일반적인 WordPress 공격 및 중지 방법

일반적인 WordPress 공격 및 중지 방법

WordPress는 10 년 이상 최고의 콘텐츠 관리 시스템 (CMS) 중 하나입니다. 세계 최대 웹에 텍스트, 이미지 및 비디오 콘텐츠를 게시하기 위해 WordPress 프레임 워크에서 실행되는 다수의 소규모 개별 사이트뿐만 아니라 인터넷 최대 규모의 블로그.


워드 프레스 웹 사이트에는 프론트 엔드 인터페이스와 백엔드 인터페이스가 있습니다. 프런트 엔드는 외부 방문자가 웹 페이지를로드 할 때 볼 수있는 뷰를 제공합니다. 백엔드는 컨텐츠의 초안 작성, 디자인 및 게시를 담당하는 사이트 관리자 및 기고자가 액세스 할 수 있습니다..

다른 모든 인터넷 기반 시스템과 마찬가지로 WordPress는 해킹 시도 및 기타 형태의 사이버 범죄의 대상입니다. 지금보다 더 고려하는 것이 합리적입니다. 32 % 인터넷의 워드 프레스에서 실행됩니다. 이 기사에서는 소프트웨어에 대한 가장 일반적인 WordPress 공격에 대해 살펴본 후이를 방어하고 웹 사이트를 안전하게 유지하는 방법에 대한 제안을 제공합니다..

일반적인 워드 프레스 공격 방법

먼저 WordPress 사이트 소유자가 겪을 수있는 일반적인 공격을 살펴 보겠습니다..

1. SQL 주입

일반적인 WordPress 공격 : SQL 삽입

WordPress CMS 플랫폼은 메타 데이터 정보 및 기타 관리 정보를 저장하는 데이터베이스 계층에 의존합니다. 예를 들어 일반적인 SQL 기반 WordPress 데이터베이스에는 사용자 정보, 콘텐츠 정보 및 사이트 구성 데이터가 포함됩니다..

해커는 SQL 주입 공격을 수행 할 때 입력 필드 또는 URL을 통해 요청 매개 변수를 사용하여 사용자 지정 데이터베이스 명령을 실행합니다. “SELECT”쿼리를 사용하면 해커가 데이터베이스에서 추가 정보를 볼 수 있고 “UPDATE”쿼리를 사용하면 실제로 데이터를 변경할 수 있습니다.

2011 년 Barracuda Networks라는 네트워크 보안 회사가 SQL 주입 공격. 해커들은 바라쿠다 웹 사이트 전체에서 일련의 명령을 실행했으며 결국 회사의 기본 데이터베이스에 대한 포털로 사용될 수있는 취약한 페이지를 발견했습니다..

2. 사이트 간 스크립팅

XSS라고도하는 크로스 사이트 스크립팅 공격은 응용 프로그램 뒤의 데이터베이스 대신 웹 페이지의 JavaScript 요소를 대상으로하는 SQL 주입 수락과 유사합니다. 공격이 성공하면 외부 방문자의 개인 정보가 손상 될 수 있습니다.

XSS 공격을 통해 해커는 주석 필드 또는 기타 텍스트 입력을 통해 웹 사이트에 JavaScript 코드를 추가 한 다음 다른 사용자가 페이지를 방문 할 때 악성 스크립트가 실행됩니다. 악의적 인 JavaScript는 일반적으로 사용자를 사기성 웹 사이트로 리디렉션하여 암호 나 다른 식별 데이터를 훔치려 고 시도합니다..

eBay와 같은 인기있는 웹 사이트도 XSS 공격의 대상이 될 수 있습니다. 과거에는 해커가 성공적으로 추가했습니다 제품 페이지에 대한 악성 코드 고객이 스푸핑 된 웹 페이지에 로그인하도록 유도.

3. 명령 주입

WordPress와 같은 플랫폼은 웹 서버, 응용 프로그램 서버 및 데이터베이스 서버의 세 가지 기본 계층에서 작동합니다. 그러나 이러한 각 서버는 Microsoft Windows 또는 오픈 소스 Linux와 같은 특정 운영 체제가있는 하드웨어에서 실행되며 별도의 잠재적 인 취약 영역을 나타냅니다..

명령 주입 공격을 사용하면 해커가 SQL 주입과 유사한 텍스트 필드 또는 URL에 악성 정보를 입력합니다. 차이점은 코드에는“ls”명령과 같이 운영 체제 만 인식 할 수있는 명령이 포함된다는 것입니다. 실행되면 호스트 서버의 모든 파일 및 디렉토리 목록이 표시됩니다..

특정 인터넷 연결 카메라는 명령 주입 공격에 특히 취약한 것으로 나타났습니다. 불량 명령이 실행될 때 펌웨어가 시스템 구성을 외부 사용자에게 부적절하게 노출시킬 수 있습니다.

4. 파일 포함

일반적인 WordPress 공격 : 파일 포함

PHP 및 Java와 같은 일반적인 웹 코딩 언어를 사용하면 프로그래머가 코드 내에서 외부 파일 및 스크립트를 참조 할 수 있습니다. “include”명령은이 유형의 활동에 대한 일반 이름입니다..

특정 상황에서 해커는 웹 사이트의 URL을 조작하여 코드의 “포함”섹션을 손상시키고 응용 프로그램 서버의 다른 부분에 액세스 할 수 있습니다. WordPress 플랫폼의 특정 플러그인은 다음에 대해 취약한 것으로 밝혀졌습니다. 파일 포함 공격. 이러한 해킹이 발생하면 침입자는 기본 애플리케이션 서버의 모든 데이터에 액세스 할 수 있습니다..

보호를위한 팁

이제 무엇을 감시해야하는지 알고 있으므로 WordPress 보안을 강화하는 몇 가지 쉬운 방법이 있습니다. 분명히, 아래에 언급 된 것보다 더 많은 방법으로 귀하의 사이트를 보호 할 수 있지만, 이것들은 상대적으로 간단한 방법입니다..

1. 보안 호스트 및 방화벽 사용

WordPress 플랫폼은 로컬 서버에서 실행하거나 클라우드 호스팅 환경을 통해 관리 할 수 ​​있습니다. 보안 시스템을 유지 관리하기 위해 호스팅 된 옵션이 선호됩니다. 시장에 나와있는 최고의 WordPress 호스트는 SSL 암호화 및 기타 형태의 보안 보호 기능을 제공합니다.

일반적인 WordPress 공격 : 방화벽

호스팅 된 WordPress 환경을 구성 할 때는 응용 프로그램 서버와 다른 네트워크 계층 간의 연결을 보호하는 내부 방화벽을 활성화해야합니다. 방화벽은 합법적 인 요청 만 처리 될 수 있도록 계층 간 모든 요청의 유효성을 검사합니다..

2. 테마 및 플러그인 업데이트

WordPress 커뮤니티는 CMS 플랫폼의 강력한 기능을 활용하기 위해 새로운 테마와 플러그인을 지속적으로 개발하는 타사 개발자들로 가득합니다. 이 부가 기능은 무료 또는 유료 일 수 있습니다. 플러그인 및 테마는 항상 WordPress.org 웹 사이트에서 직접 다운로드해야합니다..

외부 플러그인 및 테마는 애플리케이션 서버에서 실행될 코드를 포함하므로 위험 할 수 있습니다. 평판이 좋은 소스 및 개발자가 제공하는 애드온 만 신뢰하십시오. 또한 개발자가 보안 개선 사항을 발표 할 예정이므로 플러그인 및 테마를 정기적으로 업데이트해야합니다..

워드 프레스 관리 콘솔, “업데이트”탭은“대시 보드”메뉴 목록의 맨 위에 있습니다..

3. 바이러스 스캐너 및 VPN 설치

로컬 환경에서 WordPress를 실행 중이거나 호스팅 공급자를 통해 전체 서버에 액세스 할 수있는 경우 운영 체제에서 강력한 바이러스 검색 프로그램을 실행해야합니다. Virus Total과 같은 WordPress 사이트를 검사하는 무료 도구는 취약점을 찾기 위해 모든 리소스를 검사합니다..

원격 위치에서 WordPress 환경에 연결하는 경우 항상 로컬 개인 네트워크 (VPN) 클라이언트를 사용해야 로컬 컴퓨터와 서버 간의 모든 데이터 통신이 완전히 암호화됩니다.

4. 무차별 대입 공격에 대한 잠금

가장 대중적이고 일반적인 WordPress 공격 중 하나는 소위 무차별 대입 공격의 형태를 취합니다. 이것은 해커가 “정문”에서 느슨하게하는 자동화 된 프로그램에 지나지 않습니다. 그것은 거기에 앉아서 수천 가지의 암호 조합을 시도해 보았을 때 종종 올바른 암호 조합을 보았습니다..

좋은 소식은 무차별 대입을 저지하는 쉬운 방법이 있다는 것입니다. 나쁜 소식은 너무 많은 사이트 소유자가 수정 사항을 적용하지 않는다는 것입니다. 올인원 WP 보안 및 방화벽을 확인하십시오. 무료이며 로그인 시도에 대한 제한을 설정할 수 있습니다. 예를 들어, 세 번의 시도 후에 플러그인은 사전 설정된 시간 동안 해당 IP 주소로 추가 로그인하지 않도록 사이트를 잠급니다. 또한 잠금 기능이 트리거되었다는 이메일 알림을받습니다..

5. 2 단계 인증

사이트를 보호하는이 멋진 방법은 해커가 두 장치를 동시에 제어 할 수 없을 가능성이 있다는 사실에 의존합니다. 예를 들어, 컴퓨터 및 휴대폰. 2 단계 인증 (2FA)은 웹 사이트 웹 사이트 로그인을 2 단계 프로세스로 전환합니다. 평소와 같이 정기적으로 로그인하지만 휴대 전화로 전송되는 추가 코드를 입력하라는 메시지가 표시됩니다..

영리한가? 이 추가 단계는 로그인을 다른 단계로 분리하여 기하 급수적으로 사이트 보안을 강화합니다. 이것을 확인하십시오 무료 플러그인 목록 2FA를 설정하는 데 도움이됩니다. 귀하의 사이트를 엉망으로 만들려는 해커들은 이미 마음을 바꾸고있을 것입니다.

결론

100 % 안전한 웹 사이트는 없지만 웹 사이트를 보호하기 위해 취할 수있는 많은 단계가 있습니다. 좋은 방화벽을 사용하여 테마와 플러그인을 최신 상태로 유지하고 정기적으로 바이러스 검사를 실행하면 큰 차이가 생길 수 있습니다.

웹 사이트 보안을 영원한 반복 프로세스로 생각하면 도움이 될 수 있습니다. 공식적으로 승인 된 온라인 플레이어조차도 해커와 웹 사이트 수비수 간의 게임이 절대 멈추지 않기 때문에 한 발짝 물러나 “완전”하다고 생각할 때 결코 오지 않아야합니다. 온라인 감시 사업. 최신 위협에 대한 지식과 위협을 막는 방법에 의해서만 사이버 보안 및 온라인 개인 정보를 유지할 수 있습니다.

세상은 이런 식으로해야하는데 너무 나쁘지만 받아들이고 나서야합니다. 이전에 해보지 않았다면 이제 존경받는 사이버 보안 뉴스 사이트를 찾아보십시오. 뉴스 레터를 구독하거나 최소한 정기적으로 방문하십시오. “Google (또는 선택한 검색 엔진)”에서 “cybersecurity news”를 검색하여 시작하십시오.

질문이 있거나 추가 할 팁이 더 있습니까? 의견을 남겨주세요.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me