워드 프레스를 보호하는 방법 (2020)

워드 프레스는 가장 인기있는 콘텐츠 관리 시스템 중 하나이며 그만한 이유가 있습니다. 사용이 간편하고 수천 개의 테마와 플러그인을 사용할 수 있으며 모든 유형의 웹 사이트를 만들 수 있습니다. 워드 프레스가 강력하다는 것은 놀라운 일이 아닙니다. 모든 웹 사이트의 35.1 % 인터넷에서.


그러나 그 인기는 비용과 함께 제공됩니다. WordPress는 종종 해커를 대상으로합니다. 에 따르면 수 쿠리, 2018 년에 모든 웹 사이트 정리 요청의 90 %가 WordPress에 속했으며 2017 년보다 7 % 증가했습니다..

웹 사이트 핵 트렌드 보고서 2018-Sucuri

따라서 개인 포트폴리오, 비즈니스 웹 사이트 또는 온라인 상점을 포함하여 WordPress 웹 사이트 보안이 목록의 최상위에 있어야합니다..

WordPress 보안과 관련하여 사용자는 일반적으로 두 가지 캠프에 속합니다..

웹 사이트와 관련된 보안 문제의 심각성을 더 잘 이해하려면 웹 사이트를 방문하십시오. 인터넷 실시간 통계 페이지 때때로. 여기에서 매일 해킹 한 정확한 웹 사이트 수를 확인하고 실시간으로 증가하는 웹 사이트 수를 볼 수 있습니다.

실시간으로 해킹 된 웹 사이트

Contents

WordPress 웹 사이트를 보호하는 22 단계

인터넷 라이브 통계의 사이트 중 하나로 사이트가 종료되지 않게하려면 아래 팁을 따라 WordPress 웹 사이트를 보호하십시오..

1. 보안 기능을 갖춘 호스팅 회사를 선택하십시오

WordPress 웹 사이트를 보호하기위한 첫 번째 단계는 적절한 보안 기능을 구현하는 호스팅 회사에 투자하는 것입니다. 여기에는 방화벽, 연중 무휴 보안 모니터링뿐만 아니라 최신 버전의 PHP, MySQL 및 Apache에 대한 지원이 포함됩니다..

가능하면 매일 백업하고 정기적으로 맬웨어를 검사하는 호스팅 회사를 선택하십시오. 다양한 DDOS 예방 조치를 사용하는 호스팅 회사를 찾을 수도 있습니다.

호스팅 회사는 일반적으로 해커가 사이트에 액세스하기 위해 돌파해야하는 첫 번째 벽이기 때문에 더 많은 선행 투자를하고 더 비싼 호스팅 계획을 구입하면 돈을 지불하게됩니다. 우리는 추천합니다 관리되는 WordPress 호스팅 제공 업체 선택.

2. 강력한 비밀번호 사용

귀하의 WordPress 웹 사이트 및 호스팅 계정 영역의 암호가 모두 안전한지 확인하십시오. 대문자와 소문자, 숫자 및 기호를 혼합하여 강력한 암호를 생성하십시오. LastPass와 같은 비밀번호 관리자를 사용하여 안전한 비밀번호를 생성하고 저장할 수도 있습니다..

3. 관리자 사용자 이름을 버립니다

WordPress는 기본 사용자 이름을 관리자로 설정하는 데 사용되었으며 대부분의 사용자는 변경하지 않았습니다. 결과적으로 관리자는 일반적으로 해커가 무차별 대입 공격을 시도 할 때 가장 먼저 시도하는 사용자 이름입니다..

따라서 WordPress 웹 사이트에 관리자 이름을 사용해서는 안됩니다. 최근에 WordPress 웹 사이트를 설치 한 경우 자신의 사용자 이름을 설정해야 할 수도 있습니다. 그러나 오랫동안 WordPress 사용자 인 경우 여전히 관리자 사용자 이름을 사용하고있을 수 있습니다.

이 경우 사이트로 이동하여 새 관리자 이름을 만드십시오. 사용자> 새로 추가 강력한 사용자 이름과 비밀번호를 선택하십시오. 역할을 관리자로 설정 한 다음 새로운 사용자 추가 단추.

관리자 계정 만들기

그런 다음 새 자격 증명으로 로그인하고 이전 관리자를 삭제하십시오. 기존 콘텐츠를 삭제하기 전에 모든 콘텐츠를 새 관리자에게 할당해야합니다.

4. 기고자 또는 편집자 계정을 사용하여 사이트에 게시

위의 팁을 한 단계 더 발전 시키려면 기고자 또는 편집자 계정을 만들어 사이트에 새 게시물과 기사를 추가하십시오. 기고자와 편집자가 일반적으로 관리자 권한이 없기 때문에 해커가 사이트를 손상시키는 것이 더 어려워집니다..

편집자 계정 만들기

5. 백업 플러그인 사용

웹 사이트를 아직 백업하지 않은 경우 바로 시작해야합니다. 백업 시스템은 최악의 상황이 발생하고 사이트가 해킹당하는 경우 사이트를 복원하는 데 도움이됩니다..

UpdraftPlus와 같은 플러그인을 사용하여 웹 사이트에 대한 정기적 인 백업 일정을 만들고 해당 파일이 감염되지 않도록 백업 파일을 오프 사이트에 저장하는 것을 잊지 마십시오.

6. 관리 영역 강화

관리 영역 강화와 관련하여 사용자가 사이트를 잠그기 전에 기본 관리 URL을 변경하고 로그인 시도 실패 횟수를 제한해야합니다..

기본적으로 웹 사이트의 관리자 URL은 다음과 같습니다. yourdomain.com/wp-admin. 해커는이를 알고이 URL에 직접 액세스하여 사이트에 액세스 할 수 있도록합니다..

다음과 같은 플러그인으로이 URL을 변경할 수 있습니다 WPS 숨기기 로그인.

WPS 숨기기 로그인

실패한 로그인 시도 횟수를 제한하는 한 로그인 잠금 플러그인.

로그인 잠금

7. 파일을 최신 상태로 유지

앞에서 언급했듯이 오래된 파일은 사이트를 다른 악용에 취약하게하므로 보안 위험에 노출됩니다. 따라서 업데이트가 출시되는 즉시 업데이트를 설치해야합니다..

사용하는 동안 정기적으로 설치된 플러그인을 살펴보고 더 이상 사용하지 않는 플러그인을 비활성화하고 삭제하십시오..

8. 컴퓨터 보호

컴퓨터가 웹 사이트와 어떤 관련이 있는지 궁금 할 것입니다. 컴퓨터가 바이러스에 감염된 경우 사이트에 액세스하거나 파일을 업로드하면 감염된 파일이 웹 사이트를 감염시킬 수 있습니다. 간단히 말해서, 당신은 다음을 확인하고 싶습니다 :

  • 공용 Wi-Fi 네트워크를 사용하여 사이트에 액세스하지 마십시오
  • 안티 바이러스 소프트웨어를 설치하고 최신 상태인지 확인하십시오

9. 데이터베이스 접두사 변경

WordPress 해커들에게 잘 알려진 또 다른 사실은 데이터베이스 접두사가 wp로 설정되어 있다는 것입니다. 이러한 사실로 인해 테이블 ​​접두사를 쉽게 추측하고 자동화 된 SQL 주입을 사용하여 사이트에 쉽게 액세스 할 수 있습니다..

데이터베이스 접두사를 변경하는 것은 wp-config.php phpMyAdmin을 사용하여 테이블 이름을 변경하고 테이블 이름을 변경하십시오. 변경하기 전에 예방 조치로 사이트를 백업하십시오.

wp-config 편집

호스팅 계정에 로그인하여 cPanel 또는 호스트가 사용중인 제어판에 액세스해야합니다. 그런 다음 파일 관리자에 액세스하여 wp-config.php WordPress 디렉토리의 파일.

다음과 같은 테이블 접두사 줄을 찾으십시오. $ table_prefix 뒤에 = 기호와 테이블 접두사 자체가옵니다. 다음과 같이 숫자, 밑줄 및 문자 조합을 사용하여 기본 문자열을 고유 한 접두어로 바꿉니다.

$ table_prefix =‘hgwp_3456_’;

편집이 끝나면 wp-config.php 파일에서 파일 관리자를 종료하고 phpMyAdmin에 액세스하여 모든 테이블 이름을 변경할 수 있습니다. 총 11 개의 테이블을 편집해야하므로이 작업을 수동으로 수행하는 것은 지루할 수 있습니다. 대신 SQL 탭으로 이동하여 SQL 쿼리를 입력 할 수 있습니다

SQL 쿼리 실행

그런 다음 이것을 입력하십시오.

RENAME 테이블`wp_commentmeta` TO`hgwp_3456_commentmeta`;

RENAME 테이블`wp_comments` TO`hgwp_3456_comments`;

RENAME 테이블`wp_links` TO`hgwp_3456_links`;

RENAME 테이블`wp_options` TO`hgwp_3456_options`;

RENAME 테이블`wp_postmeta` TO`hgwp_3456_postmeta`;

RENAME 테이블`wp_posts` TO`hgwp_3456_posts`;

RENAME 테이블`wp_terms` TO`hgwp_3456_terms`;

RENAME 테이블`wp_termmeta` TO`wp_a123456_termmeta`;

RENAME 테이블`wp_term_relationships` TO`hgwp_3456_term_relationships;

RENAME 테이블`wp_term_taxonomy` TO`hgwp_3456_term_taxonomy`;

RENAME 테이블`wp_usermeta` TO`hgwp_3456_usermeta`;

RENAME 테이블`wp_users` TO`hgwp_3456_users`;

위 쿼리는 데이터베이스 접두사를 어디에서나 변경해야하지만 이전 데이터베이스 접두사를 사용하는 다른 파일이 업데이트되도록 다른 쿼리를 실행하는 것이 좋습니다.

SELECT * FROM`hgwp_3456_options`에서`option_name`처럼 '% wp_ %'

또한 usermeta를 검색하고 남은 이전 접두사를 새 접두사로 바꾸십시오.

SELECT * FROM`hgwp_3456_usermeta`에서`meta_key`와 같은 '% wp_ %'

10. .htaccess 및 wp-config.php 파일 강화

.htaccess와 wp-config.php WordPress 설치에서 가장 중요한 파일입니다. 따라서 보안 및 보안을 유지해야합니다.

# BEGIN WordPress 및 # END WordPress 태그 외부의 .htaccess 파일에 아래 코드를 추가하기 만하면 새로운 업데이트로 변경 사항을 덮어 쓰지 않습니다..



주문 허용, 거부

모두 거부





주문 허용, 거부

모두 거부





주문 거부, 허용

모두 거부

# 내 IP 주소에서 액세스 허용

192.168.1.1에서 허용

위의 스 니펫은 wp-config 및 .htaccess를 보호하고 액세스를 제한합니다. wp-login.php 화면.

마지막으로 PHP 파일 실행을 방지하기 위해 아래 스 니펫을 추가하십시오.



모두 거부

11. 파일 권한 확인 및 변경

당신의 보안을 완료하면 .htaccesswp-config.php 파일, cPanel에서 조금 더 오래 머무르고 WordPress 웹 사이트의 파일 및 폴더에 대한 파일 권한을 확인하십시오..

파일 권한

에 따르면 워드 프레스 코덱스, 권한은 다음과 같이 설정해야합니다.

  • 모든 디렉토리는 755 또는 750이어야합니다
  • 모든 파일은 644 또는 640이어야합니다
  • wp-config.php는 600이어야합니다

설정이 다른 경우 해커는 쉽게 내용을 읽고 파일 및 폴더의 내용을 변경하여 사이트가 해킹되고 동일한 서버의 다른 사이트가 해킹 될 수 있습니다..

12. 2 단계 인증 사용

다음과 같은 플러그인 사용을 고려하십시오 구글 인증 기 사이트에 이중 인증을 설정합니다. 즉, 비밀번호를 입력하는 것 외에도 모바일 앱에서 생성 한 코드를 입력하여 사이트에 로그인해야합니다. 이렇게하면 무차별 대입 공격을 막을 수 있으므로 지금 설정하는 것이 좋습니다..

구글 인증 기

13. XML-RPC 비활성화

XML-RPC를 사용하면 사이트에서 JetPress와 같은 플러그인 및 WordPress 모바일 앱과 연결할 수 있습니다. 불행히도 WordPress 해커는이 프로토콜을 악용하여 여러 명령을 한 번에 실행하고 사이트에 액세스 할 수 있기 때문에 가장 좋아합니다. 같은 플러그인을 사용하십시오 XML-RPC 플러그인 비활성화 이 기능을 비활성화하려면.

XML-RPC 비활성화

14. HTTPS 및 SSL 사용

인터넷은 HTTPS 프로토콜의 중요성에 대한 블로그 게시물 및 기사와 함께 꽤 오랫동안 사이트에 SSL 보안 인증서를 추가하고 있습니다..

HTTPS는 하이퍼 텍스트 전송 프로토콜 보안 (Hypertext Transfer Protocol Secure)을 나타내고 SSL은 보안 소켓 레이어 (Secure Socket Layer)를 나타냅니다. 간단히 말해, HTTPS를 사용하면 방문자의 브라우저가 호스팅 서버 (및 사이트)와 보안 연결을 설정할 수 있습니다. HTTPS 프로토콜은 SSL을 통해 보호됩니다. HTTPS와 SSL을 함께 사용하면 방문자의 브라우저와 사이트 사이의 모든 정보가 암호화됩니다..

사이트에서 두 가지를 모두 사용하면 사이트 보안이 향상 될뿐만 아니라 검색 엔진 순위에 도움이되고 방문자에 대한 신뢰를 구축하며 전환율 향상.

호스팅 제공 업체에 문의하여 SSL 인증서를 획득 할 가능성에 대해 문의하거나 신뢰할 수있는 회사의 지시에 따라 구매하십시오..

15. WordPress 대시 보드를 통한 테마 및 플러그인 편집 비활성화

WordPress 대시 보드 내에서 테마 및 플러그인 파일을 편집 할 수있는 옵션을 사용하면 코드를 빠르게 추가해야 할 때 편리합니다. 그러나 그것은 또한 귀하의 사이트에 로그인 한 모든 사람이 해당 파일에 액세스 할 수 있음을 의미.

에 다음 코드를 추가하여이 기능을 비활성화하십시오 wp-config.php 파일:

// 파일 편집 금지

define ( 'DISALLOW_FILE_EDIT', true);

16. wp-config.php 파일을 비 WWW 디렉토리로 이동

앞에서 언급했듯이 wp-config.php 파일은 WordPress 설치에서 가장 중요한 파일 중 하나입니다. 루트 디렉토리에서 www가 아닌 ​​디렉토리로 이동하여 액세스하기 어렵게하십시오..

  1. 우선, 당신의 내용을 복사 wp-config.php 파일을 새 파일에 넣고 wp-config.php로 저장하십시오..
  1. 예전으로 돌아가 wp-config.php 파일을 작성하고 아래 코드 줄을 추가하십시오.
  1. 새로운 업로드 및 저장 wp-config.php 다른 폴더에 파일.

17. WordPress 보안 키 변경

WordPress 보안 키는 사용자 쿠키에 저장된 정보를 암호화합니다. 그들은에 위치하고 있습니다 wp-config.php 파일과 같은 모양 :

define ( 'AUTH_KEY', '고유 한 문구를 여기에 넣으십시오');

define ( 'SECURE_AUTH_KEY', '고유 한 문구를 여기에 넣으십시오');

define ( 'LOGGED_IN_KEY', '고유 한 문구를 여기에 넣으십시오');

define ( 'NONCE_KEY', '고유 한 문구를 여기에 넣으십시오');

define ( 'AUTH_SALT', '고유 한 문구를 여기에 넣으십시오');

define ( 'SECURE_AUTH_SALT', '고유 한 문구를 여기에 넣으십시오');

define ( 'LOGGED_IN_SALT', '고유 한 문구를 여기에 넣으십시오');

define ( 'NONCE_SALT', '고유 한 문구를 여기에 넣으십시오');

사용 워드 프레스 소금 키 생성기 이를 변경하고 사이트를보다 안전하게.

18. 오류보고 비활성화

오류보고는 WordPress 웹 사이트에서 오류를 일으키는 특정 플러그인 또는 테마를 문제점 해결하고 판별하는 데 유용합니다. 그러나 시스템에서 오류를보고하면 서버 경로도 표시됩니다. 말할 필요도없이, 이것은 해커가 사이트의 취약점을 어떻게 그리고 어디에서 이용할 수 있는지 발견 할 수있는 완벽한 기회입니다..

아래 코드를 추가하여 비활성화 할 수 있습니다 wp-config.php 파일:

error_reporting (0);

@ini_set (‘display_errors’, 0);

19. 워드 프레스 버전 번호 제거

웹 사이트의 소스 코드를 들여다 보는 사람은 사용중인 WordPress의 버전을 알 수 있습니다. 각 WordPress 버전에는 버그 및 보안 패치 목록을 자세히 설명하는 공개 변경 로그가 있으므로 어떤 보안 취약점을 활용할 수 있는지 쉽게 확인할 수 있습니다..

워드 프레스 버전

운 좋게도 쉽게 고칠 수 있습니다. 테마의 functions.php 파일을 편집하고 다음을 추가하여 WordPress 버전 번호를 제거 할 수 있습니다.

remove_action ( 'wp_head', 'wp_generator');

20. 보안 헤더 사용

WordPress 웹 사이트를 보호하는 또 다른 방법은 보안 헤더를 구현하는 것입니다. 일반적으로 해킹 공격을 방지하고 보안 취약점 악용 횟수를 줄이기 위해 서버 수준에서 설정됩니다. 테마를 수정하여 직접 추가 할 수 있습니다. functions.php 파일.

보안 헤더

크로스 스크립팅 공격

허용 된 컨텐츠, 스크립트, 스타일 및 기타 컨텐츠 소스를 화이트리스트에 추가하려면 다음 코드를 추가하십시오.

header ( '콘텐츠 보안 정책 : default-src https :');

이렇게하면 브라우저가 악성 파일을로드하지 못합니다.

iframe 클릭 재킹

브라우저가 페이지를 프레임으로 렌더링하지 않도록 지시하려면 아래 행을 추가하십시오. header (‘X-Frame-Options : SAMEORIGIN’);

X-XSS 보호 및 X- 컨텐트 유형 옵션

XSS 공격을 방지하고 Internet Explorer에 MIME 유형을 스니핑하지 않도록 지시하려면 다음 행을 추가하십시오.

헤더 ( 'X-XSS-Protection : 1; mode = block');

header ( 'X-Content-Type-Options : nosniff');

HTTPS 시행

브라우저에 HTTPS 만 사용하도록 지시하려면 아래 코드를 추가하십시오.

header ( 'Strict-Transport-Security : max-age = 31536000; includeSubdomains; 사전로드');

WordPress에서 HTTPOnly 및 보안 플래그가있는 쿠키 

브라우저가 서버가 설정 한 쿠키 만 신뢰하도록하고 쿠키를 다음을 추가하여 SSL 채널을 통해 사용할 수 있도록하십시오.

@ini_set ( 'session.cookie_httponly', true);

@ini_set ( 'session.cookie_secure', true);

@ini_set ( 'session.use_only_cookies', true);

이 헤더를 수동으로 추가하지 않으려면 다음과 같은 플러그인 사용을 고려하십시오 보안 헤더. 보안 헤더를 구현하기 위해 선택한 방법에 관계없이 다음을 사용하여 테스트하십시오. https://securityheaders.io 웹 사이트 및 사이트 URL 입력.

21. 핫 링크 방지

핫 링크는 보안 침해 자체는 아니지만 사이트 URL을 사용하여 이미지 나 다른 미디어 파일을 직접 가리키는 다른 웹 사이트를 참조한다는 점을 고려하면 도난으로 간주됩니다. 따라서, 핫 링크는 합법적 인 파급 효과를 처리해야 할뿐만 아니라 이미지를 훔친 사이트가 많은 트래픽을받는 경우 호스팅 청구서가 지붕을 통과 할 수 있기 때문에 예상치 못한 비용을 초래할 수 있습니다..

Apache 서버를 사용하는 경우 아래 코드를 .htaccess 파일에 추가하고 더미 도메인을 실제 도메인 이름으로 바꾸십시오.

다시 쓰기 엔진

RewriteCond % {HTTP_REFERER}! ^ http (s)? : // (www \.)? domain.com [NC]

RewriteRule \. (jpg | jpeg | png | gif) $-[NC, F, L]

또는 NGINX 서버를 사용하는 경우 다음을 사용하여 구성 파일을 수정해야합니다.

위치 ~. (gif | png | jpe? g) $ {

valid_referers가 ~ .google을 차단하지 않았습니다. ~. 빙. ~ .yahoo yourdomain.com * .yourdomain.com;

if ($ invalid_referer) {

403을 반환;

}

}

유휴 사용자 로그 아웃

사이트 보안을 강화하기위한이 가이드의 마지막 팁은 일정 기간 동안 활동이 없으면 유휴 사용자를 로그 아웃하는 것입니다. 당신은 같은 플러그인을 사용할 수 있습니다 비활성 로그 아웃 비활성 세션을 자동으로 종료.

비활성 로그 아웃

새 블로그 게시물을 추가하기 위해 웹 사이트에 로그인하고 다른 작업에 집중하지 않으면 세션이 가로 채질 수 있으며 해커가 사이트를 감염시키기 위해 상황을 남용 할 수 있기 때문에이 작업이 필요합니다. 사이트에 여러 명의 사용자가있는 경우 비활성 세션을 종료하는 것이 훨씬 중요합니다.

해킹에서 복구하는 방법

위의 보안 조치는 사이트를 보호하는 좋은 방법입니다. 그러나 사이트가 해킹되면 어떻게 될까요? 웹 사이트가 해킹당한 경우에 따라 수행해야 할 몇 가지 단계는 다음과 같습니다..

1. 해킹 확인 및 비밀번호 변경

사이트가 해킹당한 경우 당황하지 마십시오. 이것은 당신과 행동이 도움이되지 않으므로 빨리 행동하는 것이 중요합니다. 사이트를 확인하고 대시 보드에 로그인 할 수 있는지 확인하십시오. 사이트가 다른 사이트로 리디렉션되는지 또는 의심 스럽거나 이상한 링크 나 광고가 있는지 확인.

비밀번호를 즉시 변경 한 후 다음 단계로 진행하십시오..

2. 호스팅 회사와 연락하십시오

호스트에게 연락하여 사이트가 해킹 당했음을 알립니다. 해킹의 원인을 식별하는 데 도움이됩니다. 일부 호스트는 사이트를 정리하고 악성 코드와 파일을 제거합니다..

백업을 사용하여 사이트 복원

사이트 백업에 대해 부지런한 경우 해킹 전에 백업을 찾아 사이트를 복원하십시오. 일부 콘텐츠가 손실 될 수 있지만 공격이 발생하기 전과 같이 사이트를 시작하고 운영 할 수 있습니다..

3. 사이트에서 악성 코드 검사

Sucuri의 무료 스캐너를 사용하여 사이트에서 맬웨어를 검사하고 손상된 파일을 식별하십시오. 맬웨어를 직접 제거하는 방법을 모르는 경우 사이트 정리 서비스를 선택할 수도 있습니다.

4. 사이트 사용자 확인

WordPress 웹 사이트에 로그인하고 사용자> 모든 사용자로 이동하십시오. 방문하지 않아야하는 사용자가 없는지 확인하고 필요한 경우 삭제하십시오.

5. 비밀 키 변경

위에서 언급 한 WordPress Salts Key Generator를 사용하여 새 보안 키를 생성하고 wp-config.php 파일에 추가하십시오. 이러한 키는 비밀번호를 암호화하므로 해커는 쿠키가 무효화 될 때까지 로그인 상태를 유지합니다. 새로운 보안 키를 사용하면 해커가 사이트를 강제로 벗어날 수 있습니다..

6. 전문가 고용

마지막으로 전문가를 고용하여 해킹을 정리하고 사이트에서 맬웨어를 제거하십시오. 해커는 여러 파일에서 악성 코드를 숨길 수 있으므로 맬웨어 제거에 익숙하지 않은 경우 감염된 파일을 쉽게 놓칠 수 있습니다. 이를 통해 해커가 사이트를 다시 쉽게 해킹 할 수 있으므로 전문가를 고용하는 것이 좋습니다..

7 가지 가장 일반적인 유형의 워드 프레스 취약점

이 기사를 계속 진행하기 전에 방안의 코끼리를 다루십시오. WordPress는 안전한가요? 그 질문에 대한 대답은 '예'입니다. WordPress 소프트웨어의 핵심은 안전하며 WordPress의 회사는 보안을 심각하게 생각합니다.

그들의 보안 팀 WordPress의 보안을 위해 무대 뒤에서 일하는 수석 개발자 및 보안 연구원을 포함하는 50 명의 전문가가 있습니다..

실제로, 대부분의 보안 사고 및 위험은 보안 취약점이 존재하는 인적 오류의 결과입니다.

7 가지 유형의 워드 프레스 취약점이 있습니다.

  • 오래된 WordPress 파일
  • 백도어 익스플로잇
  • 제약 해킹
  • 약한 비밀번호
  • 악성 리디렉션
  • 호스팅 플랫폼의 취약점
  • 서비스 거부 공격

그들에게 가서 그들이 정확히 무엇인지 설명합시다.

1. 오래된 WordPress 파일

오래된 WordPress 파일은 WordPress 버전, 테마 및 플러그인 파일을 나타냅니다. 백도어 익스플로잇 및 제약 해킹과 같은 다른 취약점에 사이트를 노출시켜 보안 위험에 노출됩니다..

따라서 테마 및 플러그인뿐만 아니라 WordPress 설치가 최신 상태인지 확인해야합니다. 새로운 기능과 함께 제공 될뿐만 아니라 다양한 보안 및 버그 수정 사항도 포함되어 있으므로 릴리스 될 때 사전에 업데이트를 적용해야합니다..

2. 백도어 악용

백도어 악용과 관련하여 해커는 오래된 WordPress 파일을 이용하여 사이트에 액세스합니다. 오래된 파일 외에도 SFTP, FTP 등을 통해 사이트에 액세스 할 수 있습니다..

사이트에 액세스하면 사이트를 감염시키고 사이트와 동일한 서버에있는 다른 사이트를 감염시킬 수도 있습니다. 백도어 주입은 경험이없는 사용자에게 일반 WordPress 파일처럼 보입니다. 그러나 뒤에서, 그들은 오래된 파일의 버그를 이용하여 데이터베이스에 액세스하고 사이트와 수천 개의 다른 웹 사이트를 혼란스럽게합니다..

3. 제약 해킹

제약 해킹은 해커가 해당 파일에 코드를 삽입하는 오래된 WordPress 파일의 취약점 악용을 말합니다. 코드가 삽입되면 검색 엔진에 웹 사이트 대신 의약품에 대한 광고가 표시됩니다. 이로 인해 검색 엔진이 웹 사이트를 스팸으로 표시 할 수 있습니다.

4. 약한 비밀번호

약한 암호는 기억하기 쉽지만 해커가 무차별 대입 공격을 통해 사이트에 쉽게 액세스 할 수 있습니다. 해커가 백그라운드에서 실행되는 자동화 된 스크립트를 사용하여 작동하는 조합을 찾을 때까지 다양한 사용자 이름 및 비밀번호 조합을 시도 할 때 무차별 대입 공격이 발생합니다..

5. 악의적 인 리디렉션

오래된 파일과 FTP 또는 SFTP 프로토콜을 사용하여 제약 해킹이나 백도어 악용을 초래하는 코드를 삽입하는 것과 마찬가지로 해커는 WordPress 설치에서 .htaccess 파일을 사용하여 방문자를 악의적 인 웹 사이트로 리디렉션합니다..

그러면 방문자가 바이러스에 감염되거나 피싱에 노출 될 수 있습니다.

6. 호스팅 플랫폼의 취약점

방화벽이나 파일 모니터링과 같은 보안 기능이없는 호스팅 회사를 사용하고있어 웹 사이트의 보안이 손상 될 수 있습니다. 저렴한 호스팅 제공 업체의 경우가 일반적입니다. 즉, 저렴한 호스트를 선택하면 사이트가 해킹 당하면 더 많은 비용이 들게됩니다..

저렴한 호스팅 플랫폼은 해커가 동일한 서버에서 호스팅되는 다른 웹 사이트의 취약점을 악용하여 사이트가 감염되거나 해킹 될 수 있기 때문에 더 높은 보안 위험을 초래합니다..

7. 서비스 거부 공격

서비스 거부 공격 또는 DDOS 공격은 모든 웹 사이트 소유자에게 가장 위험한 위협 중 하나입니다. DDOS 공격에서 해커는 코드의 버그와 오류를 악용하여 사이트 운영 체제의 메모리가 압도됩니다. DDOS 공격은 일반적으로 WordPress와 같은 특정 플랫폼을 사용하는 많은 사이트를 중단시킵니다..

이제 WordPress와 관련된 일반적인 취약점이 무엇인지 알고 있으므로 WordPress 사이트를 보호하는 데 도움이되는 팁, 모범 사례 및 보안 권장 사항으로 넘어갑니다..

마무리

WordPress는 누구나 쉽게 웹 사이트를 만들 수있는 강력하고 인기있는 CMS입니다. 그러나 인기가 높기 때문에 해커에게 가장 좋아하는 대상이기도합니다. 운 좋게도 WordPress 사이트를 보호하기 위해 취할 수있는 여러 단계가 있으며이 기사의 팁을 따르면 안전한 WordPress 웹 사이트를 만들 수 있습니다..

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map