워드프레스 보안 플러그인 iThemes Security

1

워드프레스 베스트 보안 플러그인“에서 Wordfence Security를 비롯하여 인기 있는 워드프레스용 보안 플러그인을 간략히 소개하고 있습니다.

이 블로그에는 별다른 보안 플러그인이나 스팸 관련 플러그인이 설치되어 있지 않으나 간혹 멀웨어나 해킹 때문에 피해를 입는 사이트를 접하다 보니 보안에 무척 신경이 쓰여지네요. 그래서 iThemes Security라는 플러그인을 설치해보았습니다.

iThemes Security 플러그인

워드프레스 보안 플러그인

iThemes Security는 무료 기능과 유료 기능이 있으며 wordpress.org에서 무료 플러그인을 설치하여 사용할 수 있습니다. 유료 플러그인으 회색으로 표시되고 “PRO”라는 라벨이 붙습니다.

이 플러그인을 설치하면 워드프레스 관리자 페이지(대시보드)에서 왼쪽 패널에 “Security”라는 메뉴가 추가됩니다. “Security”를 클릭하면 다양한 기능을 활성화/비활성화하거나 구성할 수 있습니다.

iThemes Security 워드프레스 보안 플러그인

1) Security Check

권장 기능과 설정을 사용하도록 구성할 수 있습니다.

2) Global Settings(전역 설정)

iThemes Security의 작동 방식을 제어하는 기본적인 설정을 구성합니다. Configure Settings를 클릭하면 다양한 옵션을 설정할 수 있습니다.

3) 404 Detection(404 감지)

404 Detection은 존재하지 않는 많은 페이지에 접속하여 많은 404 오류가 발생하는 사용자를 감시합니다. 404 Detection 기능에서는 짧은 시간에 많은 404 개의 오류가 발생하는 사용자는 무엇인가(아마도 취약성)를 검사하고 있는 것으로 가정하여 이러한 사용자를 차단합니다. 이 기능은 또한 사이트의 보이지 않는 부분에서 404 오류를 발생시키는 숨겨진(드러나지 않는) 문제를 찾는 데에 도움이 되는 추가적인 이점을 제공합니다. 모든 오류는 “View Logs” 페이지에 기록됩니다.

4) Away Mode

대부분의 사이트는 하루 중 특정 시간에만 업데이트되기 때문에 하루 24시간 연중무휴로 WordPress 대시보드에 접근할 필요가 없습니다. 이 옵션을 사용하면 지정된 기간 동안 WordPress 대시보드에 접근하지 못하게 할 수 있습니다. 이 기능을 사용하면 공격자에 대한 노출을 제한할 뿐만 아니라 수업 또는 다른 이유로 일정에 따라 사이트 접근을 비활성화할 수 있어 유용할 수 있습니다.

5) Banned Users

특정 IP 주소와 사용자 에이전트가 사이트에 접속하지 못하도록 차단합니다.

6) Local Brute Force Protection

무차별 대입 공격(Brute Force Protection)으로부터 사이트를 보호합니다.

iThemes Security 워드프레스 보안 플러그인

7) Database Backups

사이트의 DB 백업을 만듭니다. 백업은 수동으로 만들거나 예약에 따라 생성할 수 있습니다.

8) File Change Detection(파일 변경 감지)

예기치 않은 파일 변경을 모니터링합니다.

9) File Permissions

사이트의 주요 영역의 파일과 디렉터리 퍼미션(권한)을 확인할 수 있습니다.

10) Network Brute Force Protection

Local brute force protection은 사이트 액세스 시도만을 감시하여 로컬에서 지정한 차단 규칙에 따라 사용자를 차단합니다. Network brute force protection은 Local brute force protection에서 한 단계 나아가서 다른 사이트에 침입하려고 시도한 사용자가 사이트에 액세스하지 못하도록 차단하는 기능입니다.

11) SSL

브라우저와 서버 간 통신이 안전하도록 SSL 사용을 구성합니다.

12) Strong Password Enforcement

사용자들이 강력한 비밀번호(패스워드)를 사용하고 약한 비밀번호를 사용하지 못하도록 합니다.

iThemes Security 워드프레스 보안 플러그인

13) System Tweaks

사이트에 대한 서버 구성(server config)을 변경하여 보안을 향상하는 고급 기능

14) WordPress Tweaks

기본 워드프레스 행동을 변경하여 보안을 향상시키는 고급 설정

15) WordPress Salts

사이트 보안 향상을 위해 워드프레스가 사용하는 시크릿 키(비밀 키)를 업데이트합니다.

Malware Scan Scheduling(멀웨어 스캔 예약) 등 이외의 기능들은 PRO 버전에서만 사용 가능합니다.

마치며

종합적인 보안 기능을 제공하는 보안 플러그인은 무거우므로 사이트에 부담이 될 수 있습니다. 그런 경우 낮에는 비활성화했다가 밤에만 활성화하는 방법도 생각해볼 수 있을 것 같습니다.

이러한 보안 플러그인 설치 외에 워드프레스 코어 파일/테마/플러그인을 항상 최신 버전으로 유지하고 정기적으로 백업을 실시하면 보안에 도움이 될 수 있고 만약의 사태가 발생하더라도 쉽게 복원할 수 있습니다.

추가:

이 블로그에는 현재 iThemes Security Pro(Blogger 버전)이 설치되어 있습니다. 2단계 인증과 매일 멀웨어를 스캔하는 기능을 제외하면 보통의 경우 무료 버전을 이용해도 괜찮을 것 같습니다.

참고:

*일부 글에 제휴링크가 포함될 수 있습니다.기부를 통해 블로그 운영을 후원하실 수 있습니다.

Related Posts

댓글 1건
  1. Word

    iThemes Security 워드프레스 보안 플러그인의 경우 Logs 섹션에서 다음과 같은 데이터를 확인할 수 있습니다.

    Invalid Login Attempts (잘못된 로그인 시도)
    404 Errors Found (404 오류)
    Malware Scan (멀웨어 스캔)

    자세한 내용은 별도의 글에서 설명했으니 참고해보세요:

    http://www.thewordcracker.com/intermediate/%EC%9B%8C%EB%93%9C%ED%94%84%EB%A0%88%EC%8A%A4%EC%97%90%EC%84%9C-404-%EC%97%90%EB%9F%AC%EB%A5%BC-%EB%B0%9C%EC%83%9D%EC%8B%9C%ED%82%A4%EB%8A%94-%EA%B8%80%ED%8E%98%EC%9D%B4%EC%A7%80-%ED%99%95%EC%9D%B8/