WordPress 보안의 기본: 여러 번 실패한 로그인 시도를 처리하는 방법
게시 됨: 2022-04-28웹사이트를 운영 중이거나 웹사이트를 만드는 중이라면 WordPress가 전 세계적으로 많은 사람들이 사용하는 최고의 CMS 시스템 중 하나라는 것을 알게 될 것이며, 이것이 많은 해커가 이를 노리는 이유이기도 합니다.
큰 웹사이트만 해킹당한다고 생각하지 마십시오. 작은 것들은 개인 고객의 데이터도 저장하기 때문에 해커에게 매력적입니다. WordPress 사이트를 공격하는 가장 일반적인 방법 중 하나는 여러 번 로그인을 시도하는 것입니다. 그렇기 때문에 로그인 시도 실패를 여러 번 인지하고 관찰하는 것이 중요한 이유와 이를 방지하는 방법을 설명합니다.
먼저 호스팅에 대해 자세히 알아보겠습니다. 그러나 본질적으로 훌륭한 호스팅은 항상 첫 번째 방어선입니다. WPMU DEV 호스팅은 모든 확인란을 선택합니다. 가격이 저렴하고 빠르고 안전하며 완전히 전용이며 TrustPilot에서 1위를 차지한 WordPress 호스트입니다. 여기에서 모든 계획을 20% 할인 받으세요.
로그인 시도 실패
WordPress 사이트를 사용하려면 사용자 이름과 암호가 있어야 합니다. 즉, 로그인해야 합니다. 암호를 잊어버리는 것과 사이트에 침입하려는 봇 사이에는 미세한 차이가 있습니다. 따라서 이것은 실패한 로그인 시도에 대한 모니터링이 보안 조치로 들어오는 곳입니다.
사이트에 "로그인 시도 실패 횟수가 너무 많습니다"라는 오류 메시지가 표시되면 무슨 일이 일어나고 있는지 확인하십시오. 그냥 "알았어. 누군가가 비밀번호를 잊어버렸습니다.” 표적 무차별 대입 공격이 DDoS로 이어질 수 있고 사이트가 충돌할 수 있기 때문입니다.
이 공격의 첫 번째 장애물은 특정 사용자가 잘못된 자격 증명으로 로그인을 시도한 후 동일한 사용자가 올바른 자격 증명 집합으로 다시 로그인을 시도하더라도 WordPress가 만료되어야 하는 대기 시간을 설정한다는 것입니다.
OWASP.org 보안 기능이 도움이 될 수 있는 곳입니다. 이것은 무차별 대입 공격을 차단하는 데 도움이되는 오픈 소스 소프트웨어입니다.
여러 번 실패한 로그인 시도를 처리하는 방법
항상 WordPress 사이트를 최신 상태로 유지
WordPress는 정해진 일정에 따라 소프트웨어 업데이트를 릴리스하므로 이를 피하지 마십시오. 이러한 업데이트는 사이트 성능을 관리하며 여기에는 최신 보안 및 개인 정보 설정이 포함됩니다. 업데이트를 계속하면 WordPress에서 사이트를 보호할 수 있으며 이는 사이트를 보호하기 위한 2단계입니다.
로그인 시도 제한
기본적으로 WordPress는 무제한 로그인 시도를 허용하지만 그렇다고 해서 그런 식으로 실행해야 한다는 의미는 아닙니다. 사이트에서 로그인 시도를 3번으로 제한합니다(일반적으로 허용되는 실패 시도 횟수가 권장됨). 플러그인을 사용하거나 WordPress 호스트를 통해 이를 달성하는 두 가지 방법이 있습니다.
실패한 로그인 시도를 제한할 수 있는 무료 플러그인은 다음과 같습니다.
1. 로그인 시도 제한(가짜 로그인 방지)
로그인 시도 제한(가짜 로그인 중지)
이 플러그인은 설정된 시도 제한을 초과하는 IP 주소를 자동으로 차단합니다. 이 플러그인을 사용하면 차단 목록에 IP 주소를 수동으로 추가하고, 사용자에게 남은 재시도에 대해 알리고, 이메일이나 대시보드를 통해 잠긴 사용자의 잠금을 해제할 수 있는 기능을 제공합니다. IP당 재시도 횟수를 제한하며 Google CAPTCHA와 호환됩니다.
2. 로그인 시도 제한
로그인 시도 제한
이것은 로그인 시도를 제한하고 로그인 보안, 스팸 방지를 강화하고 사이트에 무차별 대입 공격 방지 기능을 제공하고 가짜 사용자의 등록을 차단하는 플러그인이며 웹사이트 활동에 대한 보고서 및 감사를 받을 수 있습니다( 필요한 경우 이러한 보고서를 내보낼 수도 있습니다. 이것은 무료 및 오픈 소스 소프트웨어입니다.
웹 호스트 보안
승인되지 않은 항목으로부터 WordPress 사이트를 보호하는 경우에도 호스팅 제공업체의 보안이 WordPress 사이트의 보안만큼 중요하다는 것을 잊지 마십시오. 따라서 웹 호스트 공급자 기능을 살펴보십시오.
현재 공급자의 더 높은 계획으로 업그레이드해야 할 수도 있지만 서버 소프트웨어 및 하드웨어 보안이 강력하고 자주 업데이트되는 신뢰할 수 있는 새로운 웹 호스팅 공급자로 사이트를 마이그레이션하는 것도 고려하십시오.
사이트의 안전 문제를 해결하고 정보를 보호할 수 있는 연중무휴 기술 지원 팀을 제공하는 팀을 찾으십시오. 전체 웹 사이트의 자동화된 백업을 제공하는 호스트도 훌륭한 선택입니다.
이미 언급했듯이 최고의 선택은 WPMU DEV입니다. 우리가 WPMU DEV Hosting에서 가장 좋아하는 점은 다른 곳에서는 찾을 수 없는 독특하고 강력한 호스팅 기능(예: 7개의 내장 pro-WP 플러그인)으로 가득 차 있다는 것입니다. 여기에서 호스팅 계획을 20% 할인된 가격으로 직접 확인하십시오.
로그인 보안 강화
추가 보안 계층으로 2단계 인증 프로세스를 활성화하는 WordPress 보안 플러그인을 사용하십시오. 이를 수행하는 여러 가지 방법이 있습니다. 코드는 사용자의 전화, 이메일 확인 등으로 전송됩니다. 팀에 가장 적합한 것이 무엇이든 상관없습니다.
1. iThemes 보안
iThemes 보안(이전의 더 나은 WP 보안)
이 플러그인은 다른 기능 중에서 사용자가 보안 코드(비밀번호와 함께), 이메일, 백업 코드 및 Google 인증을 입력해야 하는 이중 인증(2FA) 기능으로 WordPress 로그인을 보호합니다.
2. 사이트그라운드 보안
사이트그라운드 보안
이 플러그인을 사용하려면 모든 관리자가 로그인할 때 Google 인증 앱에서 생성된 토큰을 제공해야 합니다.
3. 올인원 WP 보안
올인원 WP 보안 및 방화벽
이 플러그인에는 "기본", "중급" 및 "고급" 규칙으로 분류된 보안 규칙이 있습니다. 100% 무료이며 일부 기능은 사용자 계정 보안, "무차별 대입 로그인 공격"으로부터 사이트를 보호하는 사용자 로그인 보안 및 사용자 등록 보안입니다.
네트워크 보안
사용 중인 네트워크도 사이트에 보안 위협이 될 수 있습니다. 공용 네트워크는 일반적으로 잘 보호되지 않습니다. 우리는 커피숍, 도서관, 쇼핑 센터의 공공 네트워크 등과 같은 장소를 말하는 것입니다.
공용 Wi-Fi 네트워크에서 사용자를 보호하기 위한 중요한 안전 전략은 VPN인 가상 사설망을 사용하는 것입니다. 또한 비즈니스 또는 기타 목적으로 가정용 Wi-Fi를 사용할 때 뛰어난 보호 기능을 제공하므로 일부 제공업체를 확인하는 것이 좋습니다.
오프사이트 보안
이것은 또한 WordPress 사이트를 보호하기 위해 염두에 두어야 할 매우 중요한 보안 기능입니다. 오프라인 모드에서 사용되는 모든 애플리케이션과 데이터베이스는 잠재적인 보안 위험이 있으므로 WordPress 사이트와 안전하게 통합되었는지 확인하세요.
결론
사용하기 쉬운 웹 사이트 빌더인 WordPress는 수백만 명이 사용합니다. 안전한 사이트를 만들기 위한 첫 번째 단계는 실패한 모든 로그인 시도를 모니터링하고 올바르게 처리하여 무차별 대입 공격을 방지하는 것입니다. 이것은 웹사이트와 해커가 너무 자주 사용하는 공격 유형을 보호하는 필수 방법입니다.
또한 이 기사에서 언급한 보안의 다른 모든 측면은 사이트를 보호하므로 과소평가하지 마십시오.