[웹] WordPress 비밀번호 보호 – 완벽한 가이드

이것은 비즈니스 웹사이트 관리자 및 소유자를 위한 WordPress 암호 보호에 대한 ‘궁극의’ 또는 포괄적인 가이드입니다. WordPress 웹사이트를 관리하거나 관리자인 사람들을 위해 작성되었습니다.

역할 외에도 WordPress 및 보안 소프트웨어 공급업체에 따르면 다음으로 가장 취약하고 쉽게 강화되는 WordPress 웹 사이트 보안은 비밀번호 사용입니다. 로그인 자격 증명으로 무장한 누군가가 잠재적으로 웹사이트와 WordPress 대시보드에서 사용 가능한 모든 구성 및 데이터에 액세스할 수 있습니다. 로그인한 사용자는 귀하를 사칭하고 항목을 추가, 수정 또는 삭제하고 웹사이트를 훼손하고 비즈니스를 망칠 수 있습니다.

DevOps Connect:DevSecOps @ RSAC 2022

이 블로그 게시물은 조직 전체에 안전한 WordPress 암호 보호를 설정하고 사용자에게 암호 사용을 교육하는 데 도움이 되는 일련의 모범 사례 지침을 제공합니다.

강력한 비밀번호 보안 정책 수립

WordPress 웹사이트 관리자는 사용자에게 강력한 암호 정책을 시행할 기회와 책임이 있습니다. 이렇게 하면 다양한 공격으로부터 조직, 웹 사이트, 데이터, 직원 및 기타 사용자를 보호할 수 있습니다.

  • 회사 및 내부 직원의 경우 마케팅 직원은 웹사이트 페이지와 블로그 게시물을 만들고 편집하기 위해 WordPress 웹사이트에 액세스해야 하는 반면, 다른 직원은 검토 및 댓글 응답에만 액세스할 수 있어야 합니다. 반면에 고객 계정 관리 또는 고객 서비스 직원은 지원 티켓에 응답하기 위해 고객 계정에 대한 다양한 수준의 액세스가 필요합니다. 이 경우 대부분의 내부 직원 사용자는 고객 계정에 액세스할 필요가 없지만 일부는 필요합니다. IT 지원 부서에서 일하는 사람들은 전부는 아니지만 일부 고객 계정에 액세스해야 할 수도 있습니다.
  • 전자 상거래 WordPress 웹 사이트의 외부 사용자의 다른 관점을 생각해 보겠습니다. 계정을 관리하거나, 구매하거나, 배송 또는 반품 상태를 추적하거나, 고객 지원에 문의하려면 로그인해야 할 수 있습니다. 동일한 사용자에게 예를 들어 웹 페이지를 생성 또는 삭제할 수 있는 액세스 권한을 부여하거나 다른 고객의 계정 및 재무 세부 정보를 볼 수 있어서는 안 됩니다. 경우에 따라 전자 상거래 웹 사이트는 고객인 사용자에게 계정을 만들고 로그인할 필요가 없습니다. 때때로 판매를 얻는 데 장애가 될 수 있기 때문입니다.

이 모든 고려 사항이 필요한 이유는 무엇입니까? 사용자는 보안 암호를 만들고 사용하는 방법을 이미 알고 있습니까?

일반 컴퓨터 사용자는 일반적으로 WordPress 비밀번호 보호 또는 WordPress 비밀번호 보안에 대해 잘 알지 못합니다. 그들은 자신의 온라인 데이터에 대해 느슨한 태도를 취하고 로그인 자격 증명 관리에 스트레스를 받을 것이며(이 모든 것은 나중에 논의할 것임) 스티커 메모에 적어 모니터에 붙입니다!

게다가:

  • 점점 더 정교해지고 있는 비밀번호 추측 봇
  • 악의적인 해커는 여전히 무차별 대입 공격과 사전 공격을 사용합니다.

악의적인 해커가 약한 암호의 일부를 구성할 가능성이 있는 실명과 같은 개인 정보를 이미 가지고 있는 경우 악의적인 활동이 훨씬 쉬워집니다.

강력한 비밀번호는 어떤 모습인가요?
  • 긴 암호 – 일반적으로 암호가 짧을수록 무차별 대입 공격이나 사전 공격에 더 취약합니다. 현재 가장 좋은 조언은 암호에 최소 길이를 16자로 설정하고 공백을 허용하는 것입니다. 일부 암호 생성기를 사용하면 사용자가 생성하는 안전한 임의 암호의 길이를 사용자 지정할 수 있습니다.
  • 혼합 암호 – 문자(대소문자 모두), 숫자 및 특수 문자를 임의로 조합하여 사용합니다. 이것은 사전 공격으로부터 암호를 보호합니다. 사전 단어와 문자 또는 숫자 패턴을 피하고 문자를 숫자로 바꾸십시오(‘a’ 대신 ‘@’, 키보드 시퀀스(qwerty)를 포함하여 ‘O’ 대신 ‘0’).
  • 임의의 비밀번호 – 귀하와 관련 없는 비밀번호를 유지하십시오. 귀하의 이름이나 애완 동물, 어린이 또는 다른 친척의 이름의 일부를 사용하지 마십시오. 생년월일, 우편 주소 또는 악의적인 해커가 쉽게 연결할 수 있는 기타 공개 정보를 사용하지 마십시오. 또한 별명과 같이 동료나 지인이 추측할 수 있는 정보는 사용하지 마십시오.
  • 암호 변경 – 암호를 정기적으로 재설정합니다(3개월마다 권장). 이렇게 하면 무차별 대입 시도가 있을 때 시계가 다시 시작되고 비윤리적인 해킹 기술의 발전보다 앞서 나갈 수 있습니다.
  • 다른 비밀번호 – 웹사이트마다 비밀번호가 다릅니다. 이렇게 하면 하나가 침해되더라도 나머지는 여전히 안전합니다. 매일 비밀번호 관리자를 사용하여 비밀번호를 저장, 업데이트 및 사용하십시오.
  • 저장된 암호 – 컴퓨터가 해킹되거나 도난당할 경우를 대비하여 브라우저 구성, 랩톱 또는 공유 폴더를 사용하여 암호를 저장하지 마십시오. 이것이 바로 비밀번호 관리자의 기능입니다!
WordPress 사용자 역할 및 보안 영향

역할 구성은 WordPress 웹 사이트 보안에 큰 영향을 미칩니다. 일반적으로 WordPress 보안은 웹사이트에 포함되거나 교환되는 민감한 정보의 수준에 정비례하여 증가해야 합니다.

먼저 관리자 역할을 살펴보겠습니다.

  • 최고 관리자 – WordPress Multisite Network를 사용하여 다중 사이트 소유자에게 할당되며 관리자 역할과 동일한 권한을 제공합니다.
  • 관리자 – 설치 시 웹사이트 소유자/작성자에게 자동으로 할당되며 삭제를 포함하여 웹사이트에 대한 모든 권한을 제공합니다. 업그레이드 및 업데이트 실행 페이지 및 블로그 게시물 생성, 편집 및 삭제 다른 관리자를 포함한 사용자 추가, 편집 및 삭제 미디어 추가, 편집 및 삭제

권한 범위 내림차순으로 나열된 다른 모든 사용자 역할은 다음과 같습니다.

  • 편집자 – 새 페이지, 블로그 게시물, 미디어를 추가, 편집 및 삭제할 수 있습니다. 카테고리 및 태그 생성 자신과 다른 사람이 작성한 콘텐츠를 게시합니다. 및 중간 댓글
  • 작성자 – 자신의 콘텐츠만 추가, 편집 및 게시할 수 있습니다. 미디어 업로드; 블로그 게시물에 기존 카테고리 및 태그 할당
  • 기고자 – 자신의 콘텐츠만 추가 및 편집할 수 있습니다. 자신의 블로그 게시물에 기존 카테고리 및 태그 할당
  • 가입자 – 자신의 사용자 프로필만 업데이트할 수 있습니다. 다른 사람의 콘텐츠를 읽습니다. 그리고 코멘트를 추가

최소 권한 원칙에 따라 WordPress 내에서 작업을 위임하는 역할을 설정할 때 웹사이트, 해당 기능 및 사용자에 대한 이러한 수준의 제어가 필요한 경우가 아니면 다른 사람(최고) 관리자 액세스 권한을 부여하지 마십시오. 독자는 웹사이트 전체에서 ‘게시자'(사용자 이름)를 볼 수 있으므로 관리자는 추가 예방 차원에서 자신을 위해 추가 편집자 사용자를 설정하고 작업을 수행해야 할 때만 (최고) 관리자 계정으로 로그인해야 합니다. 이러한 더 높은 수준의 작업. 이는 악의적인 해커가 무차별 대입 공격을 고려하는 경우 의존할 정보가 훨씬 적다는 것을 의미합니다.

올바른 WordPress 비밀번호 보안 도구 및 플러그인 설치

사용자에게 강력한 WordPress 암호를 적용 할 수 있는 한 가지 방법 은 WPassword 플러그인을 사용하여 다음을 수행하는 것입니다.

  • 몇 초 만에 WordPress 웹 사이트에 강력한 암호를 적용하십시오.
  • 사용자가 추측할 필요 없이 강력한 비밀번호를 찾는 데 도움이 되는 팁을 제공합니다.
  • 암호 복잡성, 기록 및 사용 기간과 같은 암호 보호의 중요한 측면에 대한 암호 정책 구성
  • 사용자 역할을 기반으로 암호 정책을 구성하여 사용자 지정 전문 역할을 제공하거나 특정 정책에서 특정 사용자를 제외합니다.
  • 공격이 감지되면 즉시 모든 비밀번호 재설정
  • 정책이 시행되기 전에 설정된 비활성 사용자 계정이 게시한 위협을 제거하기 위해 휴면 사용자 정책을 구현합니다.
WordPress 비밀번호 보호의 좋은 예

보안 자격 증명을 사용하고 사용자도 그렇게 하도록 권장하는 것이 좋습니다.

  • 강력한 암호(강력한 암호는 어떻게 생겼습니까? 참조)와 강력한 사용자 이름을 결합합니다.
  • 관리자로서 admin, default, password 또는 guest와 같은 명백하고 약한 기본 사용자 이름을 피하십시오.
  • 나쁜 행위자들이 발견할 자격 증명이 하나밖에 남지 않도록 쉽게 만들지 마십시오.

WordPress 비밀번호 보안 조치에 의존하는 경우 플러그인을 사용하여 강력한 비밀번호도 적용 해야 합니다. WordPress에는 강력한 기본 제공 또는 기본 암호 적용 기능이 없습니다.

암호 관리자를 고용하십시오

암호 관리자는 여러 웹 사이트 및 서비스에서 사용자 자격 증명을 안전하게 저장하고 관리하는 온라인 서비스 또는 소프트웨어 클라이언트입니다. 이 정보는 다중 요소 인증을 위한 단일 마스터 암호 및 옵션으로 액세스할 수 있습니다. 인기 있는 예로는 1Password 및 KeePass 가 있습니다. 그러나 온라인 암호 관리자가 많이 있더라도 이것이 확실한 백업과 안정성을 대신할 수는 없습니다.

암호 관리자 사용의 이점
  • 그들은 각 웹사이트의 비밀번호를 기억할 필요가 없습니다. 동시에 많은 온라인 서비스에서 동일한 자격 증명을 사용하는 게으르고 미친 관행으로 ‘해결’되는 직장의 가장 큰 문제점 중 하나입니다.
  • 그들은 데이터 보호 규정을 위반하는 서면 형식이나 손상될 수 있는 온라인 파일에 로그인 자격 증명을 저장하려는 유혹을 받지 않을 것입니다.
  • 사용자가 복잡하고 다른 암호를 사용할 수 있도록 합니다. 많은 암호 관리자에는 새 기록을 즉시 기록하는 편리하고 빠른 브라우저 팝업 제안과 함께 암호 생성기가 내장되어 있습니다.
  • 그들은 자신의 계정이나 웹사이트를 악의적인 해커와 자동화된 봇에 노출시키지 않을 것입니다.
  • 암호 관리자는 종종 이메일 주소를 모니터링하고 다크 웹에 나타나는 사용자에게 경고합니다. 또한 재사용되거나 취약한 비밀번호를 변경하도록 권장할 수도 있습니다.

이중 요소 또는 다중 요소 인증 활성화

2단계 또는 다단계 인증은 기존 사용자 이름과 암호 조합 외에 사용자에게 웹 사이트 또는 앱에 대한 액세스 권한을 부여하기 전에 입력해야 하는 추가 자격 증명 계층입니다. 다중 요소 접근 방식이 WordPress 보안에 가장 적합하기 때문에 누군가가 이미 강력한 암호를 사용하고 있을 때 사용됩니다. 강력한 암호와 사용자 이름 조합은 도용될 수 있습니다. 일회성 코드는 앱에서 생성되고 사용자의 개인 장치, 이메일 계정 또는 휴대폰으로 전송된 이메일 또는 SMS로 수신되며 악의적인 해커가 우회하기가 더 어렵습니다.

WordPress에 대한 최고의 2단계 인증 플러그인을 대신하는 몇 가지 대안이 있습니다 . 이것들을 확인하십시오. 그러나 우리는 우리 자신의 제품인 WP 2FA 플러그인을 적극 권장합니다. WordPress 웹 사이트의 인증을 향상시킬 뿐만 아니라 사용 용이성과 설정 단순성을 염두에 두고 설계되었습니다. 또한 다양한 사용자 역할에 대해 완전히 구성 가능한 2FA 정책을 사용하여 2FA를 의무화할 수 있습니다. WPassword와 WP 2FA 플러그인의 조합은 WordPress 웹사이트를 매우 안전하게 만듭니다.

WordPress 암호 보호에 대해 사용자 교육

웹사이트 사용자는 강력한 암호 보안이 필요하다는 것을 막연한 의미로 이미 알고 있습니다. 그러나 그들은 종종 그것에 대해 아무 것도 하지 못합니다.

그렇다면 구체적으로 무엇에 대해 교육해야 합니까?

뉴스 가치가 있는 데이터 침해에 대해 이야기하십시오.

약한 암호는 WordPress 웹 사이트의 보안에 대한 가장 큰 위협 중 하나입니다. 왜요? 무차별 대입 공격이나 사전 공격으로 쉽게 우회할 수 있는 취약한 자격 증명이 뉴스에서 우리 모두가 접하는 데이터 침해의 주요 원인이기 때문입니다. 여기에 기본 암호나 도난당한 암호, 분실하거나 도난당한 장치에서 가져온 암호로 인해 데이터 손실이 촉진되고 문제가 배가됩니다.

악의적인 해커와 권한이 없는 사용자가 웹사이트에 액세스할 때 무엇을 할 수 있습니까?

  • 기본 수준에서 구성을 변경하거나 맬웨어를 삽입할 수 있습니다.
  • 또한 웹사이트에서 트래픽을 리디렉션하거나 불법 복제 소프트웨어를 배포하는 데 사용할 수 있습니다.
  • 가장 심각한 공격에서 민감한 데이터를 훔쳐 오용하거나 가짜 은행 수수료를 생성하거나 금융 및 기타 정보를 수집하여 다크 웹에서 재판매할 수 있습니다.
  • 이러한 상업적 활동 외에도 핵티비스트는 증오심 표현으로 웹사이트를 정치화하거나 훼손할 수 있습니다.

내부 직원 사용자가 내부 회사 정보 및 외부 고객 데이터, 벌금 또는 강제 회사 파업에 대한 조직 전체의 주요 영향을 인지하고 있는지 확인하십시오. 그리고 웹사이트 고객에게 동일한 메시지를 반복하여 자신의 개인, 재정, 건강 및 기타 민감한 데이터의 안전을 우선시하도록 하십시오.

이러한 데이터 침해가 조직과 웹사이트에 미칠 수 있는 부정적인 영향은 막대합니다.

  • 조직 및 웹사이트에 대한 평판 및 자신감 상실
  • 규제 기관의 상당한 벌금과 파트너 및 고객의 기타 처벌 또는 분리

강력한 비밀번호 정책 시행

  1. 먼저 강력한 암호는 어떻게 생겼습니까?의 모든 요소에 대해 사용자를 교육하십시오 . 암호 관리자 사용의 이점은 무엇입니까 ? 예를 들어, thisismypassword, 123456789, [mykidsname] 또는 [mypetsname] 과 같은 지속적이고 심각하게 안전하지 않은 암호 공식을 알고 있는지 확인하십시오 . 그리고 대신 강력한 암호 공식을 사용하도록 권장합니다(예: vqO&[email protected]%fF 또는 @iGOuqk%W0xY ). 귀하의 서비스 또는 사용자에 대해 이러한 특정 예를 공유하거나 사용하지 마십시오. 그것들은 단지 예일 뿐입니다.
  2. 내부 직원에게 그들이 서명한 고용 및/또는 데이터 보호 정책 과 고용주에 대한 개인적인 법적 책임 에 대해 정기적으로 상기 시킵니다.
  3. 내부 직원에게 회사가 고객 및 고객에게 제공하는 데이터 보호 정책 및 진술은 회사 정책에 따라 이에 의존하며 잠재적으로 심각하고 영구적인 법적, 재정적, 고용 및 법 집행에 영향을 미칠 수 있음을 상기시킵니다.
  4. 암호 생성 도구가 있는 암호 관리자를 사용하여 사용자가 자신만의 보안 암호를 만들도록 권장합니다. 대부분의 암호 관리자 소프트웨어에도 고유한 기능이 있으므로 온라인 및 기타 서비스를 위한 새 계정을 만들 때 유용합니다.
WordPress 비밀번호 보안을 위한 관리자 활동
  1. WPScan과 같은 스캐너로 WordPress 사용자 암호의 암호 강도를 확인하십시오 .
  2. 악의적인 해커가 사용자의 암호를 ‘추측’하는 데 사용하는 도구를 사용합니다. 무차별 대입 및 사전 공격을 직접 예약하십시오!
  3. 암호가 약한 사용자를 잠그고 암호를 재설정하라는 메시지를 보냅니다.
  4. 선택한 암호 관리자를 사용하는 방법에 대한 워크샵을 실행합니다.
암호 관리자 사용의 스트레스 해소 및 시간 절약 이점 강조

많은 사용자가 강력한 암호가 필요하다고 생각하지만 실제로는 익숙하지 않고 인식되는 어려움이나 비용 때문에 암호 사용을 꺼립니다. 여기서 Password Manager 사용의 용이성과 이점을 저비용, 안정성 및 자격 증명 백업 유지 용이성과 함께 강화할 수 있습니다 .

여러 개의 암호가 아닌 하나의 암호만 기억하면 된다는 것은 엄청난 이점입니다.

사용자의 관점에서 볼 때 하이라이트는 다음과 같습니다.

  • 그들은 단 하나의 암호만 기억하면 됩니다. 바로 행복입니다!
  • 암호 관리자는 새로운 암호 생성기, 암호 관리 도구 및 현장에서 보안 자격 증명을 입력하라는 프롬프트 역할을 합니다.
강력한 WordPress 암호 보안에 대한 가치 있는 투자 강조

우리는 사실을 직시해야 합니다. 일부 잠재 사용자는 강력한 암호를 사용하고 자주 변경해야 하는 경우 웹사이트 가입을 연기할 수 있습니다. 이러한 절차는 처음에 설정하는 데 약간의 시간과 노력이 필요합니다. 일부는 원하지 않는 번거로움이라고 생각할 것이고 다른 일부는 웹사이트의 사용자 경험을 망친다고 불평할 것입니다.

사용자 역할에 따라 암호 정책과 보안 수준을 차별화하는 플러그인을 사용하여 강력한 WordPress 암호 보안 정책을 설정하고 시행하면 사용자 방해를 최소화할 수 있습니다.

기타 관련 보호 장치 설정

웹사이트 소유자 또는 WordPress 관리자로서 다음은 WordPress 비밀번호 보안을 위해 고려해야 할 더 큰 문제에 대한 몇 가지 최종 제안입니다.

  • WordPress용 일반 WordPress 보안 강화 및 보호 프로토콜을 숙지하십시오 . WordPress 웹 사이트가 해킹되는 구체적인 이유가 있습니다. 이것이 무엇이며 어떻게 처리해야 하는지 아는 것은 관리자 또는 소유자로서 귀하에게 유리합니다. 예, 2FA 및 활동 로그의 부족과 마찬가지로 취약한 암호가 주요 문제입니다. 그러나 오래된 WordPress 코어, 플러그인 및 기타 소프트웨어의 사용도 심각한 문제라는 것을 알고 계셨습니까?
  • 승인되지 않은 사용자가 귀하의 계정에 액세스했는지 여부를 알려주 는 WordPress 활동 로그 플러그인을 사용하십시오. 우리의 WP 활동 로그는 의심스러운 행동을 초기 단계에서 식별하고 웹사이트에 대한 악의적인 해킹 공격을 방지하는 데 도움이 됩니다.
  • WordPress 웹사이트에 대한 휴면 또는 비활성 사용자 정책을 설정합니다 . 방치된 사용자 계정은 악의적인 해커가 쉽게 진입할 수 있는 지점입니다.
  • 강력한 비밀번호를 사용하고 사용자에게 강력한 비밀번호 정책을 시행하더라도 웹사이트가 해킹될 수 있습니다. 귀하의 웹사이트가 침해되었는지 즉시 아는 것이 좋습니다. 이것은 우리가 체크 아웃하는 것이 좋습니다 무료 데이터 침해 알림 서비스 입니다.

WordPress 비밀번호 보호 또는 이 블로그 게시물에서 언급한 제품에 대해 질문이 있습니까? 아래에 알려주세요! 그리고 Chris Pirillo의 말을 기억하십시오.

“비밀번호는 속옷과 같습니다. 사람들이 볼 수 없도록 하고, 자주 변경해야 하며, 낯선 사람과 공유해서는 안 됩니다.”

원문기사 보기