WordPress 웹사이트 보안을 위한 13가지 최고의 보안 사례

잘 만들어진 웹사이트는 그 자체로 훌륭하지만, 강력한 보안을 갖춘 웹사이트는 더욱 뛰어납니다.

워드프레스(WordPress) 웹사이트 보안을 강화하는 몇 가지 최상의 방법들을 소개합니다. 초보자도 쉽게 따라 할 수 있을 뿐만 아니라, 대부분 비용이 거의 들지 않거나 완전히 무료입니다.

이 글을 끝까지 읽으시면 다양한 사이버 위협으로부터 여러분의 웹사이트를 안전하게 지키기 위한 실행 계획을 세우실 수 있을 것입니다. 준비되셨다면, 지금 바로 시작해 봅시다!

워드프레스 웹사이트, 정말 안전한가?

워드프레스는 현재 가장 널리 사용되는 콘텐츠 관리 시스템(CMS)이지만, 그 인기에 따른 결과도 있습니다. 인터넷 상의 전체 웹사이트 중 35% 이상이 워드프레스를 사용하고 있다는 사실은 워드프레스가 악성 공격의 주요 대상이 된다는 것을 의미합니다. 보안 회사인 수쿠리(Sucuri)의 2018년 보고에 따르면, 약 23,000개의 워드프레스 웹사이트가 보안 침해를 경험했다고 합니다.

이것이 워드프레스 보안 시스템이 취약하다는 의미일까요?

전혀 그렇지 않습니다! 오히려 웹사이트 보안 침해의 주요 원인은 사용자의 보안 인식 부족입니다.

워드프레스는 평판이 좋은 CMS로서 보안 패치와 소프트웨어 업데이트를 정기적으로 제공합니다. 하지만, 이러한 업데이트를 제대로 적용하지 못하면 아무런 소용이 없을 것입니다.

결론적으로, 웹사이트 보안에 있어 가장 중요한 역할을 하는 사람은 바로 여러분 자신입니다.

이제 웹마스터로서의 책임과 역할을 이해하셨으니, 웹사이트 보안을 강화하기 위해 무엇을 할 수 있는지 알아볼 차례입니다. 아래에 제시된 보안 모범 사례들을 살펴보고, 여러분의 웹사이트에 적용해 보십시오.

강력한 사용자 이름 및 비밀번호 설정

강력한 로그인 자격 증명을 만드는 것은 가장 쉬운 보안 방법 중 하나이지만, 많은 사용자들이 여전히 이를 간과합니다. 믿기 어려울 수도 있지만, 여전히 2,320만 개의 계정에서 '123456'을 비밀번호로 사용하고 있습니다. 'admin'이나 'administrator'와 같은 표준 사용자 이름을 사용하는 경우에도 비슷한 문제가 발생합니다.

강력한 비밀번호를 만드는 데 도움이 필요하시다면, 온라인에서 무료로 제공되는 비밀번호 생성기를 활용해 보세요. 사용자 이름의 경우, 숫자나 특수문자를 섞어 더욱 고유하게 만들 수 있습니다.

취약한 로그인 자격 증명은 웹사이트를 무차별 대입 공격에 노출시킵니다. 이러한 공격은 시행착오 방식을 통해 로그인 자격 증명을 추측하는 방식입니다. 따라서 로그인 정보에 흔히 사용되는 단어들을 피하는 것이 좋습니다.

비밀번호를 자주 잊어버리신다면, 라스트패스(LastPass)와 같은 비밀번호 관리 프로그램을 사용해 보세요. 한 번의 클릭으로 기억하고 사용할 수 있습니다. 사용자 이름의 경우에도 숫자와 특수 문자를 결합하여 더욱 강력하게 만들 수 있습니다.

워드프레스 로그인 페이지 숨기기

이 간단한 트릭은 무차별 대입 공격을 시도하는 공격자로부터 워드프레스 웹사이트를 보호할 수 있습니다. WPS Hide Login과 같은 무료 플러그인을 사용하여 로그인 URL을 고유한 것으로 변경하세요.

이중 인증 활성화

관리자 로그인 자격 증명을 안전하게 보호한 후에는, 이중 인증을 활성화하여 로그인 절차를 더욱 강화할 수 있습니다. 이 보안 과정은 사용자가 인증 앱에서 제공하는 고유한 코드를 입력하도록 요구하여 추가적인 보호 장치를 마련합니다. 웹사이트에 이 기능을 적용하면, 올바른 로그인 자격 증명과 코드를 가진 사용자만 계정에 접속할 수 있습니다.

워드프레스에서는 다양한 이중 인증 플러그인을 선택할 수 있습니다. Google Authenticator, Two-Factor Authentication, Two Factor 등이 훌륭한 선택입니다.

워드프레스 데이터베이스 접두사 변경

웹사이트 데이터베이스는 SQL 인젝션 공격의 주요 대상입니다. 이러한 공격은 데이터베이스가 악성 코드를 실행하게 만들어, 해커가 데이터베이스 내의 데이터를 수정하거나 삭제할 수 있도록 합니다. SQL 인젝션 공격은 해킹 시도의 약 80%를 차지할 정도로 흔합니다. 따라서 이러한 위협을 가볍게 여겨서는 안 됩니다.

데이터베이스를 SQL 인젝션 공격에 취약하게 만드는 요인 중 하나는 기본 데이터베이스 접두사인 'wp_'를 사용하는 것입니다. 예측 가능한 접두사를 사용하면 해커가 테이블 이름을 쉽게 추측하여 데이터베이스를 공격할 수 있습니다. 따라서 데이터베이스 접두사를 가능한 한 빨리 변경하는 것이 좋습니다.

워드프레스 데이터베이스 접두사를 변경하는 방법에 대한 자세한 내용은 관련 가이드를 참조하시거나, Table Prefix Change와 같은 플러그인을 사용해 보세요.

PHP 오류 보고 비활성화

PHP 오류 보고 기능을 활성화하면 PHP 파일 내의 오류를 더 빠르게 찾을 수 있습니다. 하지만 다른 사람들이 사이트의 취약점을 확인할 수도 있습니다. 따라서 이 기능을 완전히 비활성화하는 것이 좋습니다.

워드프레스는 기본적으로 오류 보고 기능을 비활성화하고 있습니다. 만약 어떤 이유로 활성화되어 있다면, wp-config.php 파일을 수정하여 수동으로 비활성화해야 합니다. 웹 호스팅 서비스에 따라 제어판에서 설정을 관리할 수도 있습니다.

워드프레스 최신 상태 유지

계속해서 진화하는 사이버 공격에 대응하기 위해 워드프레스는 정기적으로 최신 보안 패치와 함께 업데이트를 출시합니다. 이러한 개선 사항은 워드프레스 코어뿐만 아니라 플러그인 및 테마에도 적용됩니다. 오래된 소프트웨어를 사용하는 것은 매우 위험합니다.

워드프레스는 자동으로 사소한 소프트웨어 업데이트를 적용하지만, 주요 업데이트는 수동으로 수행해야 합니다. 워드프레스 관리자 패널의 업데이트 섹션에서 새로운 업데이트를 정기적으로 확인하여 웹사이트에 보안 취약점이 발생하지 않도록 하십시오.

또한, Easy Updates Manager와 같은 무료 플러그인을 사용하여 워드프레스 코어, 테마, 플러그인 업데이트를 관리할 수도 있습니다.

디렉토리 브라우징 비활성화

디렉토리 검색은 사이트의 구조와 개별 디렉토리에 빠르게 접근할 수 있게 해줍니다. 하지만 이것이 다른 사람들에게도 허용된다면, 위험을 초래할 수 있습니다. 해커들은 취약한 파일, 플러그인, 테마를 찾아내어 웹사이트에 접근하려 할 것입니다.

프리미엄 플랫폼에서 워드프레스 사이트를 호스팅하는 경우, 대부분 이러한 최적화가 자동으로 처리됩니다. 하지만 자체 호스팅을 사용하거나 수동으로 비활성화해야 한다면 관련 가이드를 참조하여 디렉토리 탐색을 비활성화하십시오.

워드프레스 버전 번호 제거

워드프레스는 이전 버전의 보안 취약점을 수정하기 위해 지속적으로 업데이트를 출시합니다. 이전 버전은 일반적으로 더 많은 취약점을 가지고 있습니다. 따라서 워드프레스 버전을 공개하는 것은 웹 보안 시스템에 좋지 않은 생각입니다.

기본적으로 워드프레스 버전은 관리자 패널 및 페이지 소스의 하단에 표시됩니다. 또한 사이트의 RSS, CSS, 스크립트 등 잘 보이지 않는 부분에도 나타납니다. 관련 가이드를 참조하여 워드프레스 버전을 제거하는 방법을 알아보세요.

파일 편집 비활성화

워드프레스의 내장 파일 편집기를 사용하면 플러그인과 테마 스크립트를 쉽게 수정할 수 있습니다. 하지만 이 기능은 잘못 사용될 경우 웹사이트를 위험에 빠뜨릴 수 있습니다. 따라서 파일 편집 기능을 비활성화하는 것이 좋습니다. wp-config.php 파일에 다음 코드를 추가하면 됩니다.

define('DISALLOW_FILE_EDIT', true);

정기 백업 수행

백업 생성은 웹사이트 보안만큼이나 중요합니다. 최악의 경우, 백업을 통해 처음부터 사이트를 다시 구축할 필요가 없어집니다.

백업 과정이 번거롭게 느껴질 수 있지만, VaultPress나 BlogVault와 같은 백업 플러그인을 사용하여 간편하게 처리할 수 있습니다. 시간을 절약하고 오래된 백업으로 인해 시스템이 막히지 않도록 자동 백업 기능이 있는 플러그인을 사용하세요.

너무 많은 플러그인을 사용하는 것이 싫다면, iThemes Security Pro와 같이 여러 기능을 한 번에 처리할 수 있는 플러그인을 사용하는 것도 고려해 볼 수 있습니다.

스팸 및 부정적인 SEO 방지

스팸은 어디에나 있고, 누구도 좋아하지 않습니다.

인기 있는 웹사이트를 운영하면서 적절한 스팸 방지 시스템이 없다면, 매일 수많은 스팸 발송자들이 접근할 것입니다. 과도한 스팸은 SEO와 사용자 경험에 악영향을 미칩니다. 블로그 게시물에 수백 개의 관련 없는 댓글이 달린다고 상상해 보세요.

CleanTalk Anti-Spam과 같은 스팸 방지 솔루션을 사용하여 스팸을 차단하세요.

웹 응용 프로그램 방화벽(WAF) 사용

웹사이트 보안을 위해 할 수 있는 가장 효과적인 투자 중 하나는 WAF(웹 응용 프로그램 방화벽)를 사용하는 것입니다. WAF는 OWASP 상위 10가지 취약점, 알려지거나 알려지지 않은 보안 결함, 악성 코드, DDoS 공격 등으로부터 웹사이트를 보호하는 데 도움이 됩니다.

SUCURI, MalCare, Cloudflare 등 다양한 WAF 옵션을 고려해 볼 수 있습니다.

테마 및 플러그인 관리

워드프레스 사용의 가장 큰 장점 중 하나는 다양한 플러그인 및 테마를 이용할 수 있다는 것입니다. 하지만 아이러니하게도 워드프레스 플러그인과 테마는 웹사이트의 가장 큰 취약점 원인이 될 수도 있습니다. 따라서 플러그인과 테마를 신중하게 선택하고 설치한 후에도 주의 깊게 관리해야 합니다.

해커들이 취약한 소프트웨어를 통해 웹사이트에 접근하는 것을 막는 가장 쉬운 방법은 좋은 평가를 받은 플러그인과 테마를 사용하는 것입니다. 이들은 잘 관리되고 제대로 작동하는지를 알려주는 훌륭한 지표입니다. 또한 정기적으로 업데이트를 확인하여 성능을 향상시키세요.

마무리

전 세계적으로 사이버 위협은 계속 증가하고 있으며, 워드프레스 웹사이트를 이러한 잠재적인 위험으로부터 보호하는 것이 중요합니다. 다행히도 웹사이트 보안을 강화하기 위해 쉽게 적용할 수 있는 효과적인 방법들이 많이 있습니다.

이 글을 통해, 최고의 보안 모범 사례를 따르기 위해 많은 예산이나 고급 기술 지식이 필요하지 않다는 것을 알게 되셨을 것입니다. 이제 문제는 여러분이 이 도전에 임할 준비가 되었는지 여부입니다.
웹사이트에서 결제를 받고 싶으신가요? 워드프레스 사이트에서 결제를 수락하는 데 가장 적합한 플러그인을 알아보세요.