ithemes Security Pro로 WordPress 사이트를 보호하는 방법

워드프레스(WordPress)는 많은 사랑을 받는 동시에 취약점이 노출되기 쉬운 CMS입니다. 이 글에서는 워드프레스 보안을 강화하는 데 도움이 되는 iThemes Security Pro에 대해 자세히 살펴보겠습니다.

워드프레스는 웹사이트 제작 경험이 없는 사용자도 쉽게 웹사이트를 만들고 운영할 수 있도록 지원합니다. 하지만 이러한 간편함은 사이버 범죄자들에게 악용될 여지를 제공할 수 있다는 점을 간과해서는 안 됩니다.

워드프레스 코어 자체는 비교적 안전한 편이지만, 취약점의 약 0.5% 정도에 불과합니다. 웹사이트 보안을 위협하는 주요 원인은 테마와 플러그인입니다.

워드프레스의 확장성을 가능하게 하는 것도 바로 이러한 애드온(플러그인)입니다. 예를 들어, 이메일 수집 양식을 추가하려면 플러그인을 설치해야 합니다.

소셜 미디어 공유 버튼을 추가하고 싶으신가요? 플러그인을 사용하면 됩니다. 다크 모드를 적용하고 싶으신가요? 플러그인을 설치하면 됩니다. 이처럼 플러그인은 워드프레스 사용을 매우 편리하게 만들어 줍니다.

하지만 플러그인은 워드프레스 보안 문제의 주요 원인이기도 합니다. 실제로 워드프레스 취약점의 약 97.1%가 플러그인에서 비롯되며, 나머지 2.4%는 테마에서 발생합니다. 매일 3만 개에 달하는 웹사이트가 해킹당하고 있다는 사실을 고려할 때, 적절한 보안 조치를 취하는 것은 매우 중요합니다.

소규모 사업체라고 해서 해킹으로부터 안전한 것은 아닙니다. 오히려 대기업보다 중소기업이 더 자주 공격을 받습니다. 그 이유는 효율적인 보안 시스템이 부족하기 때문입니다. 이제 iThemes Security Pro가 어떻게 우리를 보호하는지 자세히 알아보겠습니다.

시작하기

iThemes Security Pro의 입문 플랜은 연간 $80이며, 모든 플랜은 30일 환불 보장을 제공합니다. 먼저 iThemes 계정을 만들고 구독료를 지불한 후 플러그인을 다운로드합니다.

다음으로 워드프레스 관리자 페이지로 이동하여 플러그인 섹션에서 iThemes Security Pro를 업로드하고 활성화합니다.

설정을 클릭하여 온보딩 프로세스를 시작합니다.

설정은 매우 상세하게 구성되어 있으며, 모든 것을 사용자 정의할 수 있는 옵션이 제공됩니다. 또는 설정을 건너뛰고 기본 보호 기능을 적용할 수도 있습니다.

iThemes Security Pro 주요 기능

다음은 워드프레스 웹사이트를 보호하는 데 유용한 iThemes Security Pro의 몇 가지 주목할 만한 기능입니다.

로그인 보안

로그인 보안은 자주 악용되는 취약점 중 하나입니다. iThemes Security Pro를 사용하면 이중 인증, 강력한 암호, 비밀번호 없는 로그인과 같은 엄격한 로그인 정책을 적용할 수 있습니다.

물론 워드프레스에서 발생하는 모든 작업에 대한 개별 플러그인을 찾을 수 있지만, 보안을 강화하기 위해서는 단일 플러그인을 사용하는 것이 좋습니다.

iThemes Security Pro는 무차별 대입 로그인 시도로부터 사용자를 보호합니다. 공격자들은 사용자들이 쉽게 추측할 수 있는 사용자 이름과 비밀번호를 사용하는 경향을 악용합니다.

하지만 강력한 암호를 사용하는 것만으로는 충분하지 않을 수 있습니다. 무차별 대입 공격은 많은 시스템 리소스를 소모시키며, 사용자들은 웹사이트를 사용할 수 없게 될 수 있습니다. 특히 wp-admin 페이지가 공격 봇에 의해 계속 로드되면 서버 리소스에 큰 부담을 줍니다.

따라서 로그인 시도 횟수를 제한하는 것이 가장 좋은 방법입니다.

iThemes Security Pro는 한발 더 나아가 네트워크 무차별 대입 기능을 통해 이러한 악의적인 행위자를 공유하여 더욱 효과적으로 대응할 수 있습니다. 또한 reCAPTCHA를 활성화하여 스팸으로부터 웹사이트를 보호할 수 있습니다.

마지막으로, 매직 링크(Magic Links) 기능은 공격으로 인해 다른 모든 옵션이 잠겨 있는 경우에도 사용자가 로그인할 수 있도록 도와줍니다.

사용자 그룹 관리

이 기능은 특정 사용자 그룹에 특별한 조건을 적용할 수 있도록 해줍니다. 예를 들어, 편집자 그룹을 만들고 이 그룹에 가입하는 사용자에게 강력한 암호 사용을 요구할 수 있습니다.

또한 특정 사용자 그룹을 추적하고 모니터링하는 다양한 방법을 제공합니다.

마찬가지로 권한이 있는 직원에게는 이중 인증과 같은 제한을 해제할 수 있습니다.

기본 워드프레스 그룹(편집자, 작성자, 구독자 등)을 쉽게 추가할 수 있을 뿐만 아니라 사용자 지정 범주를 만들어 특정 사용자에게만 특별한 권한을 부여할 수도 있습니다.

또한, 본인이 사이트에서 차단되는 것을 방지하기 위해 승인된 호스트를 추가하는 기능도 제공합니다. 이 옵션은 전용 IP 주소를 사용하는 경우에만 사용해야 합니다.

강제 로그아웃 및 비밀번호 변경

iThemes Security Pro 대시보드는 공격이 발생했을 때 웹사이트를 보호하는 데 매우 유용합니다.

활성 사용자를 확인하고 즉시 비밀번호를 재설정하거나 전체 또는 특정 사용자를 강제로 로그아웃시킬 수 있습니다.

이 기능을 통해 웹사이트 보안을 강화하고 사용자 정의 암호 사용 기간을 설정할 수도 있습니다. 사용자는 설정된 기간이 지나면 암호를 변경해야 합니다.

같은 대시보드에서 모바일 앱, 이메일 또는 인증 코드를 통해 이중 인증을 설정하는 옵션을 찾을 수 있습니다.

이 기능은 Google Authenticator, Authy 등 TOTP(시간 기반 일회용 비밀번호) 기능을 지원하는 모든 인증 앱과 호환됩니다.

무차별 대입 공격 방어

iThemes Security Pro의 가장 강력한 기능 중 하나는 무차별 대입 공격 방어입니다. 이 플러그인은 반복적인 로그인 시도에 대응하기 위한 다양한 기능을 제공합니다.

먼저, 로그인 실패 횟수를 사용자 지정한 후 악의적인 행위자를 차단할 수 있습니다. 또한, 해커가 재시도하는 것을 방지하기 위해 차단 기간을 설정할 수 있습니다.

하지만 단순히 일정 시간 동안 악의적인 행위자를 차단하는 것만으로는 부족할 수 있습니다. 따라서 정의된 차단 횟수 이후에는 반복 위반자를 영구적으로 차단할 수 있습니다.

또한, iThemes Security Pro는 실패한 시도 후에 IP 또는 호스트를 차단하는 기능을 제공하며, 매우 낮은 임계값을 설정하여 보안을 극대화할 수 있습니다.

마찬가지로 reCAPTCHA에 대한 잘못된 입력 횟수와 차단 간격을 설정하는 옵션도 제공됩니다.

업데이트 및 사이트 점검

워드프레스 웹사이트의 또 다른 중요한 부분은 오래된 플러그인과 테마를 관리하는 것입니다.

워드프레스 관리 영역에서 자동 업데이트를 활성화할 수 있지만, iThemes Security Pro는 이러한 모든 기능을 한 곳에서 제공합니다.

버전 관리 섹션에서 테마, 워드프레스 코어 및 플러그인 업데이트를 관리할 수 있습니다.

플러그인 업데이트 지연 설정도 지원하며, 테마에도 동일하게 적용할 수 있습니다. 하지만 일반적으로 업데이트가 발표되면 즉시 설치하는 것이 좋습니다.

또한, 워드프레스 데이터베이스에서 중요한 변경 사항이 감지되면 경고하는 사이트 점검 기능을 활성화할 수 있습니다.

파일 변경 스캔 기능에서 특정 파일 경로를 포함하거나 제외할 수 있으며, 하루에 두 번 자동 스캔을 수행할 수 있는 옵션도 있습니다.

결론

지금까지 iThemes Security Pro의 주요 기능에 대해 간략하게 살펴보았습니다. 이 플러그인은 개인 사용자와 전문가 모두에게 강력한 보안 솔루션을 제공하며, 자신 있게 추천할 수 있습니다.

다른 대안을 찾고 있다면 SUCURI 또는 MalCare를 고려해볼 수 있습니다.

하지만 웹사이트 보안은 사용자 혼자서 관리할 수 있는 문제가 아닙니다. 몇 가지 중요한 사항은 웹 호스팅 업체의 도움을 필요로 합니다. 호스팅 업체의 보안 조치를 확인하여 최악의 상황에 대비해야 합니다.