WordPress : 웹 사이트 보안에 관한 10 가지 모범 사례

Linux Post Install

10 분

WordPress : 보안 측면에서 10 가지 모범 사례

WordPress : 보안 측면에서 10 가지 모범 사례

WordPress (WP)는 가장 인기있는 CMS, 특히 접근성, 성능 및 사용 편의성에 중점을두고 설계되었으며 지속적으로 개발 중입니다 (현재 버전 5.2), 다양한 언어로 된 거대한 사용자 커뮤니티를 보유하고 자체 또는 타사 테마 및 추가 기능을 사용하여 거대한 사용자 정의 기능을 보유합니다.

또한 매우 안전하기 위해그러나이를 위해서는 모든 애플리케이션 또는 시스템에서와 마찬가지로 안전한 장기 구현을 달성하기 위해 모범 사례를 따라야합니다. 그리고이 게시물에서는 이와 관련하여 몇 가지 기본적인 권장 사항을 제공하고자합니다.

소개

WP는 웹 사이트 구축을위한 가장 인기있는 CMS입니다., 또한 일반적으로 컴퓨터 공격의 빈번한 표적이므로 지속적인 업데이트를 제외하고는 잦은 유지 관리, 업데이트 및 보안 절차가 필요합니다. 파라 따라서 추가 기능의 취약성, 취약한 암호, 오래된 소프트웨어 등으로 인한 취약성을 피하십시오. 달성하다 의도 된 또는 예상치 못한 공격에 대한 취약성을 크게 줄입니다.

또한 다른 콘텐츠 관리 시스템 (CMS)과 마찬가지로 WP를 사용하면 웹 사이트를 빠르고 효율적으로 구축 한 다음 온라인에 올릴 수 있습니다. 모듈, 보완 테마를 통해 작업 및 성장을위한 높은 용량으로 인해이 작업을 그 어느 때보 다 쉽게 달성 할 수 있지만 일반적으로 필요한 장기간의 학습이 필요하지 않습니다.

그러나, 부작용 이로 인해 발생할 수있는 유쾌한 것은 없습니다. 일반적으로 해당 도구의 일부 관리자가 우회, 웹 사이트 생성 또는 유지 관리에 필요한 조치. 따라서 WP 또는 기타 CMS 및 웹 사이트를 안전하게 유지하기 위해 몇 가지 일반적이고 구체적인 조치 (우수 사례)를 염두에 두는 것이 중요합니다.

좋은 습관

1.- 일반적으로 보안 강화

WP는 오늘날 인터넷에있는 활성 웹 사이트 기반의 30 %를 확실히 쉽게 초과합니다., 이는 좋은 의도 또는 나쁜 의도를 가진 침입자 및 / 또는 공격자 (해커 / 크래커)에게 가장 좋아하는 표적이됩니다. 따라서 유사한 WP 사이트에서 알려진 이미 성공적으로 악용 된 취약점이 다른 유사한 WP 사이트에서 시도됩니다.

WordPress : 첫 번째 모범 사례

따라서 WP로 하나 이상의 웹 사이트를 관리 및 / 또는 사용하는 경우 온라인 보안에 대해 더 신중하고 철저하며 알고 있는지 확인하십시오. WP를 사용하여 웹 사이트에서 분석 및보고 된 대부분의 보안 위반은 애플리케이션 자체의 핵심과 거의 또는 전혀 관련이 없었지만, 구현, 구성 및 일반 유지 관리와 관련된 모든 것이 잘못 수행되었습니다. 개발자 또는 관리자에 의해. '

워드 프레스 : 2 차 모범 사례

2.- 취약점 파악

WordPress에는 WP Core (4.000 %), 플러그인 (37 %) 및 테마 (52 %)와 같이 배포 된 약 11 개의 알려진 보안 취약점이 있습니다., WPScans 웹 사이트의 최근 보고서에 따르면 현재는 WPsec (01 년 05 월 2019 일부터). 웹 사이트가 직면 한 보안 취약성을 조사하고 이러한 문제를 해결할 솔루션을 찾으십시오. 안전하지 않은 버전의 WP Core 또는 해당 플러그인 및 테마를 실행하지 마십시오.

WP 또는 웹 사이트에서 다음 보안 주제, 즉 다른 유형의 공격 :

  • 무차별 대입 : 로그인 페이지의 보안 강화.
  • 파일 포함 : wp-config.php 구성 파일의 보안 강화.
  • SQL 주입 : WP와 관련된 MySQL 데이터베이스의 보안을 강화합니다.
  • 교차 사이트 스크립팅 : 사용 된 WP 플러그인의 보안 강화.
  • 맬웨어 감염 : 무단 액세스, 멀웨어 삽입 및 이러한 악성 코드에 의한 후속 기밀 데이터 수집을 방지하기 위해 웹 사이트의 일반적인 보안을 강화합니다. 가장 빈번한 악성 코드 또는 공격은 일반적으로 백도어, SEO 스팸, HackTool, 메일러, 훼손 및 피싱 유형입니다. 이러한 유형의 맬웨어 또는 공격으로부터 사이트를 보호하십시오.

웹 사이트가 손상되면 SEO 순위가 떨어질 수 있습니다. 검색 엔진은 손상된 웹 사이트를 빠르게 기록하여 브라우저가 방문자에게 경고 신호를 표시하거나 해당 사이트를 탐색하는 기능을 완전히 차단하는 경향이 있기 때문입니다.

워드 프레스 : 세 번째 모범 사례

3.- 호스팅 제공 업체의 인프라 파악

웹 사이트가 외부 호스팅을 사용하는 경우, 즉 인프라 외부에서 고용 된 경우 호스팅 제공 업체의 서비스 품질을 보장하기 위해 비용을 아끼지 마십시오. 무엇보다도 그가 "공유 호스팅"방식으로 사이트를 호스팅한다면.

이후 품질이 낮은 '공유 호스팅'은 사이트를 더 취약하게 만들 수 있습니다. 동일한 서버에 저장된 여러 웹 사이트 중 하나가 손상되었을 때. 즉, 웹 사이트가 "공유 호스팅"을 사용하는 서버에서 해킹되면 공격자는 다른 웹 사이트와 해당 데이터에 액세스 할 수도 있습니다.

워드 프레스 : 4 차 모범 사례

4.- 전자를 아십시오웹 기술 사양 호스팅 제공 업체에서

호스팅 제공 업체를 평가할 때 인프라가 전부는 아닙니다. 호스팅 제공 업체가 호스팅 웹 사이트의 보안을 강화하기 위해 사용하는 기술 웹 사양도 중요합니다. 웹 사이트 호스팅에 대해 다음 권장 보안 지침을 따르는 지 확인하십시오.

  • 간편한 SSL 인증서 설치
  • 웹 서버 소프트웨어 버전의 적극적인 관리.
  • 방화벽 보호
  • 웹 사이트 접속 기록
  • 정기 보안 감사
  • 악성 활동 감지
  • SFTP (FTP뿐만 아니라), TLS 1.2 및 1.3, PHP 5.6에 대한 지원 (최소 7.0 이상 권장).

이 모든 것은 최소한 사용 된 CMS로 WP를 사용하거나 사용하지 않고 웹 사이트의 보안을 높이기 위해 필요합니다.

WordPress-테마 및 플러그인 : 플러그인

5.- 사용 된 테마 및 보완 물주의

설치된 플러그인과 테마는 보안 수준에서 매우 중요합니다. 공식 WP 또는 커뮤니티 인증 테마 및 플러그인, 잘 알려진 상업용 저장소 만 사용하거나 평판이 좋은 개발자가 직접 제공하는 것을 목표로합니다. 대부분 (인증되지 않음)에는 악성 코드가 포함될 수 있습니다.

맬웨어를 설치하면 WP에서 웹 사이트를 얼마나 보호하는지는 중요하지 않습니다. 테마와 플러그인, 개발자 또는 프로모터 웹 사이트를 다운로드하고 설치하기 전에 조사를하고 무료 또는 할인 된 항목으로 예약하십시오.

워드 프레스 : 5 차 모범 사례

6.- CMS를 자주 업데이트하십시오.

웹 플랫폼에 대한 업데이트는 보안을 위해 매우 중요합니다. 어느 쪽이든 CMS WP 여부에 관계없이 Core, Theme 또는 플러그인의 오래된 버전은 웹 사이트에 알려진 취약점을 숨길 수 있습니다. 오픈 소스 인 WP의 경우 애플리케이션의 Core 내에 특별히이 문제를 전담하는 팀이 있습니다.

WP에서 발견 된 모든 보안 취약점은 즉시 수정 및 제거됩니다. WP에서 발견 된 각각의 새로운 보안 문제를 해결하기 위해. 그 업데이트 때문에 WP 및 최신 버전에 대한 모든 테마 및 플러그인은 성공적인 보안 전략의 중요한 구성 요소입니다.

워드 프레스 : 6 차 모범 사례

7.- 적절한 비밀번호를 찾았습니다

웹 사이트에서 비밀번호의 품질 또는 강도는 매우 중요합니다. 당사 웹 사이트에 로그인하는 것은 웹 사이트의 관리 페이지에 대한 가장 쉬운 액세스를 제공하기 때문에 취약성을 악용하는 주요 표적입니다.

무차별 대입 공격은 로그인을 악용하는 가장 일반적인 방법입니다., 웹 사이트에 액세스하기위한 사용자 이름 및 비밀번호 조합을 검색합니다. WP의 특정 경우에는 기본적으로 누군가가 시도 할 수있는 실패한 로그인 시도 횟수를 제한하지 않으므로 가장 권장되는 방법은 WP 관리자의 로그인에 복잡한 암호를 사용하는 것입니다.

암호를 선택할 때 CLU 형식에 따라 다음 3 가지 기본 요구 사항을 고려하십시오. (복잡함, 길고, 고유함) :

  • 복잡한: 비밀번호는 가능한 한 무작위로 설정해야하며 웹 관리자 또는 웹 사이트와 최소한의 관련이 있어야합니다.
  • 긴: 비밀번호는 12 자 이상이어야합니다. 그리고 실패한 연결 시도 횟수에 대한 제한 또는 제한으로 강화되었습니다.
  • 뿐: 비밀번호를 재사용하지 마십시오. 각 암호는 고유해야합니다. 이 간단한 규칙은 손상된 암호의 영향을 크게 제한합니다.

권장 : "LastPass"(온라인) 및 "KeePass 2"(오프라인)와 같은 암호 관리자를 사용하여 모든 암호를 암호화 된 형식으로 생성하고 저장하십시오.

워드 프레스 : 7 번째 모범 사례

8.- 항상 재해 방지 계획을 준비하십시오.

WP를 사용하는 경우 내장 백업 시스템이 없다는 점을 기억하십시오. 하나를 우선 순위로 포함하여 항상 웹 사이트의 최신 백업을 유지하십시오. 백업은 중요하며 구현해야 할 일반적인 보안 전략입니다.

당신이해야 할뿐만 아니라 사용한 웹 사이트 및 데이터베이스 백업하지만 모두 설정 전체 서버의 스크립트 또는 복제 된 이미지 시스템으로 자동화 된 작업을 통해 필요한 복원 및 재설치를 가능한 한 짧은 시간에 용이하게합니다.

워드 프레스 : 여덟 번째 모범 사례

9.- 2FA를 사용하여 보안 강화

2 단계 인증 (XNUMXFA) 메커니즘을 사용하여 WP 관리자 로그인 또는 웹 사이트 강화, 이는 오늘날 웹 사이트를 보호하는 가장 좋은 방법 중 하나입니다. 이중 인증은 성공적으로 로그인하기 위해 스마트 폰과 같은 다른 장치에서 시간에 민감한 코드를 추가로 요구하여 암호를 사용하도록 요구함으로써 웹 사이트 로그인에 추가 보호 계층을 추가합니다. .

WP의 경우 기본적으로이 기능을 제공하지 않는 플러그인을 사용하여 동일하게 삽입iThemes Security와 같은 기능을 추가합니다.

워드 프레스 : 9 번째 모범 사례

10.- 필요한 보안 액세서리 사용

WP와 같은 대부분의 CMS는 플러그인을 사용하여 보안 잠재력을 높입니다. WP의 특정 경우에는 iThemes Security라는 보안 플러그인을 사용하는 것이 좋습니다. 웹 사이트를 더욱 안전하게 보호 할 수 있습니다. 이 플러그인은 WP를 차단하고, 알려진 허점을 수정하고, 자동화 된 공격을 중지하고, 사용자 자격 증명을 강화합니다.

무료 버전 (iThemes Security)과 유료 버전 (iThemes Security Pro)이 있습니다. 2FA, 예약 된 맬웨어 검사, 사용자 등록과 같은 더 많은 보안 기능을 제공합니다.

결론

WP를 사용하든 다른 CMS를 사용하든 이러한 최상의 보안 관행을 따르기 만하면 대부분의 웹 사이트 보안 문제를 피할 수 있습니다. 귀하의 웹 사이트는 해커와 크래커의 활동으로 인해 어려움을 겪는이시기에 웹 사이트의 불가침성을 보장하거나 최소화하기 위해 필요한 보안 조치를 취해야합니다.

마지막으로 추가로 블로그에서 다른 기사를 읽어 보시기 바랍니다. 웹 사이트의 보안을 강화하기 위해 다음과 같은 주제에 대해 설명합니다. 시스템 관리자 및 개발자를위한 Linux 권한.


코멘트를 남겨주세요

귀하의 이메일 주소는 공개되지 않습니다. 필수 필드가 표시되어 있습니다 *

*

*

  1. 데이터 책임자 : Miguel Ángel Gatón
  2. 데이터의 목적 : 스팸 제어, 댓글 관리.
  3. 합법성 : 귀하의 동의
  4. 데이터 전달 : 법적 의무에 의한 경우를 제외하고 데이터는 제 XNUMX 자에게 전달되지 않습니다.
  5. 데이터 저장소 : Occentus Networks (EU)에서 호스팅하는 데이터베이스
  6. 권리 : 귀하는 언제든지 귀하의 정보를 제한, 복구 및 삭제할 수 있습니다.