Home IT/WEB 워드프레스 보안 플러그인 - wordfence, itheme security

워드프레스 보안 플러그인 – wordfence, itheme security

워드프레스는 세계에서 가장 있는 있는 CMS 도구이다. 인기 블로그를 포함한 수백만개의 웹 사이트가 wordpress를 사용하고 있다. 따라서 해커는 wordpress 기반 웹사이트를 해킹하는데 관심을 가지고 있고 wordpress 사용자는 보안을 신경써야 한다.

inline ad

난 보안 플러그인을 두가지 정도 설치해서 사용하고 있는데 제가 사용하고 있는 2가지 plugin 을 소개하고자 한다.

wordfence

Wordfence Security

wordfence security는 가장 있는 있는 워드프레스 보안 플러그인 중 하나이다.
wordfence 는 웹사이트에 악성 코드가 감염되었는지 계속 체크하고 wordpress 코어, 테마 및 플러그인의 모든 파일을 검색하다가 어떠한 감염이라도 발견하게 되면 알림을 준다.

웹 사이트를 더 빠르게 만들기 위해 falcom cache engine 을 사용하고 이 플러그인은 무료지만 고급 사용자가 사용 할 수 있는 몇 가지 고급 기능을 제공한다.

이 플러그인은 bruteforce 공격을 차단하고 sms를 통해 2가지 요소 인증을 추가할 수 있다.
또한 특정 국가의 트래픽을 차단할 수도 있으며 fake trfaffic, botnet, scanners 등을 차단하기 위한 방화벽도 포함하고 있다.

또한 C99,R57 등을 포함한 알려진 backdoors 를 검색한다. 만약 무언가 발견하게 되면 즉시 이메일로 전송해준다.
로그인 한 경우도 이메일이 온다. 다른 사용자가 로그인 했을 경우를 확인을 할 수 있다.

wordfence는 post 게시물과 comment 를 스캔하여 악성코드를 찾아낸다.
멀티사이트도 지원한다. 또한 워드프레스 웹사이트에서 실시간으로 트래픽을 확인하고 웹 사이트를 공격하는 보안 위협이 있는지를 확인할 수 있다.

ithemes Security

iThemes Security (formerly Better WP Security)

iThemes Security 는 wordpress 웹사이트를 보호하는 30가지 이상의 방법을 제공한다.
클릭 한번으로 자동 공격을 중지하고 웹 사이트를 보호할 수 있다. 그리고 다양한 일반적인 security holes 를 고친다.

등록된 사용자의 활동을 추적하고 2단계 인증, 가져오기/내보내기 설정, 비밀번호 만료, 악성코드 검색 등을 추가한다.

ithemes Security는 웹사이트 전체를 스캔하고 잠재적인 취약성이 있는지 알아내려하고 Bruteforce 공격을 방지하고 Bruteforce 를 시도하는 IP 주소를 금지한다.
또한 사용자에게 보안 비밀번호를 사용하도록 강요하고 서버 지원에서 관리 영역에 SSL 를 강제한다.

제가 사용하면서 좋았던 몇 번의 클릭만으로 기본적인 보안 설정해줘서 좋았다.
비밀번호 반복적으로 틀리게 되면 접속할 수 없으니 조심해야하고 DB 에서 관련 데이터를 삭제해야 접속이 가능하다.
wp-admin 으로 접속하는 URL을  변경하여 보안을 강화시킬 수 있다.

추가 보안 방법

워드프레스 플러그인과 함께 몇 가지 보안 조치를 해주면 보안을 향상시키는 데 도움을 준다.

wordpress 코어 업데이트는 새로운 버전 릴리즈 될 때마다 업데이트를 해준 것이 좋다.
대부분의 경우 해킹된 웹사이트는 이전 버전의 wordpress 를 사용하는 웹사이트이다.
이전 버전의 wordpress의 경우는 항상 알려진 보안 문제가 있다. 그렇기 때문에 항상 최신 상태를 유지하는 것이 좋다.

플러그인과 테마도 항상 최신 버전을 유지한다. 새로운 버전에는 항상 새로운 기능과 보안 수정사항이 제공된다. 따라서 플러그인과 테마를 업데이트 해야한다.

신뢰할 수 있는 출처에서만 테마와 플러그인을 설치한다. 신뢰할 수 없는 소스의 테마에서 일반적으로 코드에 악성 코드를 포함하고 있다.

보안 플러그인을 설치하면 알림을 받게 되지만 그렇지 않을 경우 위험을 감수해야 되니 꼭 신뢰할 만한 출처에서 다운 받아서 사용하시길 바랍니다.

관리자 사용자 이름을 admin 이라고 사용하지 말것.
블로그에서 이 사용자 이름을 사용하면 쉽게 공격이 가능하다. 그리고 강력한 비밀번호를 사용하는 것이 좋다.

RECENT POSTS

[javscript]API 응답에서 키 값들을 검증하는 방법

API 응답에서 다수의 키 값들을 검증할 때 코드의 중복을 줄이는 것은 유지보수성을 향상시키고, 가독성을 높이는 데 중요합니다. 이를 위해 몇 가지 접근 방법을 사용할...

[javscript]특정 키를 제외하고 두 객체를 비교하는 방법

특정 키를 제외하고 두 객체를 비교하는 작업은 데이터의 동등성을 평가하고 싶을 때 유용합니다. Lodash 라이브러리를 통해서 처리할 수 있는 방법에 대해서 살펴보겠습니다. Lodash를 사용한 특정...

[javscript]배열을 특정 키의 값에 따라 정렬하는 방법, _.orderBy

Lodash의 _.orderBy 메소드를 사용하면 배열을 특정 키의 값에 따라 정렬할 수 있습니다. 이 메소드는 배열의 각 항목을 정렬할 기준이 되는 하나 이상의 속성 이름과...

[css]autoprefixer: end value has mixed support, consider using flex-end instead warning 처리 및 다양한 에러 메시지 의미

이 경고 메시지는 CSS를 처리하는 도구인 Autoprefixer가 justify-content: end; 속성값을 처리하려 할 때 발생합니다. Autoprefixer는 CSS에 벤더 접두사를 자동으로 추가해 주는 도구로, 다양한 브라우저에서 CSS 속성이...