 출시되는 주요 업데이트. 이러한 업데이트는 약 1년에 두 번 릴리스됩니다.
- 현재 버전의 버그 또는 보안 위험을 해결하는 사소한 업데이트. 이러한 업데이트는 몇 주마다 푸시될 수 있습니다.
관리형 WordPress 호스팅 공급업체를 사용하는 경우 이러한 업데이트가 자동으로 처리됩니다. 자체 서버를 운영하는 경우 WordPress 버전을 수동으로 업데이트해야 합니다. wp-admin에 로그인하고 업데이트가 이용 가능한 경우 홈페이지 상단에 업데이트를 요청하는 알림이 표시됩니다. 지시에 따르면 WordPress에서 해당 업데이트를 다운로드 및 설치합니다.
대부분의 업데이트가 원활히 진행되지만(특히 사소한 업데이트) 업데이트 프로세스를 실행하기 전 웹사이트를 백업하는 것이 좋습니다. 또한 일부 테마와 플러그인이 최신 WordPress 버전과 호환되지 않을 수 있으므로 업데이트 후 사이트를 주의 깊게 테스트하는 것이 좋습니다.
테마 및 플러그인 업데이트
WordPress 코어와 함께 플러그인 및 테마에도 정기적 업데이트가 필요하다는 것을 알게 되실 겁니다(Theme Forest와 같은 제공업체의 서드파티 테마를 사용하는 경우). 플러그인과 테마가 업데이트되지 않는 두 가지 주요한 이유는 다음과 같습니다.
- 웹사이트 소유자는 업데이트를 수행하는 것을 잊어버립니다. 특히 wp-admin에 로그인한 지 한참이 지난 경우 더욱 그렇습니다.
- 플러그인 및/또는 WordPress 테마를 업데이트하면 사이트가 손상될 수 있으며 이는 실망스러울 수 있습니다.
2분 정도 소요되는 플러그인 업데이트가 더 큰 작업으로 바뀔 경우 사이트가 작동을 멈추기 때문에 실망스럽습니다. 웹사이트나 비즈니스 운영으로 바쁠 때 문제를 해결할 시간을 찾는 것은 쉽지 않습니다. 따라서 오래된 플러그인 및/또는 테마를 계속 실행하는 백업으로 사이트를 복원하려는 유혹이 상당합니다.
사이트의 일부가 더 이상 작동하지 않는 경우에만 최신 버전을 설치하면 WordPress 코어 업데이트에서도 똑같은 상황이 발생할 수 있습니다. 간단하지만 잠재적으로 안전하지 않은 작업은 이전 작업 버전으로 되돌린 다음 문제를 다시 확인하지 않는 것입니다.
해커는 바로 이 시나리오에 의존합니다. WordPress 해킹의 상당 부분은 오래된 테마, 플러그인 및 WordPress 코어를 실행하는 웹사이트에서 알려진 취약점을 악용하여 수행됩니다. 해킹된 사이트로 인한 매출 손실 또는 평판 손상으로 인한 비용은 상당할 수 있습니다.
컴퓨터의 취약점 수정
서버 및 WordPress 설치의 보안은 중요하지만 안전하지 않은 워크스테이션은 이러한 노력을 손상시킬 수 있습니다. 예를 들어 악성 키로거 가 컴퓨터에 설치된 경우 공격자가 WordPress 로그인 정보를 수집할 수 있습니다. 바이러스 백신 소프트웨어를 사용하여 WordPress에 액세스하는 데 사용하는 모든 컴퓨터에서 악성 프로그램, 스파이웨어 및 기타 바이러스 감염이 없는지 확인하십시오.
또한 서버와 마찬가지로 배포되는 패치를 적용하여 운영체제와 브라우저를 최신 상태로 유지하십시오. 신뢰할 수 없는 사이트를 검색하는 경우 NoScript와 같은 도구를 사용하여 컴퓨터에서 실행 중인 웹 콘텐츠를 실행을 방지하는 것도 좋은 방법입니다.
비밀번호 및 사용자 이름
2단계 인증이 없으면 웹사이트와 wp-admin에 액세스하려는 사람 사이에 있는 것은 비밀번호뿐입니다. 따라서 복잡하고 고유한 비밀번호를 선택하는 것이 가장 중요합니다.
좋은 비밀번호 선택 시 영감이 필요한 경우 1Password Generator 등의 도구를 사용할 수 있습니다. 항상 각 웹사이트에서 다른 비밀번호를 사용하십시오. 강력한 비밀번호를 추적하는 가장 좋은 방법은 1Password에서 제공하는 것과 같은 비밀번호 관리자를 사용하는 것입니다.
강력한 비밀번호만큼 중요한 것은 기본 'Admin' 사용자 이름을 사용하지 않는 것입니다.
- 사용자 섹션으로 이동하여 고유한 사용자 이름을 가진 새 사용자를 생성합니다.
- 이 사용자에게 관리자 권한을 할당하고 강력하고 고유한 비밀번호를 설정합니다.
- WordPress에서 로그아웃하고 새로운 사용자 이름과 비밀번호를 사용하여 다시 로그인합니다.
- 사용자 섹션으로 돌아가 기본 관리자를 삭제합니다.
2단계 인증
2단계 인증(2FA)은 거의 주류가 되고 있습니다. 2FA는 사용자가 알고 있는 것, 가지고 있는 것 또는 사용자 자체인 것의 조합을 사용하여 사용자가 주장하는 신원을 확인합니다.
WordPress는 2FA 사용을 위한 완벽한 플랫폼이며 플러그인을 활용하여 이 기능을 쉽게 활성화할 수 있습니다. 인기 있는 2FA 플러그인은 Duo 및 Two-Factor이지만 더 많은 플러그인을 사용할 수 있습니다(WordPress 플러그인 저장소 검색). 2FA 시스템을 활성화하면 비밀번호가 추측되거나 제3자가 이를 획득한 경우에도 웹사이트가 안전하게 유지될 것임을 확신할 수 있습니다.
보안 플러그인 사용
데이터베이스 이름 변경 및 HTTP 보안 헤더 활용과 같이 WordPress 웹사이트를 안전하게 유지하는 데 도움이 되는 추가적 방법이 있습니다. 이 모든 것들은 대부분 상당히 높은 수준의 기술적 노하우와 시간을 필요로 합니다.
최고의 WordPress 보안 플러그인 중 일부는 블랙리스트 모니터링, 파일 검사, 무차별 대입 보호, 방화벽 등을 포함한 다양한 기능을 제공합니다. 제한된 기술적 경험으로 웹사이트 보안을 신속하게 강화하는 쉬운 방법을 제공할 수 있습니다.
이용 가능한 플러그인은 다양하지만 모든 플러그인과 마찬가지로 Securi Security 및 Wordfence 등의 평판이 좋고 테스트를 적절히 거친 플러그인을 사용하는 것이 중요합니다. 새 플러그인을 설치하거나 플러그인 설정을 크게 변경하기 전 잊지 말고 웹사이트를 백업하십시오.
백업하기
백업은 WordPress 유지 관리에서 안타깝게 간과되는 요소가 될 수 있습니다. 그러나 백업은 웹사이트 보안에서 중요한 역할을 합니다. 우수한 백업이 있으면 최악의 상황이 발생하고 사이트가 해킹되어 심하게 손상된 경우 이전 백업을 복원하여 신속하게 복구할 수 있으므로 안심할 수 있습니다. 그 이후엔 해킹의 반복을 방지하는 데 필요한 추가 보안 수준을 적용할 수 있습니다.
이전에는 WordPress에서 적절히 백업하기가 까다로웠지만 지난 몇 년 동안 이 프로세스는 매우 간편해졌습니다. UpdraftPlus과 같은 플러그인 및 VaultPress 또는 BlogVault 등의 오프사이트 백업 시스템을 포함하여 선택 가능한 다양한 옵션이 있습니다.
다음 게시물에서는 WordPress 웹사이트를 안전하게 유지하기 위해 따를 수 있는 몇 가지 고급 조치에 대해 설명합니다.
댓글 (3)
Thanks a lot for providing this valuable content.
Wordpress can be sometimes confusing if you would want it done professionally unlike doing the free website but thanks to this article, I’m learning more
It’s surprising just how many people don’t update their Wordpress site to the latest version. According to Wordpress only 44% have updated to the now 5.7 core release which means that more than 50% are still using older versions all the way back to 4.4 and lower.
It’s a big security risk to have an old version of Wordpress as hackers find vulnerabilities as time passes. So makes sense to stay up to date.