10가지 일반적인 WordPress 보안 문제 및 해결 방법

WordPress의 인기가 계속 높아짐에 따라 보안 취약점의 위협도 커지고 있습니다. 수백만 개의 웹사이트가 WordPress에서 실행되면서 취약점을 악용하려는 해커와 사이버 범죄자의 주요 표적이 되었습니다.

오래된 소프트웨어, 취약한 암호 또는 보안되지 않은 파일 권한 등 수많은 보안 문제로 인해 WordPress 사이트가 위험에 처할 수 있습니다. 이 기사에서는 수정 사항과 함께 일반적인 WordPress 보안 문제에 대해 설명합니다.

WordPress 보안 개요

인기가 높음에도 불구하고 많은 WordPress 사용자는 웹 사이트 보안의 기본 사항을 모릅니다. 설상가상으로, 많은 사용자들이 SSL 인증서를 설치하는 것만 으로도 사이트를 안전하게 보호할 수 있다는 (매우 위험한) 오해를 믿고 있습니다 .

Sucuri의 공동 창립자인 Dre Armeda는 Cloudways와의 인터뷰에서 "사람은 WordPress의 가장 큰 보안 문제이며 앞으로도 계속 될 것"이라고 언급했습니다.

또한 워드프레스의 보안 취약점 중 절반은 부주의로 인해 발생한다고 생각합니다. 이것이 WordPress 사이트가 사이버 범죄자의 손쉬운 표적이 되는 중요한 이유입니다. 많은 최초 사용자는 단순히 WordPress를 설치한 다음 기본 보안 메커니즘을 신뢰합니다.

그렇게 하면 웹사이트가 사이버 위협에 노출됩니다. 악의적인 트래픽과 DDoS 공격으로부터 웹 사이트를 보호하려면 최상의 보안 관행과 결합된 안전한 WordPress 호스팅을 선택해야 합니다 .

WordPress 보안이 중요한 이유는 무엇입니까?

오픈 소스 플랫폼인 WordPress는 보안 공격에 여전히 취약합니다. 워드프레스에 대한 노하우가 거의 없는 사람들이 해킹을 시도할 수 있어 매우 안전하지 않습니다.

WordPress는 온라인 웹사이트의 거의 43%를 지원합니다. 보안 침해로 인해 사용자 데이터, 금융 정보 및 로그인 자격 증명을 포함한 민감한 정보가 손실될 수 있으며, 이는 기업의 명성과 수익에 심각한 피해를 입히고 법적 결과를 초래할 수 있습니다.

아래 이미지를 확인하여 WordPress 사이트 보안의 중요성을 알아보세요.

누가 보안을 책임지고 있습니까?

WordPress 사이트를 안전하게 유지하는 것은 웹사이트 소유자, 호스팅 공급자 및 WordPress 커뮤니티의 공동 책임입니다.

웹사이트 소유자의 책임

WordPress 사이트를 안전하게 유지하는 주된 책임은 웹사이트 소유자에게 있습니다. 다음은 웹사이트 소유자가 웹사이트 보안을 위해 확인해야 하는 체크리스트입니다.

• 업데이트된 워드프레스 코어;
• 업데이트된 테마 및 플러그인
• 업데이트된 PHP 버전;
• 보안 WordPress 호스팅;
• 강력한 암호 및 2FA;
• 설치된 보안 플러그인;
• 정기적인 보안 검사.

호스팅 제공업체의 책임

책임 있는 호스팅 공급자는 서버의 보안을 유지하고 업계 표준 보안 요구 사항을 충족하는지 확인해야 합니다. 안전한 웹 호스트는 업계에서 입증된 보안 프로세스를 갖추고 웹사이트에 문제가 발생할 경우 지원합니다.

선택할 수 있는 호스팅 제공업체는 다양하지만 서버 측 보안, 정기 패치 및 업데이트를 포함하여 서버의 모든 측면을 관리하는 관리형 클라우드 호스팅이 더 나은 옵션입니다.

보안과 관련하여 Cloudways는 광범위한 보안 기능으로 인해 게임에서 승리합니다. WordPress용 SafeUpdates는시간을 절약 하고 보안을 강화하며웹 사이트를쉽게 자동화하는 데도움이 됩니다 .

출처: WordPress/Cloudways용 SafeUpdates

다음은 Cloudways가 사용자에게 제공하는 몇 가지 보안 기능입니다. 관리형 호스팅을 사용하면 웹사이트 소유자는 이러한 보안 기능을 활용하고 공급자가 기술적 세부 사항을 처리하는 동안 온라인 인지도를 높이는 데 집중할 수 있습니다.

WordPress 커뮤니티의 책임

워드프레스 커뮤니티와 연결된 개발자도 사이트의 보안을 개선하는 역할을 할 수 있습니다. 다음은 WordPress를 안전하게 유지하기 위해 따를 수 있는 체크리스트입니다.

• 취약점을 해결하기 위한 업데이트 및 패치 출시
• WordPress 테마 및 플러그인을 최신 상태로 유지하십시오.
• WordPress Core의 보안을 개선하기 위한 연구.

WordPress 취약점의 출처

오픈 소스 플랫폼인 WordPress는 보안 공격에 여전히 취약합니다. 워드프레스에 대한 노하우가 거의 없는 사람들이 해킹을 시도할 수 있어 매우 안전하지 않습니다.

WPScan의 WordPress Vulnerability Statistics 에 따르면 오래되었거나 결함이 있는 플러그인은 사이트를 가장 취약하게 만들고 테마와 WordPress 버전도 사이트를 보안 공격에 취약하게 만드는 역할을 합니다.

출처: WP스캔

또한 통계에 따르면 무료 테마 및 플러그인은 프리미엄 테마 및 플러그인보다 사이트의 보안 수준이 낮습니다.

– 출처: WPScan

일반적인 WordPress 보안 문제

다음은 몇 가지 일반적인 WordPress 보안 문제 및 해결 방법입니다.

1. 오래된 워드프레스 코어

WordPress Core는 WordPress 사이트를 보안 위협에 취약하게 만드는 주요 원인 중 하나일 수 있습니다.

3개월마다 WordPress 개발자는 WordPress 사이트에 대한 업데이트를 롤아웃하고 사용자는 코어를 수동 또는 자동으로 업데이트하도록 권장됩니다. 이 릴리스는 버그 수정 및 오류 해결을 통해 WordPress 보안을 개선하는 것을 목표로 합니다.

WordPress Core를 업데이트하면 사이트의 보안, 성능 및 기능이 향상됩니다. 업데이트하지 않으면 테마와 플러그인을 업데이트할 수 없습니다. 이렇게 하면 사이트가 보안 위협에 더 취약해집니다.

해결책

WordPress 사이트를 업데이트하기만 하면 이 문제를 해결할 수 있습니다. 사이트에서 업데이트를 확인하기만 하면 됩니다. 다음 단계를 따라야 합니다.

• WordPress 대시보드 → 업데이트 로 이동합니다 .
• 가능할 때마다 최신 버전을 업데이트하십시오.

– 출처: 워드프레스 대시보드

프로 팁: 사이트를 수동으로 백업하고 업데이트하는 번거로움에서 벗어나고 싶다면 Cloudways SafeUpdates 기능을 사용할 수 있습니다.

WordPress 업데이트 프로세스를 자동화하고 유지 관리 프로세스를 원활하게 간소화하기 위해 Cloudways는 SafeUpdates를 도입했습니다 . 오류 없이 업데이트를 검색, 테스트 및 배포하는 데 도움이 됩니다.

– 출처: Cloudways 플랫폼

2. 오래된 테마 및 플러그인

워드프레스가 CMS 시장을 지배하는 이유 중 하나는 커스터마이징이 가능하기 때문입니다. 풍부한 플러그인과 테마 라이브러리를 사용하면 사용자가 기능과 디자인을 추가하는 번거로움 없이 WordPress 사이트를 더 쉽게 사용할 수 있습니다.

하지만 오래된 테마와 플러그인이 사이트를 보안 위협에 취약하게 만들 수 있다는 사실을 알고 계셨나요?

테마와 플러그인은 WordPress 사이트의 현재 버전에 맞게 지속적으로 업데이트되어야 합니다. 테마 및 플러그인 개발자는 사이트에 추가 기능 및 보안 계층을 추가하기 위해 종종 업데이트를 릴리스합니다.

해결책

WordPress 대시보드에서 테마와 플러그인을 업데이트할 수 있습니다. 다음 단계를 따라야 합니다.

• WordPress 대시보드 → 업데이트 로 이동합니다 .
• 플러그인 업데이트 를 클릭합니다 .

– 출처: 워드프레스 대시보드

• 테마 업데이트 를 클릭합니다 .

– 출처: 워드프레스 대시보드

3. 맬웨어 감염

거의 모든 사이트가 멀웨어에 취약합니다.

그러나 WordPress를 사용하면 무단 액세스가 더 쉬워지기 때문에 문제가 심각해집니다. 해커는 플러그인 및 테마 내에서 보안 문제를 찾고 이를 모방하여 웹사이트를 공격할 수 있습니다.

해결책

다음 조치를 취하면 악성 코드 문제를 예방할 수 있습니다. 다음 단계를 따라야 합니다.

• 설치하기 전에 플러그인과 테마를 주의 깊게 확인하십시오.
• 사이트 내에 상주하는 잠재적인 맬웨어를 탐지하기 위한 정기적인 보안 검사
• MalCare , WordFence , Sucuri 등과 같은 맬웨어 탐지 및 제거를 위한 플러그인을 설치할 수 있습니다.

Cloudways 호스팅은 Malcare Bot Protection을 제공하여 악성 트래픽을 식별 및 차단하고 공격으로부터 보호합니다. WordPress 사이트를 보호하기 위해 봇 보호를 활성화하는 방법을 확인하십시오 .

4. 신용카드 스키밍

일반적으로 해커는 웹 사이트에 악성 JavaScript 코드를 삽입하여 신용 카드 번호, 만료 날짜 및 CVV 코드와 같은 민감한 정보를 훔칩니다. 이러한 행위를 신용카드 스키밍이라고 합니다.

신용 카드 스키밍은 막대한 재정적 손실을 초래하고 장기적으로 비즈니스에 피해를 줄 수 있습니다. 웹 사이트에 WordPress를 사용하는 경우 오픈 소스 플랫폼이고 해커가 세부 정보를 더 깊이 파고들 수 있는 충분한 노하우를 가지고 있기 때문에 이 공격에 가장 취약할 수 있습니다.

해결책

다음 조치를 취하면 이러한 종류의 공격을 방지할 수 있습니다.

• Sucuri SiteCheck 와 같은 모니터링 도구를 설치하여 웹사이트에서 악의적인 활동을 검색하세요.

– 출처 : 수쿠리

• 최신 보안 패치 및 소프트웨어 업데이트로 사이트와 해당 구성 요소를 최신 상태로 유지하십시오.
• 방화벽, 침입 탐지 시스템 및 SSL 인증서와 같은 보안 도구를 사용하여 사이트와 민감한 정보를 더욱 보호하십시오.

5. 무단 로그인

무차별 대입 공격은 무단 로그인을 유발합니다.

그것은 웹 사이트에 침입하기 위해 다양한 암호 조합을 시도하는 연속적인 반복 시도를 포함합니다. 해커는 이러한 공격을 실행하는 데 필요한 성능을 높이기 위해 다른 컴퓨터에 악의적으로 설치한 봇을 사용하여 이를 시도합니다.

무차별 암호 대입 공격이 쉽게 발생하는 데는 두 가지 주요 이유가 있습니다.

1. WordPress 사이트의 기본 백엔드 로그인 페이지는wp 로 시작하기 때문에 쉽게 찾을 수 있습니다 .이렇게 하면 해커의 추측이 줄어듭니다.
2. WordPress 사이트 소유자는 약한 암호와 로그인 자격 증명을 유지합니다.

해결책

다음 조치를 취하면 이 문제를 방지할 수 있습니다.

• 기본wp-admin 로그인 URL을 변경하면 해커가 WordPress 사이트에서 무차별 대입 공격을 시작하기 어렵습니다.
• CAPTCHA는 무차별 대입 공격에 대한 최고의 보호 수단 중 하나로 간주됩니다. WordPress에 Google 보이지 않는 reCAPTCHA를 추가하는 방법 에 대해 자세히 알아보세요 .
• 소셜 미디어 및 이메일 계정과 같은 웹 사이트에는 다르지만 강력한 암호를 사용하는 것이 좋습니다.
• 귀하의 사이트에서 강력한 비밀번호 습관을 시행하려면 WP White Security의 WPassword를 사용하여 강력한 비밀번호 정책을 시행해야 합니다.

6. SQL(Structured Query Language) 공격

SQL 주입은 공격자가 웹 사이트의 다른 영역(특히 댓글 상자 및 텍스트 영역)에 SQL 명령을 삽입하는 공격입니다. 이러한 명령은 SQL 데이터베이스를 손상시킬 수 있으며 데이터베이스에 저장된 중요한 정보를 노출할 수 있습니다.

PHP 문을 추가하여 URL을 수정하는 것은 공격자가 데이터베이스 및 기타 웹 사이트 구성 요소에 대한 공격을 트리거할 수 있는 WordPress 보안에 대한 또 다른 잠재적인 위협입니다.

대부분의 WordPress 사이트는 이러한 공격에 대응하기 위한 영리한 트릭을 사용하여 Apache 서버에서 호스팅됩니다. 모든 Apache 서버에는 웹 사이트에 대한 액세스 규칙을 정의하는 .htaccess 파일이 있습니다.

해결책

SQL 주입 공격 및 URL 해킹을 방지하려면 다음 단계를 따르십시오.

• 준비된 문 또는 매개변수화된 쿼리 사용
• 사용자 입력 확인
• 최소 권한 액세스 사용
• 소프트웨어 및 데이터베이스를 정기적으로 업데이트하십시오.
• 웹 애플리케이션 방화벽(WAF) 사용
• 암호화를 사용하십시오 .

7. 검색 엔진 최적화(SEO) 스팸

SEO 스팸은 웹사이트의 SEO를 대상으로 합니다. 해커들은 최상위 페이지에 스팸성 키워드와 팝업 광고를 주입하고 회사의 명성과 수익을 방해하려고 합니다.

다음은 SEO 스팸이 발생하는 몇 가지 이유입니다.

• 오래된 플러그인 및 테마
• 정의되지 않은 사용자 역할
• 스팸 콘텐츠
• 약한 보안 점검.

해결책

WordPress 사이트가 SEO 스팸의 영향을 받은 경우 이를 정리하기 위해 취할 수 있는 몇 가지 단계가 있습니다.

• 의심스럽거나 원치 않는 플러그인 및 테마를 제거합니다.
• 스팸 콘텐츠를 삭제합니다.
• 비밀번호를 업데이트하십시오.
• 귀하의 웹사이트를 정기적으로 모니터링하십시오.
• Wordfence 와 같은 보안 플러그인을 사용하십시오 .
• 문제를 Google에 신고합니다 .

8. 크로스 사이트 스크립팅(XSS) 공격

XSS(Cross-Site Scripting) 공격을 통해 공격자는 악성 코드를 웹 사이트에 삽입할 수 있으며, 그러면 영향을 받는 페이지를 방문하는 모든 사용자의 브라우저에서 실행됩니다.

이로 인해 로그인 자격 증명 또는 개인 데이터와 같은 민감한 정보가 손실되거나 오용될 수 있으며 피싱 또는 맬웨어 전달과 같은 다른 공격을 수행하는 데 사용될 수도 있습니다.

해결책

WordPress에서 XSS 공격을 방지하려면 다음과 같은 모범 사례를 따르는 것이 중요합니다.

• 사용자 입력을 확인하고 삭제합니다.
• 플러그인과 테마를 최신 상태로 유지하십시오.
• WordPress Core를 최신 상태로 유지하십시오.
• 웹 애플리케이션 방화벽(WAF)을 사용하여 트래픽을 검사하고 승인되지 않은 방문자가 시스템에 침입하는 것을 방지하십시오.

프로 팁: Cloudways를 사용하고 있다면 걱정할 필요가 없습니다.Cloudways를 통해 시작된 모든 서버에는 웹 사이트의 첫 번째 방어선 역할을 하는 사전 설치된 방화벽이 함께 제공됩니다.

9. 분산 서비스 거부(DDoS) 공격

DDoS 공격은 공격자가 손상된 네트워크나 컴퓨터를 통해 단일 대상으로 트래픽을 보낼 때 발생합니다.

엄청난 양의 트래픽이 웹 사이트 서버를 압도하여 사용자가 웹 사이트를 사용할 수 없게 될 수 있습니다. WordPress의 경우 DDoS 공격으로 인해 상당한 다운타임, 성능 저하, 수익 손실이 발생할 수 있으며 웹사이트 평판이 손상될 수 있습니다.

해결책

악성 트래픽 및 DDoS 공격으로부터 웹 사이트를 보호하려면 최상위 보안 플러그인과 결합된 보안 WordPress 호스팅을 선택해야 합니다 .

• CDN을 사용하여 들어오는 트래픽 부하를 분산하고 트래픽이 웹사이트에 도달하기 전에 트래픽을 흡수하여 DDoS 공격으로부터 웹사이트를 보호합니다.
• DDoS 공격으로부터 웹 사이트를 보호하는 데 도움이 되는 WordPress용 DDoS 보호 플러그인이 여러 개 있습니다.
• DDoS 보호를 제공하고 서버가 높은 수준의 트래픽을 처리할 수 있도록 하는 호스팅 제공업체를 찾으십시오.

프로 팁: Cloudways는 3초 이내에 DDoS 공격을 완화하는 Cloudflare Enterprise 애드온을 제공합니다.

10. 파일 포함 취약점

WordPress 설치에는 wp-config.php , install.php및readme.html과 같은 몇 가지 민감한 파일이 포함되어 있습니다 . 이러한 파일은 모든 외부 액세스로부터 숨겨야 합니다.

파일 포함 취약성으로 인해 공격자는 외부 소스의 악성 파일을 포함하여 웹 사이트에서 임의 코드를 실행할 수 있습니다. 파일 경로를 적절하게 확인하거나 삭제하지 않고 웹 사이트에 외부 소스의 파일이 포함된 경우 발생할 수 있습니다.

해결책

이 문제를 해결하려면 .htaccess 파일이 유용합니다.

중요한 파일이 손상되지 않도록 다음 줄을 파일에 추가할 수 있습니다. 다음 코드 스니펫은 또한 사용자 디렉토리 목록에 대한 액세스를 방지하고 민감한 서버 및 WordPress 파일을 무단 액세스로부터 숨깁니다.

 옵션 모든 -인덱스


<파일 .htaccess>
주문 허용, 거부
모두 거부
</파일>


<파일 farhan.php>
주문 허용, 거부
모두 거부
</파일>


<파일 license.txt>
주문 허용, 거부
모두 거부
</파일>


<파일 install.php>
주문 허용, 거부
모두 거부
</파일>


<파일 wp-config.php>
주문 허용, 거부
모두 거부
</파일>


<파일 error_log>
주문 허용, 거부
모두 거부
</파일>


<fantasyo_fileslist.txt 파일>
주문 허용, 거부
모두 거부
</파일>


<파일 fantversion.php>
주문 허용, 거부
모두 거부
</파일>

요약

보안은 WordPress 웹 사이트에 매우 중요하며 보안 위협을 방지하기 위한 조치를 구현해야 합니다. 소프트웨어 및 플러그인을 최신 상태로 유지하고 강력한 암호를 사용하며 이중 인증을 활성화하고 보안 플러그인을 사용하십시오.

안전한 호스팅 제공업체를 선택하고 평판이 좋은 테마와 플러그인만 사용하고 정기적으로 백업하십시오. 이러한 단계를 수행하면 보안 위험을 줄이고 WordPress 웹사이트의 안전을 보장할 수 있습니다.

또한 사용자는 보안 감사 플러그인 과 온라인 위협으로부터 WordPress를 강화하는 기본 WordPress 보안 플러그인을 사용하여 WordPress에서 발생한 일에 대한 로그를 유지할 것을 강력히 권장합니다 .

자주 묻는 질문