일반적인 WordPress 문제 및 취약점을 해결하는 8가지 방법

WordPress는 탄생한 지 19년이 지난 지금도 World Wide Web에서 가장 인기 있고 널리 사용되는 콘텐츠 관리 시스템(CMS) 중 하나로 남아 있습니다. 숫자에 따르면 인터넷 웹사이트의 60% 이상이 WordPress를 기반으로 구축되었습니다!

이러한 인기는 대규모 개발자 커뮤니티, 다양한 도구, 수많은 튜토리얼 및 가이드 등 많은 이점을 제공합니다. 그러나 몇 가지 단점도 있습니다. 그 중 하나는 해커 공격에 대한 취약성이 증가한다는 것입니다.

해커는 WordPress를 공격하는 것을 좋아합니다. 실제로 해킹된 CMS 기반 웹사이트 중 83%가 WordPress를 기반으로 구축되었습니다. 그들은 악용할 허점을 찾는 것을 좋아하지만 불행하게도 WordPress에는 그 중 몇 가지가 있습니다.

이 기사에서는 8가지 일반적인 WordPress 취약점을 다루고 각 취약점을 완화하는 방법을 설명하겠습니다. 아래 링크를 사용하여 각 취약점 섹션으로 이동하시기 바랍니다.

열악한 호스팅 환경
임의 테마 및 플러그인
오래된 플러그인 및 테마
비밀번호가 취약함
맬웨어 주입
피싱
서비스 거부 공격
교차 사이트 스크립팅(XSS)

1.열악한 호스팅 환경

호스트는 웹 사이트를 구동하는 파일을 저장하는 인터넷상의 서버 컴퓨터입니다. 인터넷을 통해 WordPress 웹사이트에 액세스하려면 웹 호스트에서 호스팅해야 합니다.

WordPress 사이트가 해킹당하는 주요 이유 중 하나는 열악한 호스팅 환경입니다. Kinsta에 따르면 이 수치는 약 41%입니다. 결과적으로 모든 WordPress 웹사이트 해킹의 거의 절반이 열악한 호스팅 환경으로 인해 발생합니다.

위 통계를 통해 평판이 좋고 안전한 호스팅 제공업체를 사용하면 웹사이트가 해킹될 가능성이 자동으로 크게 줄어든다는 결론을 내릴 수 있습니다.

WordPress 웹사이트를 위한 최고의 호스팅 제공업체로는 SiteGround, WP Engine, Hostinger 및 Bluehost가 있습니다. 웹사이트 호스팅 제공업체를 선택하기 전에 철저한 조사를 통해 서비스 제공 품질과 고객 만족도 수준을 파악하세요.

2.임의 테마 및 플러그인

WordPress 테마는 웹 사이트의 모양과 느낌을 결정하는 반면, 플러그인은 웹 사이트에 추가 기능을 추가하는 데 사용됩니다. 둘 다 PHP 스크립트를 포함한 파일 모음입니다.

테마와 플러그인은 코드로 구성되어 있기 때문에 버그가 가득할 수 있습니다. 이는 해커가 영향을 받는 WordPress 사이트에 불법적으로 액세스하기 위해 사용하는 매우 널리 사용되는 방법입니다.

실제로 Kinsta에 따르면 취약점의 52%는 플러그인과 관련이 있고 11%는 테마로 인해 발생합니다.

해커는 테마나 플러그인에 악성 코드를 삽입하여 인터넷 시장에 게시할 수 있습니다. 의심하지 않는 사용자가 WordPress 사이트에 설치한 경우 사이트는 종종 소유자가 모르는 사이에 자동으로 손상됩니다.

이러한 문제를 피하는 가장 좋은 방법은 신뢰할 수 있는 출처에서 나온 테마와 플러그인만 설치하는 것입니다.

3.오래된 플러그인 및 테마

임의의 플러그인과 테마를 피하는 것 외에도 WordPress 사이트에 설치된 플러그인과 테마를 최신 상태로 유지해야 합니다.

해커들이 취약점이 있는 것으로 알려진 특정 테마나 플러그인(또는 특정 버전)을 검색하는 경우가 많기 때문입니다. 그런 다음 해당 테마나 플러그인을 사용하는 웹사이트를 찾아 해킹을 시도합니다. 성공하면 데이터베이스에서 데이터를 조회하거나 웹 사이트에 악성 콘텐츠를 삽입하는 등 웹 사이트에서 유해한 작업을 수행할 수 있습니다.

관리자 패널에서 설치된 테마에 액세스하려면 사이드바에서 외관 > 테마로 이동하세요. 플러그인에 액세스하려면 플러그인 > 설치된 플러그인으로 이동하세요.

일반적으로 웹사이트에 사용된 테마나 플러그인을 업데이트할 때가 되면 WordPress 대시보드에 경고 알림이 표시됩니다. 정당한 이유가 없는 한 이러한 경고를 무시하지 마십시오.

4.비밀번호가 취약

약하고 추측하기 쉬운 로그인 자격 증명은 해커가 WordPress 백엔드에 액세스하는 가장 쉬운 방법 중 하나입니다. WordPress 웹사이트의 약 8%가 취약한 비밀번호 조합이나 도난당한 비밀번호로 인해 해킹당했습니다

해커는 가능한 한 많은 WordPress 사이트에서 일반적인 사용자 이름과 비밀번호 조합을 반복적으로 테스트하기 위해 무차별 대입 스크립트를 사용하는 경우가 많습니다. 일치하는 항목을 찾을 때까지 이 작업을 수행한 다음 대상 사이트에 로그인하고 자격 증명을 다른 해커에게 재판매합니다.

따라서 user, admin, administrator 및 user1 과 같은 용어를 로그인 사용자 이름으로 사용하는 것을 항상 피해야 합니다. 대신 덜 일반적이고 개인적인 사용자 이름을 만드세요.

강력하고 안전한 비밀번호를 만들기 위해 기억해야 할 몇 가지 규칙은 다음과 같습니다.

• 개인정보(이름, 생일, 이메일 등)는 절대 사용하지 마세요.
• 더 긴 비밀번호를 만드세요.
• 비밀번호는 최대한 모호하고 의미가 없도록 만드세요.
• 흔한 단어를 사용하지 마세요.
• 숫자 및 특수 문자가 포함되어 있습니다.
• 비밀번호를 반복하지 마세요.

웹사이트를 보호하려면 WordPress를 처음 설정할 때 강력한 사용자 이름과 비밀번호 조합을 지정해야 합니다.

또한 WordPress 웹사이트에 또 다른 보안 계층을 추가하려면 2단계 인증(2FA)을 설정해야 합니다.

마지막으로, 무차별 대입 공격(및 기타 악의적인 공격)이 WordPress 사이트에 액세스하는 것을 방지하려면 Wordfence 또는 Sucuri Security와 같은 보안 플러그인을 사용하는 것이 좋습니다.

5.악성코드 주입

악성코드는 해커가 웹사이트에 삽입하여 계획을 실행하려고 할 때 실행할 수 있는 일종의 악성 소프트웨어입니다.

악성코드는 다양한 방법으로 삽입될 수 있습니다. 이는 WordPress 사이트의 올바른 형식의 댓글과 같은 간단한 방법이나 서버에 실행 파일을 업로드하는 것과 같은 복잡한 방법을 통해 주입될 수 있습니다.

최선의 경우 악성 코드는 문제를 일으키지 않으며 고객에게 제품 광고를 표시하는 등 무해한 작업을 수행할 수 있습니다. 이 경우 Wordfence Security와 같은 악성코드 스캐너 플러그인을 사용하여 악성코드를 제거할 수 있습니다.

그러나 극단적인 경우 맬웨어는 서버에서 위험한 작업을 수행할 수 있으며, 이로 인해 데이터베이스의 데이터 손실이나 WordPress 웹 사이트에 계정 생성과 같은 유사한 결과가 발생할 수 있습니다.

이 최악의 시나리오를 해결하려면 일반적으로 깨끗한 백업에서 웹 사이트를 복원한 다음 해커가 시스템에 어떻게 침입했는지 파악하고 취약점을 패치해야 합니다. 그렇기 때문에 웹 사이트를 정기적으로 백업하는 것이 중요합니다.

6.피싱

피싱 공격에서는 공격자가 서버에서 온 것처럼 보이는 주소를 사용하여 이메일을 보냅니다. 공격자는 종종 웹사이트 사용자나 고객에게 링크를 클릭하여 특정 작업을 수행하도록 요청하는데, 사용자는 해당 작업이 실제로 서버에서 오는 것이 아니라는 사실을 모른 채 수행할 수 있습니다.

피싱 공격은 고양이 피싱, 스피어 피싱 등 다양한 이름으로 다양한 스타일로 나타납니다. 유형에 관계없이 피싱에는 항상 가짜(그러나 원본처럼 보이는) 이메일 주소와 악성 페이지 링크가 포함됩니다.

공격자는 일반적으로 웹사이트의 실제 로그인 양식과 동일하게 보이는 가짜 양식을 표시합니다. 사용자가 즉시 후속 조치를 취하지 않으면 악성 웹사이트에 하나 이상의 다른 로그인 자격 증명을 제출할 수 있습니다.

그 결과 해커는 이제 다른 웹사이트에 무차별 대입 공격을 수행하기 위한 다양한 사용자 이름과 비밀번호는 물론 사용자의 백엔드에 액세스하기 위한 정확한 로그인 자격 증명을 갖게 되었습니다.

이메일은 원래 설계된 방식으로 인해 이메일의 "보낸 사람" 주소를 스푸핑하기 쉽기 때문에 피싱 공격을 막기가 더 어렵습니다.

그러나 오늘날에는 SPF, DKIM 및 DMARC와 같은 기술을 통해 이메일 서버가 이메일의 출처를 확인하고 소스 도메인을 확인할 수 있습니다. 이러한 설정이 올바른 경우 모든 피싱 이메일은 수신자 서버에서 감지되어 스팸으로 표시되거나 사용자의 받은 편지함에서 완전히 삭제됩니다.

SPF, DKIM, DMARC가 올바르게 설정되었는지 확실하지 않은 경우 웹 호스트에 문의하세요. 대부분의 최고 웹 호스트에는 설정 방법에 대한 간단한 지침이 있습니다.

7.서비스 거부 공격(DoS 및 DDoS)

서비스 거부 공격은 범죄자가 웹사이트 서버에 다수의 잘못된 요청을 보내 서버가 합법적인 사용자의 정상적인 요청을 처리할 수 없게 만들 때 발생합니다.

WordPress에서 캐싱 서비스는 DDoS 공격을 완화하는 데 도움이 됩니다. 웹사이트에서 WP Fastest Cache와 같은 WordPress 플러그인을 사용하여 DDoS 공격을 확인할 수 있습니다. 또한 대부분의 상위 호스트에는 인프라에 DDoS 완화 시스템이 내장되어 있습니다.

8. 크로스 사이트 스크립팅(XSS)

Cross-site scripting 공격은 또 다른 유형의 코드 주입 공격으로, 앞서 배운 악성 코드 주입과 유사합니다.

그러나 XSS 공격에서는 공격자가 브라우저가 실행될 수 있도록 웹사이트 프런트엔드의 웹페이지에 악성 클라이언트 측 스크립트(JavaScript)를 삽입합니다.

공격자는 이 기회를 이용해 사이트 방문자를 사칭(데이터 사용)하거나 방문자가 만든 다른 악성 사이트로 보내 사용자를 속일 수 있습니다.

WordPress 사이트에서 XSS 공격을 차단하는 가장 효과적인 방법 중 하나는 Sucuri와 같은 강력한 방화벽 플러그인을 설치하는 것입니다. Sucuri를 사용하여 사이트에서 XSS 취약점을 검색할 수도 있습니다.

결론

WordPress 웹사이트를 안전하게 유지하려면 공격자가 악용할 수 있는 취약점을 발견하기 위한 사전 조치를 취해야 합니다. 본 글에서는 8가지 취약점을 소개하고 각 취약점에 대한 솔루션을 제공합니다.

WordPress 웹사이트 취약점을 완화하는 가장 좋은 방법은 웹사이트의 모든 구성 요소를 최신 상태로 유지하는 것입니다. 여기에는 플러그인, 테마, WordPress 자체도 포함됩니다. PHP 버전도 업그레이드하는 것을 잊지 마세요.

위 내용은 일반적인 WordPress 문제 및 취약점을 해결하는 8가지 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!