WordPress는 단연 가장 인기 있는 블로그 플랫폼입니다.
인기 때문에 긍정적인 영향과 부정적인 영향도 가져왔습니다. 거의 모든 사람이 이를 사용한다는 사실로 인해 취약점을 더 쉽게 찾을 수 있습니다. WordPress 개발자는 새로운 버그가 발견되면 많은 작업을 수행하고 수정 사항과 패치를 릴리스하지만, 그렇다고 해서 설치하고 잊어버릴 수 있다는 의미는 아닙니다.
이 기사에서는 WordPress 웹사이트를 보호하고 강화하는 가장 일반적인 방법 중 일부를 제공합니다.
백엔드에 로그인할 때는 항상 SSL을 사용하세요캐주얼 블로그만 할 계획이 아니라면 항상 SSL을 사용해야 한다는 것은 말할 필요도 없습니다. 암호화된 연결 없이 웹사이트에 로그인하면 사용자 이름과 비밀번호가 노출됩니다. 트래픽을 스니핑하는 사람은 누구나 귀하의 비밀번호를 알아낼 수 있습니다. WiFi를 사용하거나 해킹당할 가능성이 높은 공용 핫스팟에 연결하는 경우 특히 그렇습니다. 여기에서 신뢰할 수 있는 무료 SSL 인증서를 얻을 수 있습니다.
신중하게 선택된 추가 플러그인타사 개발자가 개발한 각 플러그인의 품질과 보안은 항상 의심스럽고 이는 개발자의 경험에 달려 있습니다. 추가 플러그인을 설치할 때는 신중하게 선택하고 인기도와 플러그인 유지 빈도를 고려해야 합니다. 제대로 관리되지 않은 플러그인은 쉽게 악용될 수 있는 버그와 취약점이 발생하기 쉽기 때문에 피해야 합니다.
이 주제는 또한 SSL에 대한 이전 주제를 보완합니다. 많은 플러그인에는 안전하지 않은 연결(HTTP)을 통해 요청하는 스크립트가 포함되어 있기 때문입니다. 귀하의 사이트가 HTTP를 통해 액세스되는 한 모든 것이 괜찮아 보입니다. 그러나 암호화를 사용하고 SSL 액세스를 강제하기로 결정하면 즉시 웹사이트의 기능이 중단됩니다. 왜냐하면 HTTPS를 사용하여 다른 웹사이트에 액세스할 때 이러한 플러그인의 스크립트는 계속해서 HTTP를 통해 요청을 처리하기 때문입니다.
워드펜스 설치Wordfence Feedjit Inc.에서 개발한 Wordfence는 현재 가장 인기 있는 WordPress 보안 플러그인이며 모든 진지한 WordPress 웹사이트, 특히 WooCommerce 또는 기타 WordPress 전자 상거래 플랫폼을 사용하는 웹사이트의 필수품입니다.
Wordfence는 단순한 플러그인 그 이상으로 웹사이트를 강화하는 다양한 보안 기능을 제공합니다. 웹 프로그램 방화벽, 맬웨어 검사, 실시간 트래픽 분석기 및 웹 사이트 보안을 향상할 수 있는 기타 다양한 도구를 갖추고 있습니다. 방화벽은 기본적으로 악의적인 로그인 시도를 차단하며 IP 주소 범위에 따라 전체 국가에 대한 액세스를 차단하도록 구성할 수도 있습니다. Wordfence에서 정말 마음에 드는 점은 사이트가 악성 스크립트와 같은 어떤 이유로 손상되더라도 Wordfence는 설치 후 사이트의 감염된 파일을 검사하고 치료할 수 있다는 것입니다.
회사는 이 플러그인에 대해 무료 및 유료 구독 플랜을 모두 제공하지만, 무료 플랜을 사용하더라도 귀하의 웹사이트는 여전히 만족스러운 수준을 얻을 것입니다.
추가 비밀번호로 /wp-admin 및 /wp-login.php를 잠그세요WordPress 백엔드를 보호하는 또 다른 단계는 자신 외에는 누구도 사용하지 못하도록 하는 모든 디렉터리(예: URL)에 대해 추가 비밀번호 보호 기능을 사용하는 것입니다. /wp-admin 디렉토리는 이 주요 디렉토리 목록에 속합니다. 일반 사용자가 WordPress에 로그인하는 것을 허용하지 않는 경우 비밀번호를 사용하여 wp.login.php 파일에 대한 액세스를 제한해야 합니다. Apache를 사용하든 Nginx를 사용하든 이 두 문서를 방문하여 WordPress 설치를 추가로 보호하는 방법을 알아볼 수 있습니다.
사용자 열거 비활성화/중지이것은 공격자가 사이트에서 유효한 사용자 이름을 찾는 매우 쉬운 방법입니다(예: 관리자 사용자 이름 찾기). 그럼 어떻게 작동하나요? 이것은 매우 간단합니다. /?author=1로 WordPress 사이트의 기본 URL을 따라가기만 하면 됩니다. 예: wordpressexample.com/?author=1.
이로부터 웹사이트를 보호하려면 Stop User Enumeration 플러그인을 설치하세요.
XML-RPC 비활성화RPC는 네트워크의 다른 컴퓨터에 있는 프로그램에서 서비스를 요청하는 데 사용할 수 있는 프로토콜인 Remote Procedure Call의 약자입니다. WordPress의 경우 XML-RPC를 사용하면 Windows Live Writer와 같은 널리 사용되는 웹 블로깅 클라이언트를 사용하여 WordPress 블로그에 게시물을 게시할 수 있습니다. 이는 WordPress 모바일 앱을 사용하는 경우에도 필요합니다. 이전 버전에서는 XML-RPC가 비활성화되었지만 WordPress 3.5부터는 기본적으로 활성화되어 사이트가 더 큰 공격 가능성에 노출됩니다. 다양한 보안 연구원들은 이것이 큰 문제가 아니라고 제안하지만, 웹 블로그 클라이언트나 WP의 모바일 앱을 사용할 계획이 없다면 XML-RPC 서비스를 비활성화해야 합니다.
이 작업을 수행하는 방법은 여러 가지가 있으며, 가장 간단한 방법은 XML-RPC 비활성화 플러그인을 설치하는 것입니다.
위 내용은 WordPress 웹사이트의 보안을 강화하는 5가지 실용적인 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!