WordPress 보안으로 두더지 치기 게임하기
게시 됨: 2020-01-11이 시대에 웹사이트를 보호하는 것은 (심지어 소규모라도) 점점 더 어려워지고 있습니다. 그리고 WordPress를 사용하는 경우 등 뒤에 커다란 과녁을 가지고 있을 수도 있습니다. 사악한 사람들과 집요한 봇 사이에서 매일의 매 순간이 전쟁터가 되었습니다.
이것의 진정으로 놀라운 부분은 거의 모든 올바른 일을 할 수 있고 여전히 해킹된 사이트로 끝날 수 있다는 것입니다. 계속해서 플러그인과 테마를 업데이트하세요. 보안 플러그인을 실행하거나 다른 진입 장벽을 설정하십시오. 이 모든 작업을 수행해도 여전히 위태로운 위치에 있을 수 있습니다.
최근에 나는 이 어려운 사실을 스스로 깨달았습니다. 나는 우리가 "올바른 방법"으로 일을 하고 있다는 생각에도 불구하고 수많은 문제에 직면한 사이트에서 동료를 도왔습니다. 그것은 내가 앉아서 경험에 대해 생각하도록 영감을 주었습니다. 이를 통해 내가 배운 것에 대한 몇 가지 생각과 WordPress 웹 사이트를 더 안전하게 보호하기 위해 취할 수 있는 추가 단계에 대한 몇 가지 이론이 있습니다.
과거는 당신을 괴롭힐 수 있습니다
WordPress 코어, 플러그인 및 테마에는 모두 자체 보안 결함이 있습니다. 코어는 일반적으로 빠르게 패치되지만 플러그인과 테마가 동일한 유형의 처리를 받기를 희망하고 기도합니다. 그러나 우리가 보았듯이 구멍을 막는 것만으로는 항상 충분하지 않습니다.
귀하의 사이트가 몇 년 전에 구축되었다면 귀하도 알지 못하는 취약점에 노출되었을 수 있습니다. 패치되었을 수도 있고... 아닐 수도 있습니다. 문제가 해결되었더라도 패치를 설치하거나 항목을 완전히 제거할 때까지 일정 기간 동안 사이트가 노출되었을 수 있습니다. 그 사이에 무슨 일이? 꽤 오랫동안 알지 못할 수도 있습니다.
예를 들어 앞서 언급한 문제가 있는 사이트를 검색하는 동안 /wp-includes/ 디렉터리에서 악성 파일이 발견되었습니다. 각각은 해당 디렉토리에 있는 다른 합법적인 파일의 이름과 수정 날짜를 모방한 .php 파일이었습니다. 이제 파일이 어떻게 든 과거에 있었던 것처럼 보이게 하기 위해 날짜가 이전되었을 수 있습니다. 그러나 액면 그대로 받아들이면 휴면 악성 코드 사례가 있는 것 같습니다. 특정 날짜와 시간에 일부 페이로드를 전달하는 컴퓨터 바이러스와 마찬가지로 이 악성 코드는 조치를 취하라는 "요청을 수신"했을 수 있습니다.
요점은 잠재적으로 잘못된 플러그인을 잘못된 시간에 설치하는 것만으로도 미래에 골치 아픈 문제가 될 수 있다는 것입니다. 최신 정보를 유지하는 것은 훌륭한 전략이지만 완벽하지는 않습니다. 최근에 의도적으로 악성 코드를 배포하는 소수의 플러그인을 보는 것만으로도 당신이 catch-22에 빠져 있다는 것을 알 수 있습니다.
끊임없이 변화하는 풍경
라고 묻는다면 우리 중 많은 사람들이 몇 년 전보다 지금의 일을 더 잘한다고 말할 것이라고 생각합니다. 우리는 새로운 지식을 배우고 발전시키며 업무에 적용합니다. 따라서 웹 사이트를 구축할 때 선택하는 방식도 진화합니다. 우리가 사용하는 도구와 기술은 해마다 거의 동일하지 않습니다.
WordPress와 해당 생태계는 동일한 프로세스를 거치지만 훨씬 빠른 속도로 진행됩니다. 어제의 필수 플러그인이 내일이면 먼지가 될 수 있습니다. 하나의 투박한 업데이트로 사용자를 떼로 보낼 수 있습니다.
따라서 몇 년 전에 구축하고 클라이언트에게 넘겨준 사이트는 오늘날에는 사용하지 않을 것이라고 생각하는 플러그인을 실행하고 있을 수 있습니다. 옛 속담에 따르면 "눈에 띄지 않고 마음에서."
최신 버전을 사용하고 있을 뿐만 아니라 더 이상 최선의 선택이 아닌 항목을 교체하려면 어느 정도 주의를 기울여야 합니다. 불행히도 이러한 유형의 지속적인 관심은 많은 디자이너에게 항상 실용적인 것은 아닙니다. 우리에게 항상 시간이 있는 것은 아니며 고객이 이에 투자할 예산이 항상 있는 것도 아닙니다. 플러그인 교체가 경우에 따라 꽤 큰 일이 될 수 있다는 사실은 말할 것도 없습니다. 테마는 훨씬 더 어려울 수 있습니다.
실제로 모든 것이 두더지 때리기의 거대한 게임과 같습니다. 때때로 당신의 유일한 방어책은 손에 망치를 들고 서서 다가오는 다음 동물을 때릴 준비를 하는 것뿐인 것 같습니다. 더 나은 방법이 있을 것입니다.
무엇을 더 할 수 있습니까?
따라서 정기적으로 업데이트를 적용하고 추가 보안 조치를 취합니다. 우리는 강력한 암호를 사용하고 우리 사이트에 대한 무단 액세스를 가능한 한 어렵게 만듭니다. 그러나 우리는 여전히 끊임없는 공격에 직면해 있습니다. 그 중 일부는 통과합니다.
저는 보안 분야에서 최고의 전문가가 아님을 인정합니다. 하지만 사이트를 멀웨어 등으로부터 깨끗하게 유지하기 위해 취할 수 있는 추가 조치에 대해 몇 가지 생각이 있습니다. 약간 정신이 없는 사람도 있겠지만, 제 희망은 모든 인류를 구하는 것이 아니라 토론을 촉발하는 것입니다.
플러그인 감사
이것은 우리가 일상적으로 스스로 할 수 있고 실제로 고객에게 비용을 청구할 수 있는 것입니다. 아이디어는 정기적으로(일년에 2-3회) 어떤 플러그인이 설치되어 있는지 확인하고 잠재적으로 문제가 있는 플러그인을 제거하는 것입니다. 버려진 것으로 간주되거나(최소 2년 동안 업데이트 없음) WordPress 플러그인 저장소에서 완전히 제거된 플러그인을 찾습니다. 그런 다음 필요한 경우 교체하십시오.
더 나은 정보에 대한 액세스
오래된/악의적인/제거된 플러그인에 대한 정보를 제공하는 대규모 서비스가 훨씬 더 좋습니다. 개발자와 사이트 소유자는 이러한 종류의 리소스를 손쉽게 이용할 수 있어 큰 이점을 얻을 수 있습니다. WordPress 생태계 내에서 무슨 일이 일어나고 있는지 아는 것만으로도 추가 문제를 피하는 데 도움이 될 수 있습니다.
더 현명한 결정 내리기
우리는 종종 그 특정 시기에 최선의 결정이라고 생각하는 것을 내립니다. 하지만 우리는 더 잘할 수 있습니다. 예를 들어 플러그인을 선택하는 것은 종종 문제에 대한 가장 빠른 솔루션을 찾는 것과 관련이 있습니다. 그러나 가장 빠른 솔루션이 항상 최상의 솔루션은 아닙니다. 품질에 대한 검사 플러그인은 기능만큼 중요해야 합니다. 항상 올바른 것은 아니지만 변경 로그 및 지원 포럼을 살펴보는 것은 결정을 내리는 데 큰 도움이 될 수 있습니다.
게임 이해
새로 구축한 사이트를 시작한다고 해서 작업이 끝난 것은 아닙니다. 보안을 유지하려면 계속해서 진행 상황에 주의를 기울여야 합니다. 그 중 일부는 문제가 있을 때 이메일을 보내는 자동화된 보안 플러그인을 사용하고 있을 수 있습니다. 그러나 때때로 수동으로 주변을 살펴보는 것이기도 합니다. WordPress 대시보드를 검토하고 사이트의 파일 구조를 살펴보고 의심스러운 항목을 검색합니다.
사전 예방적 호스팅
대부분의 웹 호스트는 보안을 최우선으로 생각합니다. 하지만 개선의 여지가 없는 것은 아닙니다. 내 경험에 따르면 호스트는 문제가 발생한 후 문제에 반응하는 경우가 많습니다. 보안에 대한 접근 방식에서 보다 사전 예방적인 호스트의 이점을 누릴 수 있다고 생각합니다. 예를 들어, 클라이언트에게 최신 보안 위협에 대한 정보와 이에 대비하여 사이트를 강화하는 방법에 대해 알립니다.
고객 교육
마지막으로 WordPress의 해야 할 일과 하지 말아야 할 일에 대해 클라이언트를 교육하는 것이 중요합니다. 사이트의 백엔드에 액세스하는 경우 플러그인을 설치하거나 자신의 계정 정보를 다른 사람에게 제공할 때 발생할 수 있는 잠재적 위험을 알아야 합니다. 그들은 자신의 사이트를 안전하고 건전하게 유지하는 데 중요한 역할을 합니다.
항상 표적
WordPress는 너무 널리 사용되어 해커의 표적이 된 이유가 궁금하지 않습니다. 불행히도 이것은 모든 위대한 성공과 함께 제공되는 것입니다.
그렇기 때문에 우리 모두는 보안 관행과 관련하여 수준을 높여야 합니다. 이상적으로는 정기적인 사이트 점검과 가장 중요한 중요한 정보에 대한 액세스를 의미합니다. 지식은 모든 도전의 열쇠입니다. 그것 없이는 우리는 영원히 그 카니발 게임을 하지 못할 것입니다.