WordPress 로그인을 보호하는 4가지 방법

해커는 원하는 것을 얻기 위해 교활하거나 정교할 필요가 없습니다. 종종 그들은 현관문을 통해 침입합니다. 올바른 도구를 사용하면 도움이 될 수 있지만 웹사이트 를 보호하고 WordPress 로그인 을 보호하기 위해 할 수 있는 일이 더 있습니다.

Aussie Hosting의 Nathan Finch가 작성한 이 보고서에서 그들은 성능을 기반으로 여러 호스팅 회사를 검토하고 비교했습니다. 그들은 가동 중지 시간이 더 많은 회사가 보안 문제의 위험을 증가시키는 서버를 제대로 유지 관리하지 못하고 있다는 사실을 발견했습니다.

Google은 멀웨어 및 피싱과 같은 WordPress 로그인 보안 문제에 대해 매주 약 70,000개의 웹사이트를 블랙리스트에 올리는 것으로 보고되었습니다. 침입에 대한 첫 번째 방어선은 WordPress 로그인을 보호하는 것입니다. 이러한 형태의 액세스 제어는 당연한 것처럼 보이지만 가장 단순한 보안 조치가 간과되거나 뒷전으로 치닫는 경우가 얼마나 많은지 알면 놀랄 것입니다.

백엔드에서 호스팅 서비스가 제공하는 보안 기능에 관계없이 웹 사이트 소유자로서 부담은 멈춥니다.

– 출처: 워드펜스

WordPress 로그인을 취약하게 만드는 요인은 무엇입니까?

WordPress의 인기는 WordPress를 쉽고 매력적인 대상으로 만듭니다. 하지만 플랫폼이 공격과 익스플로잇에 취약한 이유는 무엇입니까?

우선 해커는 시스템을 크래킹하기 전에 많은 정찰을 합니다. 그들은 특정 WP 버전이 다른 버전보다 더 많은 취약점을 가지고 있다는 것을 알고 있으며, 플랫폼은 전문가가 자신이 무엇인지 알 수 있을 만큼 충분히 오래되었습니다. 버전 번호는 제거하지 않는 한 웹페이지와 URL에 있습니다.

디렉토리를 보면 설치된 플러그인 및 테마 유형과 같은 유용한 정보도 많이 제공됩니다. 오픈 소스 코딩에서 작동하기 때문에 디렉토리에 사용되지 않거나 지원되지 않는 플러그인을 남겨두는 것은 비활성화된 경우에도 해커가 코드에 액세스할 수 있는 간단한 방법입니다. 일단 안으로 들어가면, 그들은 익스플로잇을 시작하고, 코딩을 변경하고, 세션을 가로채거나, 자신의 웹사이트에서 당신을 잠글 수 있습니다.

해커는 폴더 위치를 탐색하고 다음과 같이 "Index Of" 응답을 확인하여 디렉터리 인덱싱을 확인할 수 있습니다.

/wp-내용/

/wp-content/플러그인/

/wp-내용/테마/

/업로드/

/이미지/

그들은 스크립팅 도구를 사용한 능동 검색 또는 일반 HTML 요청을 통한 수동 검색 을 통해 디렉토리에서 취약한 플러그인을 찾을 수 있습니다. 이것은 HTML 소스 코드를 검토하고 CSS 스타일 시트, 주석 및 JS 링크를 통해 설치된 플러그인을 검색하여 달성됩니다.

해커가 WordPress 웹 사이트에 액세스하는 또 다른 방법은 사용자 열거를 사용하는 것 입니다. 이것은 사전 공격을 통해 사용자 이름을 밝히고 암호를 추측하거나 기본 메커니즘을 통해 입력을 시도하는 무차별 대입 공격에 대한 간단한 서곡입니다. 예를 들어 사용자는 ID를 반복하고 다음과 같이 URL에 추가하여 검색할 수 있습니다.

wordpressexample.com/?author=1

wordpressexample.com/?author=2

wordpressexample.com/?author=3

작동하면 로그인 ID가 303 리디렉션을 통해 표시됩니다.

취약성 테스트에 사용되는 WPScan 이라는 도구는 1분 이내에 수백 개의 가능한 암호를 걸러낼 수 있습니다. 몇 초 안에 저렴한 테마에서 다음 출력을 반환할 수 있었습니다.

 ruby wpscan.rb -u 192.241.xx.x68 --threads 20 --wordlist 500worst.txt --사용자 이름 testadmin

********* SNIP ******************

[+] 암호 무차별 공격 시작

500개의 비밀번호로 사용자 'testadmin'을 무차별적으로 강제 실행했습니다... 100% 완료되었습니다.
[+] 2013년 7월 18일 목요일 03:39:02에 종료
[+] 경과 시간: 00:01:16

WordPress 로그인을 보호하는 4가지 방법

다행스럽게도 WP 개발자와 사용자 커뮤니티는 지원을 제공할 때 부지런합니다. 이 때문에 무료로 사용할 수 있는 도구와 웹사이트를 안전하게 유지하기 위해 배우고 배포할 수 있는 모범 사례가 있습니다.

다음은 WordPress 로그인 보안을 개선하기 위해 구현할 수 있는 네 가지 기술입니다.

1. WP 버전 번호 제거

해커는 일반적으로 취약점을 확인할 때 버전 번호를 먼저 찾기 때문에 웹 사이트를 설정할 때 가장 먼저 변경해야 할 사항입니다. 이것은 헤더 훅이나 인터넷에서 선전되고 있는 다른 나쁜 방법을 제거하지 않고 페이지, URL 및 메타 태그에서 제거되는 방식으로 수행되어야 합니다.

WP 버전 번호를 제거하는 가장 좋은 방법은 다음 코드를 functions.php 파일에 추가하는 것입니다 .

헤더에서 제거하려면:

 remove_action('wp_head', 'wp_generator');

RSS 피드에서 제거하려면:

 함수 제거 버전 정보() {
반품 '';
}
add_filter('the_generator', 'remove_version_info');

스크립트 및 스타일에서 버전 번호를 제거하려면:

 기능 제거 버전_from_style_js( $src ) {
if ( strpos( $src, 'ver=' . get_bloginfo( 'version' ) ) )
$src = remove_query_arg( 'ver', $src );
반환 $src;
}
add_filter( 'style_loader_src', 'remove_version_from_style_js',9999);
add_filter( 'script_loader_src', 'remove_version_from_style_js',9999);

WP를 언제 설치하든 상관없이 WordPress가 출시되자마자 항상 최신 버전으로 업데이트해야 합니다. 플러그인과 테마도 마찬가지입니다.

더 읽어보기: 업데이트는 WordPress 보안에 매우 중요합니다 !

2. 로그인 URL 변경

WP 관리자의 기본 로그인 주소는 yourwebsite.com/wp-admin이며 이는 플랫폼에 익숙한 거의 모든 사람이 알고 있는 것입니다. 도메인 이름 뒤에 /wp-login.php를 추가하면 됩니다. URL만 간단히 변경하면 해커가 로그인 페이지를 추측하지 못하도록 막을 수 있습니다.

iThemes Security 와 같은 플러그인을 사용하여 이를 효과적으로 수행할 수 있습니다.

3. 로그인 시도 횟수 줄이기

또 다른 결함이 있는 WP 기본 기능은 무제한 로그인 시도를 허용한다는 것입니다. 이를 통해 사전 공격 및 기타 암호 추측 기술을 사용할 수 있습니다. iThemes 보안 플러그인에는 설정된 횟수의 로그인 시도 실패 후 웹사이트를 잠그고 경고를 보내는 기능이 있습니다.

로그인 로그아웃 기능만 원하는 경우 Limit Login Attempts Reloaded 라는 플러그인을 설치하고 해당 설정으로 이동하여 허용된 로그인 수를 구성할 수 있습니다.

4. 액세스 제한 및 이중 인증 사용

지금쯤이면 이중 인증 플러그인을 사용하여 보안 암호를 선택하는 방법을 알아야 합니다. 액세스를 제한하는 다음 단계는 웹사이트의 내부 작업에 액세스할 수 있는 사람의 수를 제한하는 것입니다. 셋째, 비밀번호와 암호화된 키를 조합하여 로그인하는 2단계 인증을 사용합니다.

마지막 생각들!

이 게시물에서 설명하는 이러한 보안 예방 조치와 예방 조치가 사이트를 100% 보호하지는 않지만 엄청난 보안 조치를 제공할 것입니다.

해커와 악의적인 제3자가 웹사이트에 대한 가장 쉬운 백도어를 찾고 있음을 기억하는 것이 중요합니다. 대부분의 경우 자동화된 솔루션을 사용하여 이러한 백도어를 찾습니다.

WP 로그인을 보호하면 해당 문이 닫힌 상태로 유지되고 귀하의 사이트에 액세스할 수 있는 유일한 사람이 본인임을 확인합니다.

면책 조항: 이것은 AussieHosting의 Nathan Goldfinch 가 기고한 게스트 게시물입니다.