요즘 자신의 WordPress 사이트를 시작하는 것은 매우 쉽습니다. (WordPress)불행히도 해커가 귀하의 사이트를 표적으로 삼기 시작하는 데는 그리 오랜 시간이 걸리지 않을 것입니다.
워드프레스(WordPress) 사이트를 안전하게 만드는 가장 좋은 방법은 워드 프레스(WordPress) 사이트를 운영하면서 발생하는 모든 취약점을 이해하는 것 입니다. 그런 다음 적절한 보안을 설치하여 해당 지점 각각에서 해커를 차단하십시오.
이 기사에서는 도메인, WordPress 로그인, (WordPress)WordPress 사이트 를 보호하는 데 사용할 수 있는 도구 및 플러그인 을 더 잘 보호하는 방법을 배웁니다.
비공개 도메인 생성
요즘 은 사용 가능한 도메인을 찾아(find an available domain) 매우 저렴한 가격에 구입하는 것이 너무 쉽습니다. 대부분의 사람들은 도메인용 도메인 애드온을 구매하지 않습니다. 그러나 항상 고려해야 할 추가 기능 중 하나는 개인 정보 보호(Privacy Protection) 입니다.
GoDaddy 에는 세 가지 기본 개인 정보 보호 수준이 있지만 이는 대부분의 도메인 공급자가 제공하는 것과도 일치합니다.
- 기본 : (Basic)WHOIS 디렉토리 에서 이름과 연락처 정보를 숨깁니다 . 정부에서 도메인 연락처 정보를 숨길 수 있도록 허용한 경우에만 사용할 수 있습니다.
- 전체(Full) : 실제 신원을 은폐하기 위해 자신의 정보를 대체 이메일 주소 및 연락처 정보로 대체합니다.
- Ultimate : 악의적인 도메인 스캐닝을 차단하는 추가 보안이며 실제 사이트에 대한 웹사이트 보안 모니터링을 포함합니다.
일반적으로 도메인을 이러한 보안 수준 중 하나로 업그레이드하려면 도메인 목록 페이지의 드롭다운에서 업그레이드를 선택하기만 하면 됩니다.
기본(Basic) 도메인 보호는 상당히 저렴하며(일반적으로 연간 약 $9.99), 더 높은 수준의 보안은 훨씬 더 비싸지 않습니다.
이것은 스팸 발송자가 WHOIS 데이터베이스에서 연락처 정보를 스크랩하거나 악의적인 의도를 가진 다른 사람이 귀하의 연락처 정보에 액세스하지 못하도록 하는 훌륭한 방법입니다.
(Hide)wp-config.php 및 .htaccess 파일 숨기기
WordPress 를 처음 설치할(install WordPress) 때 wp-config.php 파일에 WordPress SQL 데이터베이스 의 관리 ID와 암호를 포함해야 합니다.
해당 데이터는 설치 후 암호화되지만 해커가 이 파일을 편집하고 웹사이트를 손상시키지 못하도록 차단하고 싶을 수도 있습니다. 이렇게 하려면 사이트의 루트 폴더에서 .htaccess 파일을 찾아 편집하고 파일 맨 아래에 다음 코드를 추가합니다.
# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>
.htaccess 자체에 대한 변경을 방지하려면 파일 맨 아래에도 다음을 추가하십시오.
# Protect .htaccess file
<Files .htaccess>
order allow,deny
deny from all
</Files>
파일을 저장하고 파일 편집기를 종료합니다.
또한 각 파일을 마우스 오른쪽 버튼으로 클릭하고 권한을 변경하여 모든 사람의 쓰기(Write) 권한을 완전히 제거할 수도 있습니다.
wp-config.php 파일에서 이 작업을 수행하면 문제가 발생하지 않지만 .htaccess에서 수행하면 문제가 발생할 수 있습니다. 특히 .htaccess 파일을 편집해야 하는 보안 WordPress 플러그인을 실행 중인 경우 .
WordPress 에서 오류가 발생하면 언제든지 .htaccess 파일에 대한 쓰기(Write) 액세스를 다시 허용하도록 권한을 업데이트할 수 있습니다 .
WordPress 로그인 URL 변경
모든 WordPress(WordPress) 사이트 의 기본 로그인 페이지 는 yourdomain/wp-admin.php이므로 해커는 이 URL을 사용하여 사이트를 해킹하려고 합니다.
그들은 많은 사람들이 일반적으로 사용하는 일반적인 사용자 이름과 암호의 변형을 보내는 "무차별 대입" 공격으로 알려진 것을 통해 이를 수행합니다. 해커는 운이 좋아 올바른 조합을 얻을 수 있기를 바랍니다.
WordPress 로그인 URL(WordPress login URL) 을 비표준 으로 변경하여 이러한 공격을 완전히 막을 수 있습니다 .
이를 수행하는 데 도움 이 되는 많은 WordPress 플러그인이 있습니다. 가장 일반적인 것 중 하나는 WPS 로그인 숨기기(WPS Hide Login) 입니다.
이 플러그인 은 WordPress 의 설정 아래에 있는 (Settings)일반(General) 탭에 섹션을 추가합니다.
여기에서 원하는 로그인 URL 을 입력하고 (URL)변경 사항 저장(Save Changes) 을 선택 하여 활성화할 수 있습니다. 다음에 WordPress(WordPress) 사이트 에 로그인 하려면 이 새 URL 을 사용하세요 .
누군가 이전 wp-admin URL 에 액세스하려고 하면 사이트의 404 페이지로 리디렉션됩니다.
참고(Note) : 캐시 플러그인을 사용하는 경우 캐시 하지 않을(not) 사이트 목록에 새 로그인 URL 을 추가해야 합니다. 그런 다음 WordPress(WordPress) 사이트에 다시 로그인하기 전에 캐시를 제거해야 합니다.
WordPress 보안 플러그인 설치
선택할 수 있는 WordPress 보안 플러그인(WordPress security plugins) 이 많이 있습니다. 그 중 Wordfence 가 가장 일반적으로 다운로드되는 데는 그만한 이유가 있습니다.
무료 버전의 Wordfence 에는 백도어 위협, 플러그인(malicious code in your plugins) 또는 사이트의 악성 코드, MySQL 삽입 위협 등을 찾는 강력한 스캔 엔진이 포함되어 있습니다. 또한 DDOS 공격과 같은 활성 위협을 차단하는 방화벽이 포함되어 있습니다.
또한 로그인 시도를 제한하고 잘못된 로그인 시도를 너무 많이 하는 사용자를 차단하여 무차별 대입 공격을 막을 수 있습니다.
무료 버전에는 몇 가지 설정이 있습니다. 대부분의 공격으로부터 중소 규모 웹사이트를 보호하기에 충분합니다.
또한 최근에 차단된 위협 및 공격을 모니터링하기 위해 검토할 수 있는 유용한 대시보드 페이지가 있습니다.
WordPress 암호 생성기(WordPress Password Generator) 및 2FA 사용
마지막으로 원하는 것은 해커가 귀하의 비밀번호를 쉽게 추측할 수 있게 하는 것입니다. 불행히도 너무 많은 사람들이 추측하기 쉬운 매우 간단한 비밀번호를 사용합니다. 몇 가지 예에는 웹사이트 이름 또는 사용자 자신의 이름을 암호의 일부로 사용하거나 특수 문자를 사용하지 않는 것이 포함됩니다.
최신 버전의 WordPress 로 업그레이드했다면 강력한 암호 보안 도구에 액세스하여 WordPress 사이트를 보호할 수 있습니다.
암호 보안을 향상시키는 첫 번째 단계는 사이트의 각 사용자로 이동하여 계정 관리(Account Management) 섹션 으로 스크롤한 다음 암호 생성(Generate Password) 버튼을 선택하는 것입니다.
그러면 문자, 숫자 및 특수 문자가 포함된 길고 안전한 암호가 생성됩니다. 이 암호를 안전한 곳에 저장하십시오. 가급적이면 온라인 상태에서 컴퓨터에서 연결을 끊을 수 있는 외부 드라이브의 문서에 저장하십시오.
다른 모든 곳에서 로그아웃(Log Out Everywhere Else) 을 선택 하여 모든 활성 세션이 닫혔는지 확인합니다.
마지막으로 Wordfence 보안 플러그인을 설치했다면 2FA 활성화(Activate 2FA) 버튼이 표시됩니다. 사용자 로그인에 대해 이중 인증을 활성화하려면 이것을 선택하십시오.
Wordfence 를 사용하지 않는 경우 이러한 인기 있는 2FA 플러그인을 설치해야 합니다.
기타 중요한 보안 고려 사항(Important Security Considerations)
WordPress 사이트 를 완전히 보호하기 위해 할 수 있는 몇 가지 작업이 더 있습니다.
WordPress 플러그인(WordPress plugins) 과 WordPress 자체 버전 은 항상 업데이트되어야 합니다. 해커는 종종 사이트에 있는 이전 버전의 코드에 있는 취약점을 악용하려고 합니다. 이 두 가지를 모두 업데이트하지 않으면 사이트가 위험에 노출됩니다.
1. WordPress(WordPress) 관리자 패널 에서 플러그인(Plugins) 및 설치된 플러그인(Installed Plugins) 을 정기적으로 선택 합니다. 새 버전을 사용할 수 있다는 상태의 모든 플러그인을 검토 하십시오.(Review)
오래된 버전이 보이면 지금 업데이트(update now) 를 선택 합니다. 플러그인에 대한 자동 업데이트 활성화를 선택할 수도 있습니다.
그러나 플러그인 업데이트로 인해 때때로 사이트나 테마가 손상될 수 있으므로 일부 사람들은 이 작업을 주의합니다. 따라서 라이브 사이트에서 플러그인 업데이트를 활성화하기 전에 로컬 WordPress 테스트 사이트(local WordPress test site) 에서 플러그인 업데이트를 테스트하는 것이 좋습니다 .
2. WordPress(WordPress) 대시보드에 로그인 하면 이전 버전을 실행 중인 경우 WordPress 가 최신 버전이 아니라는 알림이 표시됩니다.(WordPress)
다시 한 번, 사이트를 백업하고 자신의 PC의 로컬 테스트 사이트에 로드 하여 라이브 웹사이트에서 업데이트하기 전에 WordPress 업데이트가 사이트를 손상시키지 않는지 테스트합니다.
3. 웹 호스트의 무료 보안 기능을 활용하십시오. 대부분의 웹 호스트는 귀하가 호스트하는 사이트에 대해 다양한 무료 보안 서비스를 제공합니다. 사이트를 보호할 뿐만 아니라 전체 서버를 안전하게 유지하기 때문에 이러한 작업을 수행합니다. 이것은 다른 클라이언트가 동일한 서버에 웹사이트를 가지고 있는 공유 호스팅 계정에 있을 때 특히 중요합니다.
여기에는 사이트에 대한 무료 SSL 보안(free SSL security) 설치, 무료 백업(free backups) , 악성 IP 주소 차단 기능, 사이트에서 정기적으로 악성 코드나 취약점을 검사하는 무료 사이트 스캐너 등이 포함됩니다.
웹사이트를 운영하는 것은 WordPress(WordPress) 를 설치 하고 콘텐츠를 게시 하는 것만큼 간단하지 않습니다 . WordPress 웹사이트를 최대한 안전하게 만드는 것이 중요 합니다. 위의 모든 팁은 너무 많은 노력을 들이지 않고도 그렇게 하는 데 도움이 될 수 있습니다.
How to Make a WordPress Site Secure
Launching your own WordPress site these days is pretty eaѕy. Unfortunately, it won’t take long for haсkers to start targeting your ѕite.
The best way to make a WordPress site secure is to understand every point of vulnerability that comes from running a WordPress site. Then install the appropriate security to block hackers at each of those points.
In this article you’ll learn how to better secure your domain, your WordPress login, and the tools and plugins available to secure your WordPress site.
Create a Private Domain
It’s all too easy these days to find an available domain and purchase it at a very cheap price. Most people never purchase any domain addons for their domain. However, one add-on you should always consider is Privacy Protection.
There are three basic levels of privacy protection with GoDaddy, but these also match offerings of most domain providers.
- Basic: Hide your name and contact info from the WHOIS directory. This is only available if your government allows you to hide domain contact information.
- Full: Replace your own information with an alternative email address and contact info to cloak your actual identity.
- Ultimate: Additional security that blocks malicious domain scanning, and includes website security monitoring for your actual site.
Usually, upgrading your domain to one of these security levels just requires choosing to upgrade from a dropdown on your domain listing page.
Basic domain protection is fairly cheap (usually around $9.99/yr), and higher levels of security aren’t much more expensive.
This is an excellent way to stop spammers from scraping your contact info off of the WHOIS database, or others with malicious intent who want to get access to your contact information.
Hide wp-config.php and .htaccess Files
When you first install WordPress, you’ll need to include the administrative ID and password for your WordPress SQL database in the wp-config.php file.
That data gets encrypted after installation, but you also want to block hackers from being able to edit this file and break your website. To do this, find and edit the .htaccess file on the root folder of your site and add the following code at the bottom of the file.
# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>
To prevent changes to .htaccess itself, add the following to the bottom of the file as well.
# Protect .htaccess file
<Files .htaccess>
order allow,deny
deny from all
</Files>
Save the file and exit the file editor.
You might also consider right-clicking each file and changing the permissions to remove Write access entirely for everyone.
While doing this on the wp-config.php file shouldn’t cause any issues, doing it on .htaccess could cause issues. Especially if you’re running any security WordPress plugins that may need to edit the .htaccess file for you.
If you do receive any errors from WordPress, you can always update permissions to allow Write access on the .htaccess file again.
Change Your WordPress Login URL
Since the default login page for every WordPress site is yourdomain/wp-admin.php, hackers will use this URL to try and hack into your site.
They will do this through what’s known as “brute force” attacks where they’ll send variations of typical usernames and passwords many people commonly use. Hackers hope that they’ll get lucky and land the right combination.
You can stop these attacks entirely by changing your WordPress login URL to something non-standard.
There are lots of WordPress plugins to help you do this. One of the most common is WPS Hide Login.
This plugin adds a section to the General tab under Settings in WordPress.
There, you can type in any login URL you want and select Save Changes to activate it. Next time you want to log into your WordPress site, use this new URL.
If anyone tries to access your old wp-admin URL, they’ll get redirected to your site’s 404 page.
Note: If you use a cache plugin, make sure to add your new login URL to the list of sites not to cache. Then make sure to purge the cache before you log back into your WordPress site again.
Install a WordPress Security Plugin
There are a lot of WordPress security plugins to choose from. Of all of them, Wordfence is the most commonly downloaded one, for good reason.
The free version of Wordfence includes a powerful scan engine that looks for backdoor threats, malicious code in your plugins or on your site, MySQL injection threats, and more. It also includes a firewall to block active threats like DDOS attacks.
It will also let you stop brute force attacks by limiting login attempts and locking out users who make too many incorrect login attempts.
There are quite a few settings available in the free version. More than enough to protect small to medium websites from most attacks.
There is also a useful dashboard page you can review to monitor recent threats and attacks that have been blocked.
Use the WordPress Password Generator and 2FA
The last thing you want is for hackers to easily guess your password. Unfortunately, too many people use very simple passwords that are easy to guess. Some examples include using the website name or the user’s own name as part of the password, or not using any special characters.
If you’ve upgraded to the latest version of WordPress, you have access to powerful password security tools to secure your WordPress site.
The first step to improve your password security is to go to each user for your site, scroll down to the Account Management section, and select the Generate Password button.
This will generate a long, very secure password that includes letters, numbers, and special characters. Save this password somewhere safe, preferably in a document on an external drive that you can disconnect from your computer while you’re online.
Select Log Out Everywhere Else to make sure all active sessions are closed.
Finally, if you’ve installed the Wordfence security plugin, you’ll see an Activate 2FA button. Select this to enable two-factor authentication for your user logins.
If you aren’t using Wordfence, you’ll need to install any of these popular 2FA plugins.
Other Important Security Considerations
There are a few more things you can do to fully secure your WordPress site.
Both the WordPress plugins and the version of WordPress itself should be updated at all times. Hackers often try to exploit vulnerabilities in older versions of code on your site. If you don’t update both of these, you’re leaving your site at risk.
1. Regularly select Plugins and Installed Plugins in your WordPress admin panel. Review all plugins for a status that says a new version is available.
When you do see one that’s out of date, select update now. You may also consider selecting Enable auto-updates for your plugins.
However, some people are wary of doing this since plugin updates can sometimes break your site or theme. So it’s always a good idea to test plugin updates on a local WordPress test site before enabling them on your live site.
2. When you log into your WordPress dashboard, you’ll see a notification that WordPress is out of date if you’re running an older version.
Again, backup the site and load it to a local test site on your own PC to test that the WordPress update doesn’t break your site before you update it on your live website.
3. Take advantage of your web host’s free security features. Most web hosts offer a variety of free security services for the sites you host there. They do this because it not only protects your site, but it keeps the entire server safe. This is especially important when you’re on a shared hosting account where other clients have websites on the same server.
These often include free SSL security installs for your site, free backups, the ability to block malicious IP addresses, and even a free site scanner that’ll regularly scan your site for any malicious code or vulnerabilities.
Running a website is never just as simple as installing WordPress and just posting content. It’s important to make your WordPress website as secure as possible. All of the above tips can help you do so without too much effort.