사이트 보안을 처음 접하는 모든 사람은 이 목적을 위해 어떤 플러그인을 설치하고 구성할지 생각합니다.
선택은 작지 않습니다. 플러그인 검색 필드에 "보안"을 입력하면 결과가 상당히 길어집니다.
어쨌든 가장 인기 있고 적극적으로 유지 관리되며 가장 높은 평가를 받을 가치가 있는 제품을 계속 사용할 가치가 있습니다.
이 리뷰에서는 4개의 WordPress 보안 플러그인을 설치하고 일반 사용자에게 가장 적합한 플러그인을 찾기로 결정했습니다.
처음 세 개는 프리미엄 기능도 제공하지만 리뷰에는 포함하지 않겠습니다.
아마도 당신이 없이는 살 수 없거나 무료 대안으로 대체할 수 없는 그러한 기능은 프로에 없을 것입니다.
이것은 아니라는 점에 유의하십시오 자세한 개요모든 기능, 코드 속도 또는 요구 사항. 이것은 보안 설정의 기본 기능과 작업 수준에 대한 분석입니다.
로그인 시도 제한
- 워드펜스 보안
인증 보호를 활성화하는 옵션이 호출됩니다. 로그인 보안 활성화. 불행히도 플러그인은 러시아어로 번역되지 않습니다.
페이지 하단에는 로그인 시도 횟수, 계정 시도 시간, 차단 시간 및 기타 여러 옵션과 같은 설정 블록이 있습니다.
- iThemes 보안
로그인 보호 모듈은 섹션에 있습니다. 로컬 무차별 대입 보호. 이 플러그인의 사용자는 러시아어 현지화에 조금 더 운이 좋습니다.
바로 아래에서 네트워크 보호 모듈을 활성화할 수 있습니다. 네트워크 무차별 대입 방지. 이렇게 하려면 API 키를 요청해야 하며 이미 다른 사람의 사이트를 해킹하려고 시도한 주소가 차단 목록에 자동으로 포함됩니다.
- 방패 보안
로그인 보호가 탭에 있습니다. 로그인 보호. 러시아어로 된 번역이 있으며 일반적으로 매우 쾌적하고 논리적인 인터페이스에 주목하고 싶습니다.
여기에서 reCAPTCHA를 사용하고 이중 인증을 설정하고 로그인 페이지의 이름을 wp-login.php로 바꾸고 Yubikey에 연결할 수도 있습니다.
- 올인원 WP 보안
무차별 대입으로부터 보호하기 위한 설정 블록은 페이지에 있습니다. 사용자 로그인. 준비된 번역이 없습니다. 옵션은 다른 플러그인의 유사한 모듈과 유사합니다.
인접한 탭에서 이벤트 로그를 볼 수 있습니다.
방화벽
- 워드펜스
방화벽은 WordFence 플러그인의 주요 기능 모듈 중 하나입니다. 기본 및 확장의 두 가지 모드가 있습니다. 후자를 사용하면 WordPress가 시작되기 전에도 일부 공격을 차단할 수 있지만 서버 설정에 대한 더 깊은 이해가 필요합니다.
무료(커뮤니티) 버전에서 차단 규칙은 프로에 추가된 후 30일 후에 업데이트됩니다.
- iThemes 보안
이 플러그인에는 방화벽이 없습니다. A는 서비스 이용을 위해 iThemes를 추천합니다. Sucuri 웹사이트 방화벽(유료).
- 방패 보안
이 플러그인의 설정에서 혼동되지 않을 것입니다. 방화벽 탭은 눈에 잘 띄는 위치에 있습니다. 일반적으로 모든 옵션을 활성화하는 것이 좋습니다.
- 올인원 WP 보안
기능이 탭으로 나누어져 있기 때문에 차단 페이지가 방대해 보입니다. 그 장소는 도움과 보호 수준 아이콘으로 채워져 있습니다(후자가 필요한 이유가 있음). 몇 가지 옵션이 있으며 필요에 따라 켤 수 있습니다.
변경 및 작업 로그
- 워드펜스
페이지에서 자동 스캔을 활성화할 수 있습니다. 옵션단계적으로 자동 예약 검사 활성화, 이메일 바로 아래에 표시하는 것을 잊지 마십시오( 알림을 이메일로 보낼 곳).
Wordfence는 스캔 대상, 보고서 전송 방법 및 시기에 대한 많은 제어를 제공합니다.
- iThemes 보안
모니터 기능은 블록에 있습니다. 파일 변경 감지.
스캔은 부분적으로 발생합니다. 특정 파일, 폴더 또는 파일 형식을 제외할 수 있습니다.
탭에서 기본 설정호스트 또는 사용자가 차단될 때 알림을 활성화하고 구성할 수도 있습니다.
- 방패 보안
변경 검색 및 활동 로그는 다음 두 섹션으로 구성할 수 있습니다. 해킹 방지그리고 감사 추적.
첫 번째 모듈은 인식할 수 없는 파일에 대한 스캐너뿐만 아니라 파일의 무결성을 검사하고 수정하도록 구성됩니다.
감사 추적 모듈은 WordPress의 다양한 이벤트(플러그인 및 테마 관련 활동, 사용자 계정의 작업, 게시물 편집 및 게시 등)를 추적하고 보고서를 보냅니다.
- 올인원 WP 보안
변경 추적 모듈이 페이지에 있습니다. 스캐너. 여기에서 수동으로 스캔하거나 일정을 설정할 수 있습니다.
결론적으로 변경 사항을 모니터링하고 작업을 로깅하는 데 두 명의 승자가 있습니다. 워드펜스그리고 방패 보안. 작업에 따라.
파일 시스템 스캔은 다소 집중적인 프로세스이므로 현명하게 활성화하고 구성해야 합니다.
호스트 차단
- 워드펜스
Wordfence는 사용자를 차단할 수 있는 유연한 도구를 제공합니다.
차단이 발생하는 여러 조건을 설정할 수 있습니다.
IP를 수동으로 차단할 수 있습니다. 또는 블록 범위, 사용자 에이전트 등의 고급 방법을 사용합니다. 국가 차단 기능은 프리미엄 버전에서 사용할 수 있습니다.
- iThemes 보안
기능은 탭에 있습니다. 차단된 사용자. HackRepair.com 사이트에서 차단 목록을 활성화하고 개별 호스트 또는 사용자 에이전트에 대한 액세스를 거부할 수 있습니다.
- 방패 보안
목록을 작성 중입니다. 자동으로, 설정 및 활성화는 모듈에서 찾을 수 있습니다. IP 관리자. 수동 추가가 없습니다.
- 올인원 WP 보안
페이지에서 사용자 IP 및 사용자 에이전트를 수동으로 차단할 수 있습니다. 블랙리스트 관리자.
차단 승자를 호출 할 수 있습니다 워드펜스차단 조건을 구성할 수 있는 유연성을 위해 방패 보안전적으로 의존하는 데 동의하는 경우 자동 시스템자물쇠.
최종 플러그인 비교
일반적인 기본 기능만 고려됩니다. 물론 각 보호 플러그인에는 여러 가지 고유한 기능이 있습니다. 스팸 방지, 데이터베이스 백업, 사용자 설정, 파일 및 디렉터리 권한, 불필요한 기능 비활성화 등 그러나 이것들은 부차적이거나 구현될 수 있습니다. 대체 솔루션더 유연하고 집중할 수 있습니다.
나의 전반적인 평가는 다음 모듈의 기능과 유용성에서 비롯됩니다.
- 입국 보호;
변경 추적/감사
호스트 차단;
최고의 WordPress 보안 플러그인 검토가 확실히 주도합니다 워드펜스. 인터페이스가 언뜻 보기에는 혼란스러워 보일 수 있지만. 공식 웹사이트에는 좋은 문서(영문)가 있습니다.
리뷰 매우 만족합니다 방패 보안, 확실히 덜 훈련되었거나 보안 설정의 모든 복잡성을 탐구하고 싶지 않은 사용자를 대상으로 하는 러시아화되고 명확한 인터페이스.
나머지 두 플러그인 중에서 나는 확실히 선호할 것입니다. iThemes 보안, 더 논리적이고 깨끗한 인터페이스를 위해서만.
올인원 WP 보안나는 나쁜 플러그인을 호출할 수 없습니다, 그것은 그것의 일을 합니다. 그러나 그는 이 4가지의 리더도 아니다. 이것은 확장 가능한 프리미엄 기능이 있는 플러그인이 시장 요구 사항을 더 많이 준수하려고 한다는 지표일 뿐이며 이는 물론 무료 버전에도 영향을 미칩니다.
이러한 모든 플러그인의 기능은 모듈식입니다. 필요한 경우 함께 작동하도록 구성할 수도 있습니다. 글쎄, 초과를 제거하거나 필요한 것만 남겨 두십시오.
현명하게 수행한다면 사이트의 목적, 기술적 구현 및 운영 조건에 따라 보안 및 해당 설정에 개별적으로 접근해야 합니다.
안녕하세요 여러분! 안전과 더 많은 안전! 이전에 내 블로그의 "" 기사를 읽었다면 사이트에 대한 추가 보안에 관심이 있을 것입니다. 그리고 일반적으로 적절한 웹마스터는 그의 자손을 사랑하고 보호해야 합니다. 이 기사에서는 All In One WP Security 플러그인의 모든 옵션에 대해 이야기하고 올바르게 구성하는 방법을 보여줍니다.
중요한
내 블로그에는 일련의 수업 ""이 있습니다. 이 강의의 권장 사항을 고려하여 사이트의 보안을 구성한 경우 올인원 WP 보안 플러그인은 다른 보호 플러그인의 기능을 복제합니다. 예를 들어, 기능:
- 잘못된 로그인 시도 후 IP 차단
- 댓글의 보안문자
- 관리자 패널에서 로그인 페이지 변경 등
따라서 플러그인을 설치하지 말고 모든 것을 그대로 두거나 All In One WP Security 플러그인을 구성할 때 보호 기능을 주의 깊게 분석하여 이미 기능에 중복되지 않도록 합니다. 설치된 플러그인. 그리고 중복이 보이면 모든 올인원 WP 보안 설정이 올바르게 작동하도록 중복 플러그인을 비활성화하십시오.
DIY 블로깅 과정에서 코드 통합, 별도의 플러그인 등을 통해 WordPress 보안 구성을 권장하는 이유가 무엇입니까? 대안에 관한 것입니다. 그건 그렇고, 로딩 속도와 사이트의 전반적인 성능을 측정할 때 All In One WP Security 플러그인에서 13과의 세 부분과 관련된 모든 권장 사항 사이에 차이를 발견하지 못했습니다. 내 말을 믿지 않고 "무거운 플러그인"을 우회하여 계속해서 코드를 엔진에 통합할 개인이 있습니다.
플러그인 설치
시작하겠습니다. 먼저 올인원 WP 보안 플러그인을 설치하고 활성화합니다.
그 후 플러그인 메뉴가 사이트의 관리 패널에 나타납니다.
마우스 커서로 마우스를 가져가면 상황에 맞는 메뉴가 나타납니다.
제어판
먼저 제어판에 익숙해지고 관리 패널에서 플러그인 메뉴 항목을 클릭해야 하는 곳으로 이동하거나 "WP 보안" 위로 마우스를 가져간 다음 "제어판"을 클릭하는 것이 좋습니다. 다음으로 5개의 탭이 표시됩니다.
제어판 탭
처음에는 "제어판" 탭에 있습니다. 여기에서 블록을 볼 수 있습니다.
- 활성 세션
- 유지 관리 모드
- 최근 5회 로그인
- 차단된 IP 주소
보안 수준 측정기
이 블록은 모든 플러그인 설정을 기반으로 하는 현재 보안 수준을 표시합니다.
특정 설정을 활성화한 후 추가되는 포인트 단위로 측정됩니다. 현재 보안 점수가 높을수록 좋습니다. 그러나 보안 수준을 최대값인 505포인트(이 글을 쓰는 시점의 플러그인 버전 버전 4.3.2)까지 높이는 데는 성공하지 못했습니다. 이것은 내가 포함하지 않은 내 블로그의 불필요한 기능 때문입니다.
사이트 보안 다이어그램
이 차트는 설정의 모든 현재 변경 사항을 표시합니다.
이것은 설정 상태를 빠르게 탐색할 수 있는 일종의 통계입니다.
"활성 세션" 차단
이 블록은 사이트의 관리 패널에서 현재 세션에 대한 정보를 표시합니다.
일반적으로 차단에는 "당신을 제외한 활성 사용자가 없습니다."라는 알림이 표시됩니다. 물론 사이트 관리자 패널에서 작업할 수 있는 권한이 있는 다른 계정이 없고 실제로 이 블록에 알 수 없는 계정이 표시되면 이것은 해커입니다.
유지 관리 모드
매우 편리한 기능:
.htaccess를 통해 이전에 생성된 페이지로 리디렉션하여 유지 관리 모드를 활성화할 수 있다고 주장하지는 않지만 플러그인에는 이미 이 옵션이 있으므로 예를 들어 사이트 유지 관리 중에 삶이 훨씬 쉬워집니다. 또한 원하는 대로 서비스 페이지를 사용자 지정할 수 있습니다. 서비스 모드를 설정하고 켜려면 "켜기 / 끄기" 버튼을 클릭하십시오. 그런 다음 유지 관리 모드 설정 페이지로 이동합니다. 모드를 활성화하려면 "유지 관리 모드 활성화" 확인란을 선택하고 설정을 저장하십시오. 또한 표시된 텍스트를 사용자 정의하고 이미지를 삽입하는 등의 작업을 수행할 수 있습니다. 그리고 이것은 "메시지 입력" 블록에서 변경할 수 있습니다.
이 블록에는 사이트의 관리 영역에 입력한 날짜와 마지막 5개의 IP 주소에 대한 정보가 포함되어 있습니다.
이 정보는 보안 목적뿐만 아니라 다른 계정의 세션 추적에도 유용합니다.
차단된 IP 주소
이 블록은 All In One WP Security 플러그인에 의해 또는 사용자가 수동으로 차단한 IP 주소를 표시합니다.
스크린샷에는 항목이 없지만 IP 주소를 차단하는 경우 항목이 나타납니다.
가장 중요한 기능의 현재 상태
이 블록에서 중요한 보안 조치의 상태를 볼 수 있습니다.
보시다시피 모든 슬라이더는 처음에 "OFF" 위치에 있습니다. 귀하의 사이트를 보호하기 위해 최소 권장 사항이 구현되는 방법을 알리고 보여주기 위해 평범한 "관리자" 로그인으로 조건을 특별히 만들었습니다.
관리자
"관리자" 설정 항목은 사이트 관리자의 계정을 제어하는 역할을 합니다. 여기에 다음 탭이 표시됩니다.
WP 사용자 정의 이름
첫 번째 탭 "WP 사용자 지정 이름"에는 관리자 목록이 표시됩니다. 또한 여기에서 손상될 수 있는 로그인에 대한 경고를 볼 수 있습니다.
보시다시피 플러그인은 "admin" 로그인이 안전하지 않은 것으로 간주하고 이름을 바꿀 것을 제안합니다. 그걸하자. 로그인을 변경하려면 빈 필드 "새 관리자 사용자 이름"에 새 이름을 입력하십시오(예: "wpadmin"). 그런 다음 "사용자 이름 변경"을 클릭하십시오. 그런 다음 새 관리자 이름으로 로그인할 수 있도록 시스템이 자동으로 계정에서 로그아웃합니다. 그런 다음 "WP 사용자 지정 이름" 탭으로 돌아갑니다.
이제 "관리자의 사용자 이름 변경" 블록, 즉 다음 사항에 주의하십시오.
축하합니다. 기본 WordPress 보안 권장 사항 하나를 완료하여 15점 만점에 15점을 받았습니다.
숙련된 웹마스터는 표준 기능으로 관리자 이름을 변경할 수 없다는 것을 잘 알고 있지만 All In One WP Security 플러그인을 사용하면 변경할 수 있습니다. WordPress 보안 구성 자습서의 첫 번째 부분을 읽은 사람은 새 이름으로 관리자 계정을 만들고 이전 계정의 메일을 이 계정에 연결할 때 직면할 수 있는 어려움을 알고 있습니다.
비밀번호
이제 "비밀번호" 탭을 살펴보겠습니다. "암호 안전성 확인" 블록에서 다음을 입력할 수 있습니다. 현재 비밀번호다음 정보를 얻으십시오.
보시다시피, 일반 컴퓨터에서 시작된 암호 추측 봇은 플러그인 보호를 우회하더라도 매우 오랜 시간 동안 이러한 암호를 선택합니다.
이름 표시하기
표시 이름 탭을 건너뛴 이유가 궁금할 것입니다. 간식으로 남겼습니다. 이 항목의 유용성은 매우 새로운 WordPress 사용자를 위해 설계되었습니다. 여기에서 각 설정 메뉴에서와 같이 포인트 수를 볼 수 있습니다. 닉네임이 관리자의 로그인과 일치하면 경고가 표시됩니다.
관리자 로그인을 클릭하거나 관리 패널 메뉴의 "사용자" 위로 마우스를 가져가 "내 프로필" 항목을 클릭하여 닉네임을 변경할 수 있습니다. 블로그 만들기 과정을 수강하지 않았다면 먼저 "닉네임(필수)" 필드에 기사 작성자로 보이는 이름을 입력하세요. 이 이름은 관리자 로그인과 일치하지 않습니다. 그런 다음 "다음으로 표시" 드롭다운 목록에서 이전에 입력한 닉네임을 선택합니다. 그 후 저장합니다. 이제 올인원 WP 보안 플러그인의 "관리자" 설정 메뉴를 방문하면 "표시 이름" 탭에 다음이 표시됩니다.
설정
일반 설정
기본적으로 " 일반 설정". 여기에서 다음과 같은 유용한 기능을 사용할 수 있습니다.
- 데이터베이스 백업 생성
- .htaccess 파일 백업
- wp-config.php 파일 백업
All In One WP Security의 보안 기능과 모든 방화벽 기능을 활성화 또는 비활성화하는 옵션도 있습니다. 플러그인 설정을 변경하기 전에 항상 옵션에 대한 설명을 읽으라고 조언합니다. 예를 들면 다음과 같습니다.
.htaccess 및 wp-config.php
".htaccess 파일" 및 "wp-config.php 파일" 탭을 확인하십시오. 이 탭의 설정에서 생성하고 복원할 수 있습니다. 지원, .htacces 및 wp-config.php를 추측했습니다. 이것은 매우 편리하며 FTP 클라이언트가 필요하지 않습니다.
WP 버전 정보
저에게 더 흥미로운 탭은 다음 탭인 "WP 버전 정보"입니다. 모르시는 분들을 위해 설명드리겠습니다. 워드프레스는 콘텐츠 속성이 있는 메타 태그를 생성하며, 이 메타 태그에는 값이 있습니다. 현재 버전사이트 엔진. 위험해, 극도로 위험해! 따라서 "WP Generator 메타 데이터 제거" 섹션에서 "모든 페이지에서 WP가 생성한 버전 및 메타 정보를 제거하려면 이 옵션을 선택하십시오" 옆의 확인란을 선택하고 "설정 저장"을 클릭하십시오.
수입 수출
가져오기/내보내기 탭은 말하자면 설정 템플릿을 만드는 역할을 합니다. 프로젝트 중 하나에 올인원 WP 보안 플러그인을 설정하여 설정을 다른 사이트로 전송할 수 있습니다. 이것은 플러그인을 구성하고 설정을 내보냈는데 갑자기 사이트 백업을 복원해야 하는 경우에도 매우 편리합니다.
고급 설정
마지막 탭 "고급 설정"은 각 방문자의 IP 주소에 대한 데이터를 얻는 방법을 담당합니다. PHP에 대해 상당히 좋은 수준에서 익숙하지 않고 $ _SERVER 슈퍼글로벌 배열로 인해 눈동자가 커진 경우 이 탭에 접근하지 마시기 바랍니다.
권한 부여
All In One WP Security 플러그인 설정의 이 항목에는 다음 탭이 표시됩니다.
승인 차단
이 탭에 대한 설명에서 무차별 대입 공격에 대한 개발자의 지침을 이미 읽었을 것입니다. 다음으로 블록 옆에 있는 옵션을 선택해야 합니다.
- 승인 시도를 차단하는 옵션 사용
- 차단 해제 요청 허용(자신을 차단한 경우)
- 인증 오류 메시지 표시(자신을 차단하지 않을 가능성 증가)
- 이메일로 알림(실패한 로그인 시도를 항상 인식하여 가능한 해킹 시도에 즉시 대응할 수 있음)
글로벌 블록 "일시적으로 차단된 IP 주소 범위"로 이동합니다. 여기에서 "잠긴 IP 주소"를 클릭하여 차단된 주소의 통계로 이동할 수 있습니다.
"로그인 잠금 IP 화이트리스트 설정" 블록에서 차단 설정이 적용되지 않을 화이트 IP 주소 목록(예: 컴퓨터 주소)을 구성할 수 있습니다. 이렇게 하려면 "Enable Login Lockdown IP Whitelist" 블록에서 확인란을 선택하여 설정을 활성화하고 "Enter IP address for the white list" 블록에 IP 주소를 입력합니다. 아래에 저장하는 것을 잊지 마십시오. 그러나 화이트리스트를 설정하는 것은 권장하지 않습니다. 공격자는 귀하의 IP 주소를 스푸핑할 수 있습니다.
로그인 시도 실패
계속 진행합니다. "잘못된 인증 시도" 탭에 실패한 인증 시도가 나열됩니다. 이 정보는 로그인 시도 분석 측면에서 매우 유용합니다. 이러한 통계에 관심이 있는 사용자는 CSV 파일로 내보낼 수 있습니다.
사용자 자동 로그아웃
"사용자 자동 로그아웃" 탭은 나머지 설정보다 중요하지 않습니다. 여기에서 지정된 비활성 시간(예: 60분) 후에 관리자 패널 사용자의 로그아웃을 활성화할 수 있습니다.
계정 활동 로그
다음으로 "계정 활동 로그"로 이동하십시오. 여기에서 특정 사용자의 로그인 및 로그아웃 시간을 볼 수 있습니다. 모든 계정에 대해 50개의 레코드만 저장됩니다. 다음과 같은 정보는 활동 분석에 유용합니다.
이 데이터를 CSV 파일로 내보낼 수도 있습니다.
활성 세션
에 마지막 탭"활성 세션"은 사이트의 관리자 부분에 로그인한 실시간 계정을 표시합니다.
사용자 등록
99%의 경우 올인원 WP 보안 플러그인에서 블로그에 대한 "사용자 등록" 설정이 누락되었습니다. 그러나 다음 탭의 옵션에 대해 계속 이야기하겠습니다.
수동 확인
사이트에서 등록을 제공하고 사용자가 남긴 스팸 양이 너무 많은 경우 "수동 확인" 탭에서 새 사용자의 수동 승인을 활성화해야 합니다. 이렇게 하면 사용자 등록을 수동으로 확인할 때까지 권한 부여에 대한 액세스를 닫을 수 있습니다. 기본적으로 무엇을 합니까? 실습에서 알 수 있듯이 내 프로젝트 중 하나에는 처음에 유형별로 메일을 등록하는 개인이 있습니다. [이메일 보호됨], [이메일 보호됨], [이메일 보호됨]등. 유사한 메일이 사용되는 동안 신규 등록, 특정인의 첫 번째 계정을 차단한 후. 그리고 최근에 비슷한 스패머의 메일이 눈에 띄면 등록을 금지하겠습니다. 결과적으로 스패머는 스팸을 남길 시간이 없었음에도 불구하고 로그인하여 동일한 메일을 다시 사용하여 등록할 수 없습니다.
따라서 등록 직후 사용자에 대한 추가 조정이 필요한 경우 "새 등록 수동 승인 활성화" 블록의 확인란을 선택하고 설정을 저장해야 합니다.
등록 시 보안 문자
다음 탭 "등록 시 보안 문자"는 사용자 등록 페이지에 보안 문자를 추가합니다. 보안 문자는 "등록 페이지에서 보안 문자 활성화" 상자를 선택하여 활성화할 수 있습니다. 이 기능이 필요하고 유용하다고 생각합니다. 물론 신규 사용자 등록을 위해 제공한 경우입니다.
등록 허니팟
"등록 허니팟" 탭은 매우 유용한 기능정교한 등록 봇을 차단합니다. "등록 페이지에서 허니팟 활성화" 블록에서 이 옵션을 활성화하는 것이 좋습니다. 구하다.
데이터베이스 보호
데이터베이스 보호 설정 그룹은 두 개의 탭으로 구성됩니다.
첫 번째 탭 "DB 테이블 접두사"의 설정에 매우 주의하십시오. "DB 백업" 탭에서 데이터베이스의 백업 복사본을 즉시 생성해야 합니다.
데이터베이스 백업
"DB 백업" 탭을 살펴보겠습니다. 데이터베이스 백업을 생성하려면 "지금 데이터베이스 백업" 버튼을 클릭하십시오. 백업을 성공적으로 생성하면 다음 정보가 표시됩니다.
스크린샷은 내 데이터베이스의 위치를 보여줍니다. 당신은 당신의 자신의 주소를 갖게 될 것입니다.
또한 이 탭에서 데이터베이스 복사본의 정기적 생성을 구성할 수 있습니다. 이렇게 하려면 "활성화 자동 생성백업". 또한 사본을 생성하는 빈도, 서버에 저장할 사본의 수 및 메일로 사본을 보낼 수 있도록 구성할 수 있습니다. 저장하는 것을 잊지 말자.
DB 테이블 접두사
"DB 테이블 접두사" 탭으로 돌아갑니다. 데이터베이스 접두사를 변경하지 않은 경우 값은 "wp_"입니다. 다음과 같은 경고가 표시됩니다.
데이터베이스의 모든 테이블에 다른 접두사를 지정하려면 "새 데이터베이스 테이블 접두사 생성" 블록 필드에 지정해야 합니다. 그런 다음 "테이블 접두사 변경"을 클릭하십시오. 접두사가 무엇인지 잘 모르는 경우 "플러그인 자체에서 길이가 임의의 6자인 접두사를 생성하도록 확인" 옆의 확인란과 "직접 입력하세요. 라틴 문자, 숫자 및 밑줄을 사용하는 접두사 버전"은 비워 둡니다.
파일 시스템 보호
이제 올인원 WP 보안 플러그인의 "파일 시스템 보호" 설정을 살펴보겠습니다. 이 설정 항목은 4개의 탭으로 구성됩니다.
파일 액세스
기본적으로 "파일 액세스" 탭에 있습니다. 서버의 특정 폴더에 어떤 CHMOD(권한)를 설치할지 확실하지 않은 경우 All In One WP Security 플러그인이 모든 것을 해결해 드립니다. 이 탭의 표에 주의하십시오. 플러그인에 현재 권한에 대한 설명이 있는 경우 "권장 조치" 열에 "권장 권한 설정"이라는 문구가 표시됩니다.
의견이 없으면 "조치가 필요하지 않습니다."라는 비문이 표시됩니다. 권장 CHMOD 설정을 적용하려면 권장 권한 설정을 클릭하십시오.
PHP 파일 편집
이 탭은 관리 환경에서 PHP 파일 편집을 금지합니다. "PHP 파일 편집 기능 비활성화" 확인란을 선택하는 것이 좋습니다.
WP 파일에 대한 액세스
보통 워드프레스 설치 직후 readme.html, wp-config-sample.php 등의 파일을 삭제합니다. 그러나 동일한 구성 파일의 샘플이 초보자를 구하는 경우가 있습니다. 따라서 '워드프레스 설치 시 기본적으로 생성되는 정보 파일 접근 금지' 체크박스를 선택하는 것을 권장합니다.
시스템 로그
이 탭은 숙련된 웹마스터를 위해 설계되었습니다. 그렇지 않으면 사이트의 오류 로그를 보면 문제의 본질을 파악할 수 없습니다.
WHOIS 조회
내 겸손한 생각에 이것은 차단된 사용자에 대한 최소한의 정보를 얻기 위한 훌륭한 도구입니다. 당연히 WHOIS 사이트를 사용할 수 있지만 All In One WP Security 플러그인에 WHOIS 조회가 있는 경우 이유가 있습니다.
블랙리스트
All In One WP Security 플러그인을 사용하면 IP 주소뿐만 아니라 사용자 에이전트로도 차단할 수 있습니다. 사용자 에이전트는 검색 엔진의 다양한 스파이더/봇, 다양한 분석 서비스 등으로 간주될 수 있습니다. 과도한 부하서버에. 이 설정은 예를 들어 Google 봇이 사이트를 크롤링하는 것을 원하지 않는 경우에도 유용합니다. "블랙리스트" 항목에 지정된 모든 설정이 .htaccess에 추가됩니다.
방화벽
방화벽 설정은 7개의 탭으로 구성됩니다.
그럼 순서대로 시작하겠습니다.
올인원 WP 보안 플러그인을 사용하여 .htaccess 파일을 조정하기 전에 .htaccess를 백업해야 합니다.
기본 방화벽 규칙
예를 들어 소셜 네트워크에 플러그인 자동 게시를 사용하지 않는 경우 모든 곳에서 확인란을 안전하게 선택하고 이 탭의 설정을 저장할 수 있습니다. 그러나 다음 항목만 포함하는 것이 좋습니다.
- 기본 방화벽 기능 활성화
- XMLRPC에서 핑백 기능 비활성화
- debug.log 파일에 대한 액세스 차단
첫 번째 설정으로 모든 것이 명확하다고 생각하지만 다음 두 가지 옵션은 필수입니다. "XMLRPC에서 핑백 기능 비활성화"는 예를 들어 통계 서비스의 핑백 요청을 비활성화하지만 서비스에 대한 요청은 허용된 상태로 둡니다. "debug.log 파일에 대한 액세스 차단" 옵션은 민감한 서비스 정보를 포함할 수 있는 디버그 파일에 대한 액세스를 비활성화합니다.
추가 방화벽 규칙
이 탭에서 "디렉토리 탐색 기능 비활성화"를 제외한 모든 설정을 활성화하는 것이 좋습니다. 사실 탐색 디렉토리에 대한 금지는 "AllowOverride" 지시문에 의해 설정됩니다 구성 파일서버의 httpd.conf. VPS, VDS, 임대 또는 자체 서버가 있는 경우에만 이러한 설정을 할 수 있습니다. 그렇지 않으면 이 설정을 선택하지 않은 상태로 두십시오.
"+ 더보기"를 클릭하면 각 설정이 필요한 이유를 알 수 있습니다.
기본적으로 All In One WP Security 플러그인에서 제공하는 거의 모든 방화벽 설정은 WordPress를 안전하게 유지하는 데 필요합니다.
6G 블랙리스트 방화벽 규칙
6G 방화벽은 이동통신과 아무 관련이 없습니다. 이 방화벽은 악성 URL 요청 호스트, 악성 봇, 참조 스팸 및 기타 공격으로부터 보호합니다. 6세대 방화벽 규칙을 활성화하면 물론 서버의 부하가 크게 줄어듭니다. 유사한 요청할 것이다. 6G 및 5G 보호를 활성화하는 것이 좋습니다.
인터넷 봇
인터넷 봇 탭은 googlebot으로 가장하는 악성 봇을 차단합니다. "가짜 Googlebot 차단" 옵션을 활성화하는 것이 좋습니다. 다른 크롤러는 차단되지 않습니다.
핫링크 방지
"핫링크 방지" 탭 옵션을 활성화해야 합니다. 옵션을 활성화하고 저장합니다. 이렇게 하면 이미지에 대한 링크가 사이트 외부에 있는 경우 서버의 부하가 줄어듭니다. 이것은 소셜 네트워크 및 기타 장소에 자동으로 게시하는 데 영향을 미치지 않습니다.
탐지 404
끝에서 두 번째 탭인 "Detection 404"도 활성화해야 합니다. "404 IP 감지 및 잠금 활성화" 옵션을 활성화합니다. 이 설정은 짧은 시간 동안 존재하지 않는 페이지에 대한 많은 요청이 있는 IP 주소를 차단하는 역할을 합니다. 대부분의 경우 이는 다음을 나타냅니다. 해커 공격, 취약한 페이지를 찾고 있습니다. 공격자의 IP 주소가 금지되는 시간을 선택적으로 변경할 수도 있습니다. "404 오류 리디렉션 URL" 블록에는 원칙적으로 사이트의 메인 미러 주소가 자동으로 기록됩니다. 이 주소를 변경하지 않는 것이 좋습니다. 그리고 "오류 로그 404" 테이블에서 존재하지 않는 페이지 방문에 대한 데이터를 표시합니다. 로그는 CSV 파일로 업로드할 수 있습니다.
사용자 정의 규칙
마지막 탭 "사용자 지정 규칙"에는 .htaccess 파일에 사용자 지정 규칙을 추가하는 기능이 있습니다. .htaccess 설정이 어떻게 작동하는지 이해하지 않고는 아무것도 만들지 말라고 조언합니다. 그렇지 않으면 사이트가 작동하지 않을 수 있습니다.
무차별 대입 공격에 대한 보호
무차별 대입 공격은 암호를 무차별 대입하고 올바른 옵션을 찾을 때까지 로그인을 목표로 하는 공격입니다. 이 설정 그룹에는 5개의 탭이 있습니다. 첫 번째 탭부터 시작하겠습니다.
로그인 페이지 이름 바꾸기
"로그인 페이지 이름 바꾸기" 탭에는 첫 번째 "로그인 페이지 이름 바꾸기 옵션 활성화"에서 확인란을 선택하고 두 번째 "로그인 페이지의 주소(URL)"에서 주소를 지정해야 하는 두 개의 매개변수가 포함되어 있습니다. 관리 영역으로 들어갑니다. 로그인 페이지의 URL은 기본 wp-admin과 달라야 합니다(예: thisismysite). 관리자 로그인 주소를 저장하고 기억하는 것을 잊지 마십시오. 내 예에서는 mysite.ru/thisismysite가 됩니다. 여기서 mysite.ru는 사이트 주소입니다.
쿠키를 사용한 무차별 대입 보호
"쿠키를 사용한 무차별 대입 공격에 대한 보호" 탭으로 이동합니다. 비밀번호로 보호된 페이지가 있는 경우 "내 사이트에 내장된 WordPress 콘텐츠 비밀번호 보호 기능에 의해 닫힌 게시물 또는 페이지가 있습니다" 옵션을 활성화할 수 있습니다. 이 페이지가 있습니다. "이 사이트에는 AJAX를 사용하는 테마 또는 플러그인이 있습니다" 옵션과 관련하여 대부분의 최신 테마 및 플러그인은 AJAX 기술을 사용합니다. 따라서 이 옵션을 활성화하는 것이 좋습니다. All In One WP Security 플러그인으로 IP 주소를 차단하지 않으려면 "무차별 대입 공격에 대한 보호 활성화" 설정을 활성화하지 않는 것이 좋습니다. 사실은 액세스 키를 사용하여 플러그인 쿠키를 잊어버리고 지울 수 있다는 것입니다. 그리고 피할 수 있었던 문제를 해결하지 않으려면 이 옵션을 선택하지 않는 것이 좋습니다. 특히 플러그인 자체가 경고하고 두 번째 시도에서만 이러한 설정을 활성화할 수 있기 때문입니다.
로그인 보안문자
로그인 CAPTCHA 탭에는 유용한 기능이 포함되어 있습니다. 추가 보호로그인 및 비밀번호 복구 페이지. 확인란을 반대로 설정하는 것이 좋습니다.
- 로그인 페이지에서 보안문자 활성화
- 수정된 로그인 페이지에서 CAPTCHA 양식 활성화
- "페이지에서 보안 문자를 활성화하십시오. 비밀번호 분실»
"Woocommerce Forms Captcha Settings" 블록에서 체크박스는 "Woocommerce" 온라인 스토어용 플러그인을 사용할 때만 설정됩니다.
로그인 허용 목록
계속해서 "로그인 허용 목록" 탭으로 이동합니다. 이 매개변수는 추가 방어선 역할을 하여 화이트리스트에 없는 모든 IP 주소의 로그인 페이지에 대한 액세스를 차단합니다. 원하는 경우 이 옵션을 설정할 수 있습니다. 하지만, 그리고 또! 동적 IP 주소가 있거나 관리자 패널로 긴급히 이동해야 하는 경우(예: 휴대폰 번호, 공급자가 다른 IP 주소를 할당하면 문제가 발생합니다.
꿀 통(Honeypot)
"무차별 대입 공격에 대한 보호" 설정 그룹의 마지막 탭 "허니팟"은 인증 필드를 채우려는 로봇을 차단하는 역할을 합니다. 일반적으로 로봇은 모든 필드를 자동으로 채우고 "꿀이 든 배럴" 옵션은 봇이 자동으로 채우는 사용자의 눈에 보이지 않는 필드를 봇에 제공합니다. 이런 일이 발생하면 All In One WP Security 플러그인이 자동으로 봇을 차단합니다. "로그인 페이지에서 허니팟 활성화" 옵션을 활성화하는 것이 좋습니다.
스팸 방지
다음 설정 그룹 "스팸으로부터 보호"로 이동하겠습니다. 이제 우리는 4개의 탭을 고려하지 않을 것입니다.
댓글의 스팸
- 댓글 양식에서 CAPTCHA 활성화
- 스팸 봇의 댓글 차단
댓글 스팸에 대한 IP 주소 추적
통계 "댓글 스팸에 대한 IP 주소 추적"에 대한 또 다른 탭. 의심할 여지 없이 이 탭의 옵션은 장점을 제공합니다. "스팸 댓글에 IP 주소 자동 차단 활성화" 항목 옆에 있는 확인란을 선택하는 것이 좋습니다. 구하다.
그런 다음 "SPAM으로 간주되는 최소 댓글 수" 필드에서 값을 5로 설정합니다. 댓글 필터링을 담당하는 "스패머의 IP 주소 목록" 블록에 주의하십시오. 스팸을 한 번 이상 받은 IP 주소를 찾아야 하는 경우 값을 "1"로 설정하고 "IP 주소 찾기"를 클릭합니다. 그리고 예를 들어 3번이면 값은 "3" 등입니다. 나는 당신이 요점을 파악했다고 생각합니다. 결과는 "스패머 IP 주소 목록" 표에 표시됩니다.
버디프레스와 BB프레스
"BuddyPress" 및 "BBPress" 탭의 등록 양식에서 보안 문자를 활성화할 수 있습니다. BuddyPress와 BBPress는 플러그인입니다. BuddyPress는 WordPress로 구동되는 빌드를 돕습니다. 소셜 네트워크및 BBpress 포럼 플러그인. 이러한 수정 사항을 사용하지 않으면 해당 탭의 옵션이 표시되지 않습니다.
스캐너
설정의 끝에서 두 번째 그룹 "스캐너"는 정기적으로 사이트를 스캔하는 역할을 합니다. 악성 코드및 파일. 여기에서는 두 개의 탭만 볼 수 있습니다.
파일의 변경 사항 추적
첫 번째 탭 "파일 변경 사항 추적"에서 "지금 크롤링"을 클릭하여 사이트를 즉시 크롤링할 수 있습니다.
한 가지 간단한 사실을 이해하십시오. 어떤 플러그인도 해커 전문가로부터 사이트를 보호할 수 없습니다! 따라서 문제가 발생하면 All In One WP Security 플러그인이 스캔 후 해킹 흔적이 있는지 알려줍니다. "파일 변경 사항 자동 검색 활성화" 옵션을 활성화하고 적어도 이틀에 한 번씩 검색 빈도를 설정하는 것이 좋습니다. 크롤링 빈도는 사이트의 현재 로드에 따라 다릅니다. 그리고 트래픽이 최고조에 달했을 때 사이트의 로딩 시간이 늘어나면 변경을 고려하십시오. 요금제또는 All In One WP Security 플러그인 스캐너가 서버에 과도한 부하를 가하지 않도록 전용 서버로 이동합니다.
"다음 형식의 파일 무시" 및 "특정 파일 및 폴더 무시" 필드는 원하는 대로 개별적으로 채워집니다. 또한 파일의 변경 사항을 항상 인식할 수 있도록 "변경 사항이 발견되면 이메일 보내기" 옵션을 활성화하는 것이 좋습니다. 여러 개를 지정할 수 있습니다. 이메일 주소. 설정 후 저장합니다.
맬웨어 검사
두 번째 탭 "다음에서 스캔 멀웨어» 정기적으로 유료 사이트를 스캔하기 위해 플러그인 개발자 사이트에 등록하기 위한 것입니다. 이렇게 하면 스캔하는 동안 서버의 부하가 크게 줄어듭니다. 누가 돈을 지불하고 싶은지, 제발, 그것은 당신의 권리입니다. 그러나 나는 블로그를 위해 그러한 서비스를 계약하는 것이별로 중요하지 않다고 생각합니다.
여러 가지 잡다한
마지막 설정 그룹 "기타"에는 세 개의 탭이 있습니다.
복사 방지
첫 번째 탭 "복사 방지"에서 다음 기능을 차단할 수 있습니다.
- 오른쪽 버튼
- 텍스트 태깅
- 복사
사용자가 사용할 수 있는 모든 페이지에 제한이 적용됩니다. 사람들이 지식의 창고에서 스스로 많은 것을 배울 수 있는 유용한 블로그가 있다면 이 기능을 활성화하지 않는 것이 좋습니다. 개인적으로 나에게 중요한 정보가 포함된 텍스트를 복사할 수 없을 때 불편함을 느낍니다.
프레임
프레임 탭은 프레임과 iframe 태그 사이의 사이트 콘텐츠 표시를 차단하는 역할을 합니다. 몇 년 동안 안전하지 않은 것으로 인식되어 종종 해킹을 당합니다. 예를 들어 1C Bitrix는 기본적으로 이러한 태그를 차단합니다.
사용자 열거
마지막 탭과 마지막 설정플러그인 All In One WP Security는 "Users Enumeration"으로 간주합니다. 봇이 예를 들어 댓글 작성자로 볼 수 있는 사용자에 대한 정보를 검색하지 못하도록 "사용자 목록 비활성화" 옵션을 활성화하는 것이 좋습니다. 이것은 어떤 식으로든 사이트 사용자를 위한 보호 장벽을 만들어 관리자 계정을 보호합니다.
이것으로 올인원 WP 보안 플러그인으로 디브리핑을 마칩니다. 열 개의 일반 기사와 비교할 수 있는 거대한 기사를 방금 읽었습니다. 내가 접근 가능한 방식으로 설명했기를 바랍니다. 질문이 있으시면 언제든지 댓글로 질문해 주세요. 관심을 가져주셔서 감사합니다.
안녕 얘들아! 귀하의 사이트가 조금 홍보되면 단골 독자가 나타나고 큰 기쁨을 얻습니다. 모든 것이 멋진 것 같습니다. 돈의 흐름도 성장하고 관객들로부터 반응을 얻으면 인지도도 높아진다. 그러나 동전의 이면도 있다. 이들은 부러워하는 사람들입니다. 이것은 악의적 인 사람들의 관심입니다.
무슨 말인지 이해를 돕기 위해 제 블로그는 지난주에만 2번 해킹을 당했습니다. 단골들은 그들이 알아차렸다고 생각했다. 여러분, 이 튜토리얼을 읽고 사이트를 보다 안전하게 보호하고 시간, 비용 및 신경을 절약하기 위해 내가 말하는 팁을 구현하는 데 시간을 할애할 것을 강력히 권장합니다.
All In One WP Security는 WordPress의 가장 필수적인 보안 플러그인입니다. WordPress에 사이트를 소유한 모든 사람이 설치해야 합니다. 예외없이 모두.
내가 가장 좋아하는 것이 WordPress용 SEO 수확기라면 WP Security 플러그인은 보안 대응입니다. 즉, Yoast SEO 덕분에 여러 SEO 플러그인이 필요하지 않았다면 여기에서도 All In One WP Security 덕분에 이 플러그인의 기능을 부분적으로만 수행하는 다른 플러그인을 제거할 수 있습니다. 예를 들면 다음과 같습니다.
- 로그인 잠금;
- 워드프레스 데이터베이스 백업
- 안티 XSS 공격;
- 그리고 다른 사람들은 그것을 좋아합니다.
하나의 WP 보안 플러그인에서 모두의 거대한 장점:
- 무료;
- 설정이 매우 쉽습니다.
- 거의 모든 것이 러시아어로 번역되므로 무엇이 문제인지 분명합니다.
올인원 WP 보안 플러그인 구성
다음 파일의 경우를 대비하여 작업을 시작하기 전에 반드시 백업(백업 사본)을 만드십시오.
- 데이터 베이스;
- wp 구성 파일
- htaccess 파일.
그건 그렇고, 이 세 파일의 백업 복사본은 동일한 플러그인에서 바로 만들 수 있습니다. 관리자 패널에서 WP 보안 - 설정으로 이동하면 됩니다.
제어판
사이트의 보안 수준을 보여주는 아주 멋진 정보 제공자가 있습니다.
이 표시기는 맥박을 계속 확인하고 보안을 개선하기 위해 수행해야 할 추가 작업을 이해하는 데 도움이 됩니다. 최대 점수를 얻기 위해 모든 것을 하는 것은 권장하지 않습니다. 나쁜 결과가 있을 수 있으며 사이트가 다운되거나 오작동할 수 있습니다.
가장 중요한 기능의 현재 상태입니다.이 블록에서는 사이트 보안에 가장 필요한 기능을 활성화할 수 있습니다(지금은 그대로 둘 수 있습니다. 레슨 설정 중에 이러한 매개변수는 다음과 같이 활성화됩니다).
제어판의 나머지 매개변수는 거의 관심이 없으므로 호기심을 위해 익숙해질 수 있습니다(시스템 정보, 차단된 IP 주소, AIOWPS.
설정
일반 설정. 여기에서 위에서 언급한 파일의 백업 복사본을 만들 수 있습니다. 또한 작동이 중지되면 보안 및 방화벽 기능을 비활성화하십시오.
WP 메타 정보. WordPress 버전을 숨기려면 "WP 생성기 메타데이터 제거" 옆의 확인란을 클릭합니다.
"가져오기/내보내기" 탭. 여기에서 설정을 내보내 나중에 다른 사이트에서 설정에 시간을 낭비하지 않고 두 번의 클릭으로 필요한 모든 "확인 표시"를 가져올 수 있습니다.
관리자
WP 사용자 정의 이름. 관리자 이름이 "admin"인 경우 관리자 이름을 변경해야 합니다(!). 관리자 로그인을 사용하는 비밀번호가 얼마나 자주 선택되는지 알 수 없습니다. 또한 비밀번호가 매우 가벼우면 사이트가 쉽게 해킹당할 수 있습니다.
이름 표시하기. 사이트에 동일한 사용자 이름과 표시 이름을 가진 계정이 있는 경우 표시 이름(닉네임)을 변경하는 것이 좋습니다.
비밀번호. 매우 흥미로운 탭. 여기에서 픽업할 수 있는 기간을 확인할 수 있습니다. 자동 모드너의 비밀번호. 비밀번호를 입력하면 얼마나 빨리 해킹될 수 있는지 놀랄 것입니다. 보안 강화를 위한 전제 조건:
- 비밀번호는 대문자와 소문자를 모두 포함해야 합니다.
- 최소한 첫 번째 숫자가 있어야 하지만 비밀번호는 숫자로만 구성되어서는 안 됩니다.
- 어떤 특별한 성격을 갖는 것이 바람직합니다.
- 비밀번호 길이는 10자 이상이어야 합니다.
결과적으로 다음과 같이 비밀번호의 보안 수준을 최대한 높여야 합니다(아래 비밀번호는 57,337년(!) 동안 가정용 컴퓨터에 의해 해독되었을 것입니다.
권한 부여
이 기능을 활성화해야 합니다. 5분 이내(기본값)에 3번 틀리게 비밀번호를 입력하면 60분(기본값) 동안 해당 IP가 차단됩니다. 더 많은 시간 동안 차단을 설정하지 않는 것이 좋습니다. 그렇지 않으면 관리자 자신이 로그인을 3번 잘못 입력하고 10년 동안 차단하고 무엇을 해야할지 모른다는 사실이 발생할 수 있습니다. 우리는 기본 60분을 그대로 두고 목욕을 하지 않습니다.
또한 "잘못된 사용자 이름 즉시 차단" 확인란을 선택하는 것이 좋습니다. 예를 들어 로그인을 admin에서 krutysh로 변경한 다음 인증 필드에 로그인 admin을 입력하면 IP 주소가 즉시 차단됩니다. "이메일로 알림" - 필요에 따라 여기에서. 나는 여분의 스팸을 좋아하지 않으므로 여기에서 확인란을 선택하지 않습니다.
이 탭에 대한 최종 설정은 다음과 같습니다.
궁금하시다면 차단된 IP 목록을 보시면, 아래 같은 탭에 해당 섹션으로 연결되는 링크가 있습니다.
잘못된 로그인 시도입니다.여기에서 선택한 로그인만 볼 수 있습니다. 대부분 내 로그인은 admin, root, font입니다. "시도"의 시간도 보입니다. 관리자 패널에 로그인을 시도하는 빈도에 주의하세요.
사용자 자동 로그아웃.또한 이 확인란을 활성화하는 것이 좋습니다. 특정 시간(분) 후에 세션을 종료하고 사용자를 로그아웃할 수 있습니다. 나는 600분을 넣었다.
"계정 활동 로그" 및 "활성 세션" 탭은 정보 제공용입니다.
사용자 등록
"새 등록 수동 승인 활성화" 옆의 확인란을 선택합니다.
예, 등록할 때 보안문자를 체크할 수 있습니다.
물론 다른 사람들이 귀하의 사이트에 등록하는 것이 불가능하다면 상위 2개 포인트는 단순히 쓸모가 없으며 더 좋아지거나 나빠지지 않습니다. 그러나 의심스러운 경우 이 확인란을 선택하는 것이 좋습니다.
데이터베이스 보호
여기서 "DB 테이블 접두사" 탭에서 주의하십시오. 확인란을 선택하기 전에 데이터베이스를 백업해야 합니다(데이터베이스 백업을 생성하기 위한 링크도 표시됨). 두려운 경우 의심스러운 경우 선택하지 않은 상태로 두는 것이 좋습니다.
데이터베이스 백업. 여기에 이미 체크 표시를 하고 백업 생성 빈도와 번호를 선택합니다. 나는 가지고있다. 예를 들어 다음 숫자:
파일 시스템 보호
파일 액세스. 여기 오른쪽에 버튼이 있습니다. 이 버튼을 클릭하여 파일 권한을 변경해야 합니다. 결과적으로 모든 줄이 녹색으로 바뀝니다.
PHP 파일 편집. 수정하지 않으면 PHP 파일관리자 패널을 통해 확인란을 선택합니다. Ctrl + Z를 누를 기회가 없고 파일을 원래 위치로 되돌릴 수 없는 경우에만 관리자 패널을 통해 파일을 편집하는 것을 권장하지 않습니다.
WP 파일에 대한 액세스. 체크 표시:
시스템 로그. 우리는 기본적으로 떠납니다.
WHOIS 조회
IP 주소 또는 도메인을 입력하여 도메인의 WHOIS를 가져올 수 있습니다. 그래서 실제로 만질 것이 없습니다.
블랙리스트
악의가 없으면 이 항목을 포함할 수 없습니다. 예를 들어 주석에서 일부 IP 주소가 계속 깜박이면 확인란을 활성화하고 이 IP를 블랙리스트에 추가할 수 있습니다.
방화벽
기본 방화벽 규칙. 이 시점까지 haccess 백업을 만들지 않았다면 우리는 확실히 합니다. 모든 항목 옆의 확인란을 선택합니다.
추가 방화벽 규칙. 여기에서 모든 확인란도 켭니다.
업데이트:아래 "추가 문자 필터링" 탭에서 일부 댓글이 통과되지 않아 403 오류가 발생하여 선택을 취소했습니다. 아마, 결국, 당신도 이 상자의 선택을 취소하는 것이 좋습니다.사용자가 댓글을 작성하는 데 문제가 없도록.
5G 방화벽 설정. 우리는 또한 다음을 포함합니다:
인터넷 봇. 인덱싱에 문제가 있을 수 있으므로 이 항목을 포함하지 않는 것이 좋습니다.
핫링크를 방지합니다. 우리도 켭니다.
사용자 정의 규칙. htaccess 파일에서 추가 규칙을 설정할 수 있습니다. 우리는 아무것도 만지지 않습니다.
무차별 대입 공격에 대한 보호
로그인 페이지의 이름을 바꿉니다. 켜다. 로그인 주소를 자신의 것으로 변경하십시오.
쿠키를 사용한 무차별 대입 공격으로부터 보호. 다른 장치에서 로그인하는 데 문제가 없도록 이 기능을 활성화하지 않습니다.
로그인을 위한 보안문자. 승인 중에 CAPTCHA를 활성화할 수 있지만 다음은 포함하지 않습니다.
로그인 화이트리스트. 사이트를 자주 방문하기 때문에 다른 장소들, 다른 IP를 가지고 있으므로 이 옵션을 활성화하지 않습니다.
꿀 배럴. 로봇만 볼 수 있는 추가 필드가 생성됩니다. 따라서 이 필드를 채우면 로봇이 해당 주소로 리디렉션됩니다. 포함:
스팸 방지
주석 형식의 CAPTCHA. 댓글을 복잡하게 만드는 것을 좋아하지 않기 때문에 활성화하지는 않지만 "댓글에서 스팸 봇 차단" 기능을 활성화하는 것이 좋습니다.
댓글 스팸에 대한 IP 주소 추적. 여기에서 댓글에서 스팸에 대해 "자주 반짝이는" IP를 보고 차단할 수 있습니다.
버디프레스. BuddyPress 등록 양식에 보안문자를 추가합니다. 나는 그것을 사용하지 않습니다.
파일의 변경 사항을 추적합니다. 사이트가 해킹당할 때 어떤 파일이 변경되었는지, 어디에서 악성 코드를 찾아야 하는지 완전히 명확하지 않은 경우가 많기 때문에 활성화하는 것이 좋습니다. 그리고 이 기능을 사용하여 사이트 파일의 변경 사항을 추적하고 최근에 변경된 파일을 빠르게 찾을 수 있습니다.
맬웨어 검사. 기능은 유료이며 비용은 한 달에 $ 7입니다.
유지 관리 모드
일부 변경을 위해 잠시 동안 사이트를 "닫을" 수 있습니다. 즉, 사이트 방문자에게는 사이트에서 작업이 진행 중인 "스텁"이 제공됩니다. 디자인 변경 시, 플러그인 성능 확인 시 유용합니다.
여러 가지 잡다한
텍스트 복사 방지 등. 여기서 나는 세 개의 탭에서 아무데도 체크하지 않습니다. 또한 하지 않는 것이 좋습니다.
결과
이 모든 설정을 완료한 후 "제어판"으로 이동하여 보안 수준 표시기를 보면 다음과 같이 표시됩니다.
다시 말하지만, 가능한 가장 높은 점수를 얻기 위해 생각 없이 모든 것을 할 필요는 없습니다. 귀하의 사이트, 성능 및 편의성에 불필요한 피해를 입히지 마십시오.
질문이 있으면 작성하십시오. 사람들이 이것을 전달할 수 있도록 리트윗과 리포스트에 대해 별도로 감사드립니다. 중요한 정보.
WordPress는 아마도 가장 인기 있는 동시에 가장 자주 해킹되는 플랫폼 중 하나일 것입니다. 어떤 이유로 귀하의 사이트가 다른 사람에게 특히 흥미롭지 않으면 해킹하지 않을 것이라는 의견이 있습니다. 이유는 무엇입니까? 사실, 말 그대로 모든 사이트(WordPress 뿐만 아니라)에는 해킹 위협이 있으므로 페이지를 보호하는 것이 중요합니다. 무엇을 할 수 있는지 - 또는 어떤 플러그인을 설치할 것인지 - 이 기사에서 이에 대해 이야기하겠습니다.
이 팁은 WordPress뿐만 아니라 다른 CMS에서도 유용합니다. 그것들은 기본이지만 실습에서 알 수 있듯이 여전히 그것들에 대해 모르는 사람들이 있습니다. 이 모든 작업을 수행하는 이유는 무엇입니까? 공격자의 삶을 어렵게 만듭니다. 기본적으로 설정된 데이터를 사용하여 해커는 비교적 쉽게 사이트와 데이터베이스를 해킹할 수 있습니다. 따라서 다음을 수행해야 합니다.
1. 사용자 이름을 admin에서 다른 이름으로 변경합니다.
이렇게 하려면 먼저 새 사용자를 관리자로 생성해야 합니다. 여기에서 할 수 있습니다.
사용자를 생성한 후 해당 계정으로 로그인하고 "모든 사용자" 목록에서 "관리자" 계정을 삭제합니다. 어디에서 새 로그인최소한 vasyapupkin99라는 몇 단어로 구성된 비교적 복잡한 것으로 만드십시오. 예를 들어 닉네임을 사용할 수 있습니다.
암호에 대해서는 쓰지 않겠습니다. 계정을 만드는 단계에서 Wordpress에서 생성할 암호를 사용하고 자신만의 암호를 만들지 않는 것이 좋습니다(아마도 더 쉬울 것입니다).
2. 데이터베이스 접두사를 wp에서 다른 것으로 변경합니다.
이를 수행하는 두 가지 방법이 있습니다. phpMyAdmin에서 직접 테이블을 편집하거나(심지어 파일 관리자에서) 플러그인을 사용하는 것입니다. 두 가지 옵션에 대해 간략하게 설명하겠습니다.
phpMyAdmin을 통해 변경
이 작업은 세부 사항에 대한 주의와 phpMyAdmin에 대한 약간의 경험이 필요하다고 즉시 말해야 합니다.
우선, 데이터베이스 백업을 만드십시오. 문제가 발생한 경우(또는 어딘가에서 잘못된 것을 편집한 경우) 정보를 복원하는 데 도움이 됩니다.
이제 이동 파일 관리자그리고 wp-config.php 파일을 찾으십시오. 그 안에 $ table_prefix = "wp_";
"wp"는 WordPress 및 데이터베이스와 덜 관련된 것으로 변경되어야 합니다. 임의의 문자와 숫자 세트로 변경할 수도 있습니다(그러나 기억하거나 적어 두어야 함).
주목.새로 설치된 WordPress에서 이 변경을 수행하는 것이 가장 좋습니다. 이미 출시된 사이트에 대한 더 많은 정보가 있습니다. 더 많은 데이터를 변경해야 합니다.
그런 다음 phpMyAdmin(Timeweb 호스팅에서 제어판을 통해 직접 수행할 수 있음)으로 이동하여 원하는 사이트의 데이터베이스를 찾습니다. 이 데이터베이스의 모든 테이블은 "wp_"를 위에서 이미 작성한 것으로 교체하여 이름을 바꿔야 합니다.
이름 변경 방법: 왼쪽 열에서 테이블을 선택하고 "작업" 탭을 클릭한 다음 "테이블 옵션" 블록과 "테이블 이름 바꾸기" 행을 확인합니다. 변경 후 "다음"을 클릭하는 것을 잊지 마십시오.
그런 다음 목록에서 "..._options" 테이블을 찾습니다. 선택한 상태에서 찾아보기를 클릭하십시오. 초"meta_key" 열의 페이지에 wp_user_roles가 표시됩니다. "wp" 접두사를 지금 사용할 접두사로 변경합니다. 변경 사항을 저장합니다.
다음으로 변경할 테이블은 "..._usermeta"입니다. 동일한 방식으로 내용을 보고 모든 이전 접두사를 새 접두사로 변경합니다.
편집 후 무언가 잘못 작동하기 시작했거나 작동이 완전히 중지된 경우 모든 변경 사항을 적용했는지 확인하십시오. 최후의 수단으로 백업을 사용하십시오.
플러그인을 통해 변경
이 플러그인은 소개가 필요하지 않으므로 수행해야 할 작업으로 바로 이동하겠습니다.
플러그인을 설치하고 활성화한 후 "데이터베이스 보호" 섹션으로 이동합니다. 거기에 "새 데이터베이스 테이블 접두사 생성" 행이 표시됩니다. 설정하려는 접두사를 쓰고(또는 "플러그인이 6개의 임의의 문자 길이의 접두사를 생성하도록 확인" 옆의 확인란을 선택) "변경 테이블 접두사". 그 후 아래에 접두사 변경 진행 상황에 대한 보고서가 표시됩니다. 예상한 결과를 얻으려면 phpMyAdmin으로 이동하십시오.
사이트에 이미 많은 정보가 있는 경우 플러그인이 제대로 작동하지 않을 수 있으므로 기사가 없는 새 사이트에서 이 작업을 수행해야 함을 다시 한 번 상기시켜 드립니다.
올인원 WP 보안 및 방화벽
우리는 이미 이 플러그인을 사용하기 시작했으므로 사이트 보호를 강화할 수 있는 다른 사항에 대해 알려 드리겠습니다.
플러그인의 "설정" 섹션에서 "WP 버전 정보" 탭으로 이동하여 "WP 생성기 메타 데이터 제거" 옆의 확인란을 선택합니다. 해커는 종종 메타 데이터에 포함된 정보에 의존하기 때문에 페이지 코드에서 이 정보를 제거하는 것이 유용할 것입니다.
그건 그렇고, 여전히 관리자 이름을 변경하지 않은 경우(위의 조언에 따라) "관리자" 탭에서 이 플러그인을 통해 변경할 수 있습니다. 새 사용자 이름을 쓰고 패널에 다시 로그인하기만 하면 됩니다(비밀번호는 동일하게 유지됨).
여기에서 "등록 시 보안 문자" 탭도 볼 수 있습니다. 이 항목도 활성화합니다.
이제 "방화벽" 섹션으로 이동합니다. 여기에서 "기본 방화벽 기능" 블록에 체크 표시를 합니다. 나머지는 원하는 대로 켜고 끌 수 있습니다.
"무차별 대입 공격에 대한 보호" 섹션: 로그인 페이지의 이름을 변경하고 아래 열에 원하는 주소를 쓰는 옵션을 활성화해야 합니다. 여기를 이해하는 것이 중요합니다. 이 주소는 관리자 패널에 들어가는 데 사용되며, 기억하는 것이 중요합니다!
이 플러그인은 끝났으니 다음 플러그인으로 넘어갑시다.
안티바이러스
이 플러그인은 웹사이트 파일에서 악성 코드를 검사합니다. 사용법은 매우 간단합니다. 설치 후 설정으로 이동하여 "지금 테마 템플릿 스캔"을 클릭하면 모든 테마 파일이 스캔됩니다.
여기에서 이메일 보고서로 일일 점검을 설정할 수도 있습니다.
확인하는 동안 플러그인은 의심스러운 코드를 강조 표시합니다. 동시에 모든 댓글을 주의 깊게 확인하는 것이 좋습니다. 항상 바이러스에 관한 것은 아닙니다. 프로그래밍 기술이 없으면 찾은 코드 줄을 컴퓨터 또는 개발자가 제공하는 동일한 테마의 코드 줄과 간단히 비교할 수 있습니다. 항목이 처음에 있으면 두려워할 필요가 없습니다.
다른 활성 플러그인과 마찬가지로 AntiVirus는 서버를 로드하므로(즉, 사이트 속도가 느림) 항상 활성 상태로 유지하는 것보다 가끔 사용하는 것이 좋습니다.
워드펜스 보안
이 플러그인은 기능면에서 이전 플러그인과 유사하며 병렬로 사용할 수 있으며 더 나쁘지는 않습니다. 같은 방식으로 설치, 활성화, "스캔" 탭으로 이동하여 큰 파란색 "Wordfence 스캔 시작" 버튼을 클릭합니다. 일부 기능은 유료(프리미엄) 계정에서만 사용할 수 있지만 기본 기능도 좋습니다. 사이트에 문제가 없으면 "축하합니다! Wordfence에서 보안 문제가 감지되지 않았습니다."
사이트를 보호하는 데에도 사용할 수 있는 다른 플러그인에 대해 알려 드리겠습니다.
수큐리 시큐리티
일반적으로 Sucuri는 웹 사이트 보안을 전문으로 하는 회사이므로 WordPress뿐만 아니라 모든 사이트에 대한 보호 기능을 제공합니다. 인상적인 평판을 가진 이 진지한 회사의 플러그인에는 사이트에 대한 해킹 및 공격 방지를 포함하여 사이트 보호의 전체 주기를 나타내는 광범위한 기능이 있습니다. 무료 버전을 사용하거나 월 $16.66에 유료 버전을 구입할 수 있습니다. 이는 다소 큰 금액이지만 이러한 보호 도구 범위의 경우 상당히 합리적입니다.
무료 버전을 사용하려면 설치 후 무료 키를 생성해야 합니다(위의 파란색 블록에서 "API 키 생성" 버튼을 클릭하고 입력한 데이터가 올바른지 확인하고 응용 프로그램을 보내야 합니다. .
iThemes 보안
Sucuri Security가 최고의 유료 보안 플러그인이라면 iThemes Security는 종종 사이트 보안을 위해 설치할 수 있는 최고의 무료 플러그인이라고 합니다. 또한, 이제 800,000개 이상의 설치가 있습니다!
기능에 대해서는 많이 쓰지 않겠습니다. 다른 모든 플러그인과 마찬가지로 iThemes Security는 사이트를 위협할 수 있는 대부분의 것들로부터 사이트를 보호하는 동시에 사이트의 기존 상태를 확인하는 것을 목표로 합니다. 그건 그렇고, 플러그인은 Better WP Security라고 불렀습니다. 아마도 누군가이 이름으로 기억할 것입니다.
일반적으로 기능에 대해 이야기하면 이 플러그인의 다음 측면을 구별할 수 있습니다.
- 잠재적으로 취약한 요소 숨기기 및 삭제(문서 시작 부분에 작성됨 - 관리자 로그인, 데이터베이스 접두사 등 변경)
- 공격으로부터 사이트 보호(취약점 검색, 무차별 대입 공격에 대한 보호, 관리자 패널 암호화 등)
- 사이트 모니터링(갑작스러운 변경, 차단 등)
- 복구(예기치 못한 상황의 경우 백업).
이제 이 플러그인의 실제 사용으로 넘어 갑시다.
iThemes 보안 설정
우선 PRO(즉, 고급) 유료 버전도 있으므로 무료 버전이 플러그인의 모든 기능을 사용할 수 있는 것은 아닙니다(그러나 여전히 많은 기능이 있습니다).
설치 후 플러그인을 활성화하고 "설정" 섹션으로 이동합니다. 위의 파란색 블록에서 무차별 대입 방지(Network Brute Force Protection)를 활성화할 수 있습니다. 이렇게 하려면 설정에 자동으로 추가되지만 메일로도 전송되는 API 키를 요청해야 합니다.
"를 클릭하십시오. 보안 검색"(왼쪽 상단 블록 또는 "설정" 아래 메뉴)에서 "사이트 보안"을 클릭합니다. 그 후에 활성화된 모듈 목록이 표시됩니다.
다음 블록은 " 기본 설정"("보안 검사" 오른쪽에 있음). 플러그인이 거의 완전히 번역되었기 때문에 각 항목에는 고유한 디코딩이 있습니다. 모든 항목을 살펴보고 이 중 어떤 것이 가장 관련이 있는지 확인하는 것이 좋습니다(사용하지 않더라도 최소한 모든 항목이 어디에 있는지 알 수 있습니다. 이다).
"모드에서 좌석 없음 e" 관리자 패널을 사용할 수 없는 시간을 설정할 수 있습니다. 이것을 정기적으로 사용할 필요는 없지만 컴퓨터에서 떨어져 있을 때 안전망으로 사용할 수 있습니다. 동시에 지속적으로(예: 매일 밤) 설정할 수도 있고 특정 날짜와 시간에 한 번 설정할 수도 있습니다.
차단하다 " 차단된 사용자-여기에 모든 것이 명확합니다. 차단해야 할 모든 사람을 여기에 넣으십시오.
“로컬 무차별 대입 보호" - 이 블록은 무차별 암호 대입에 의한 해킹으로부터 보호합니다. 이미 활성화되어 있으므로 설정을 기본값으로 둘 수 있습니다.
« 데이터베이스 백업» - 설정 사본 예약, 무료 버전에서는 데이터베이스에 관한 것입니다.
« 파일 변경 감지» - 사이트 파일의 모든 변경 사항을 모니터링하는 매우 유용한 기능입니다. 사이트에 갑자기 나타난 활동을 빠르게 추적할 수 있습니다. 반드시 켜십시오.
“파일 권한" - 블록은 파일 액세스 권한을 보여줍니다.
“네트워크 무차별 대입 방지" - 무차별 대입에 대한 네트워크 보호는 해커가 다른 사람의 사이트를 해킹하려고 시도하면 아직 귀하의 사이트에 대한 공격을 시작하지 않은 경우에도 귀하의 사이트에 대한 액세스가 차단된다는 사실에 있습니다.
“SSL" - 이 플러그인에서 SSL 사용을 구성할 수 있으며, Timeweb에서 호스팅하는 사이트가 있는 경우 사이트 제어판의 설정을 사용하는 것이 좋습니다.
“강력한 암호 시행" - 사이트에 다른 사용자(포럼, 블로그 ...) 등록이 포함된 경우 이 설정이 유용할 것이며 사용자는 계정에 대해 복잡한 비밀번호만 선택하면 됩니다. 다른 경우에는 사용하지 않을 수 있습니다.
« 시스템 미세 조정" 그리고 " 워드프레스 커스터마이징" - 이것들 추가 세팅사이트 보호를 더욱 강화하기 위해 필요합니다. 그러나 한 가지 주의 사항이 있습니다. 일부 설정을 포함하면 플러그인 작동에 영향을 미칠 수 있습니다. 따라서 한 번에 모든 것을 선택해서는 안 됩니다. 한 번에 하나의 항목을 켜고 사이트 성능을 확인하십시오.
드디어, " 워드프레스 솔트» - 설정을 통해 비밀번호를 추가할 수 있습니다. 비밀 키, 비밀번호를 따로 따는 것보다 훨씬 더 어렵습니다. 이것은 일반적으로 해싱 중에 추가되는 임의의 문자 집합입니다. 이 설정("WordPress 솔트 변경")을 주기적으로 사용하여 솔트를 변경합니다.
섹션에 관한 모든 것. 유료 버전에는 더 많은 기능이 있지만 이 정도면 많은 인기 있는 해킹 유형으로부터 사이트를 보호하기에 충분합니다.
결론
플러그인은 사이트 보안의 필수 요소이지만 플러그인만 있는 것은 아니라는 점을 상기시켜 드리고 싶습니다. 팔로우 잊지마세요 워드프레스 업데이트및 플러그인, 정기적으로 비밀번호를 변경하고 백업을 만드십시오.
이미 WordPress iThemes Security 종합 블로그 보호 플러그인을 검토했지만 다른 All In One WP Security & Firewall을 테스트하기로 결정했습니다. 글쎄, 당신의 사이트를 떠나는 것이 최선의 선택입니다. 자, 설치를 해보자.
플러그인 올인원 WP 보안 및 방화벽의 메인 페이지로 이동합니다. 우리는 다음 그림을 봅니다. 그리고 즉시 "Security Level Meter"가 표시됩니다. 내 사이트는 470점 만점에 50점을 받았습니다. 글쎄, 두껍지 않다. 아마도 조정 후에 레벨이 증가할 것입니다. 그러나 가능한 가장 높은 점수를 얻으려고 노력해서는 안 됩니다. 이렇게 하면 사이트 작업에 문제가 발생할 수 있습니다. 오른쪽에 "당 사이트 보안 다이어그램"이 표시됩니다.
설정
관리자
WP 사용자 정의 이름
설치하는 동안 WordPress는 자동으로 사용자 이름 "admin"을 관리자에게 할당합니다(수동으로 변경하지 않는 한). 많은 해커가 "admin"이라는 단어를 사용자 이름으로 사용하여 암호를 체계적으로 추측하는 무차별 대입 공격을 사용하여 이 정보를 이용하려고 합니다. 따라서 다른 것으로 변경하는 것이 좋습니다.
이름 표시하기
게시물을 게시하거나 댓글에 답글을 달면 WordPress는 일반적으로 "별명"을 표시합니다. 기본적으로 사용자의 표시 이름은 계정 로그인과 동일합니다. 보안을 위해 어떤 로그인으로 인증되었는지 아무도 알 수 없도록 변경하는 것이 좋습니다.
비밀번호
잘못된 비밀번호는 대부분의 사이트에서 가장 흔한 취약점이며 일반적으로 해커가 사이트에 침입하기 위해 가장 먼저 하는 일은 비밀번호를 추측하는 것입니다. 에 이번 장사용하는 비밀번호의 강도를 확인할 수 있습니다. 해커가 귀하의 비밀번호를 알아내면 여기에서 그가 보낼 시간을 추정할 수 있습니다.
권한 부여
해커가 웹 사이트에 침입하기 위해 사용하는 가장 일반적인 방법 중 하나는 무차별 대입 공격입니다. 암호를 추측하여 여러 번 로그인을 시도한 이름입니다. 강력한 암호를 선택하는 것 외에도 짧은 시간 내에 반복적으로 로그인 시도에 실패하는 IP 주소를 모니터링 및 차단하고 로그인 시도 횟수를 차단하고 시도 시간을 제한하는 것은 이러한 유형의 공격에 매우 효과적인 방법입니다. .
승인 차단
- 승인 시도를 차단하는 옵션 사용. 우리는 진드기를 넣습니다.
- 잠금 해제 요청 허용. 이 기능이 무엇을 의미하는지 잘 모르겠습니다. 나는 그것을 켜지 않았다.
- 최대 로그인 시도 횟수. 에 대한 값 설정 최대 수로그인 시도 후 IP 주소가 차단됩니다. 기본적으로 3번의 시도를 남겼습니다.
- 승인 시도 시간 제한(분). 기본값은 5분입니다. 이전 단락의 세 번 시도는 여기에 지정된 기간 내에 시도가 이루어진 경우 사용자가 차단됩니다.
- 차단 기간(분). IP 주소가 차단되는 기간 지정
- 인증 오류 메시지 표시. 로그인 시도 실패 시 오류 메시지를 표시하려면 이 옵션을 선택하십시오. 나는 그것을 넣지 않았다. 공격자가 오류에 대한 정보를 받을 필요가 없습니다.
- 잘못된 사용자 이름 즉시 차단. 나 자신이 로그인을 잘못 입력할 수 있고 한 시간 동안 차단된다는 사실 때문에 이 옵션을 활성화하지 않았습니다. 다른 사람들도 틀릴 수 있습니다.
- 특정 사용자 이름 즉시 잠금. 특정 사용자를 즉시 차단합니다. 대부분 "admin" 및 "administrator" 로그인을 해킹하려고 합니다. 따라서 사용하지 않는 경우 목록에 추가할 수 있습니다.
- 이메일로 알림. 잘 못 방문한 사이트가 있다면 체크박스를 체크할 수 있습니다. 그렇지 않으면 이러한 알림을 받을 수 있습니다.
그것은 귀하의 사이트에 대한 실패한 로그인 시도의 기록을 표시합니다. 아래 정보는 인증 시도를 조사해야 하는 경우 유용할 수 있습니다. 여기에는 IP 범위, 사용자 이름 및 ID(사용 가능한 경우) 및 실패한 로그인 시도의 시간/날짜가 표시됩니다.
사용자를 자동으로 디버깅하는 옵션
관리 세션 만료 시간을 설정하면 컴퓨터에서 사이트에 대한 무단 액세스를 쉽게 방지할 수 있습니다. 이 옵션을 사용하면 관리자 세션이 만료되고 사용자가 다시 로그인해야 하는 기간을 설정할 수 있습니다.
- 자동 로그아웃 활성화. 다음 시간 이후에 사용자의 로그인 세션을 자동으로 종료하려면 이 옵션을 선택하십시오. 특정 기간시각. 필요한 경우 확인란을 선택하십시오. 내 생각에 당신이 당신에게서만 들어온다면 가정용 컴퓨터- 그건 불필요합니다.
- 다음을 통해 사용자 로그아웃. 이 시간이 지나면 사용자는 자동으로 로그아웃됩니다.
이것은 귀하의 사이트에서 관리자의 활동을 보여줍니다. 아래 정보는 사용자 이름, IP 주소 및 로그인 시간과 함께 최근 50개의 로그인 이벤트를 보여주기 때문에 사용자 조사를 수행하는 경우 유용할 수 있습니다.
에 있는 모든 사용자 이 순간귀하의 사이트에서 승인되었습니다. 시스템에 문제가 있다고 의심되는 경우 활성 사용자, 거기에 없어야 하는 경우 아래 목록에서 해당 IP 주소를 확인하고 차단 목록에 추가하여 차단할 수 있습니다.
사용자 등록
수동 확인
사이트에서 사람들이 WordPress 등록 양식을 통해 자신의 계정을 만들도록 허용하는 경우 각 등록을 수동으로 확인하여 스팸 및 가짜 등록을 최소화할 수 있습니다. 이 기능은 관리자가 활성화할 때까지 새 등록 계정을 자동으로 "보류 중"으로 표시합니다. 이 경우 원치 않는 등록자는 귀하의 확인 없이 로그인할 수 없습니다. 아래의 편리한 표에서 최근에 등록된 모든 계정을 볼 수 있으며 동시에 여러 계정을 활성화, 비활성화 또는 삭제할 수도 있습니다.
- 신규 등록 수동 승인 활성화. 모든 새 계정이 자동으로 비활성화되도록 만들고 수동으로 확인할 수 있도록 하려면 이 확인란을 선택합니다.
등록 시 보안 문자
이 기능을 사용하면 페이지에 CAPTCHA 필드를 추가할 수 있습니다. 워드프레스 등록. 또한 등록을 시도하는 사용자는 간단한 수학 문제에 답해야 합니다. 답변이 틀리면 플러그인이 등록을 방지합니다. 이미 Google에서 제공하는 보안 문자가 설치되어 있으므로 이 기능을 활성화하지 않았습니다.
데이터베이스 보호
데이터베이스 백업
- 자동 백업 활성화. 시스템이 예약된 데이터베이스 백업을 자동으로 생성하도록 하려면 이 확인란을 활성화합니다.
- 백업 빈도. 귀하의 의심과 사이트 업데이트 빈도에 따라 다릅니다. 일주일에 한 번 데이터베이스 복사본 생성을 설정했습니다.
- 저장할 백업 수. 플러그인의 백업 디렉토리에 저장해야 하는 백업 수를 이 필드에 지정합니다. 기본값인 2개를 그대로 두었습니다.
- 이메일로 백업 보내기. 이메일로 데이터베이스 백업을 받으려면 이 확인란을 선택합니다. 나는 그것을 켜는 것이 좋습니다.
파일 시스템 보호
파일 액세스
WordPress 파일 및 폴더에 대한 읽기/쓰기 권한 설정을 통해 해당 파일에 대한 액세스를 제어할 수 있습니다. ~에 초기 설치 WordPress는 자동으로 적절한 액세스 권한을 할당합니다. 파일 시스템. 그러나 때때로 사람이나 플러그인이 특정 디렉토리 및 파일에 대한 권한을 변경하여 잘못된 권한을 설정하여 사이트의 보안 수준을 낮추는 경우가 있습니다. 이 옵션은 모든 중요한 WordPress 핵심 디렉토리와 파일을 스캔하고 모든 안전하지 않은 설정을 강조 표시합니다.
PHP 파일 편집
기본적으로 WordPress 관리자 패널에서는 플러그인 및 테마용 PHP 파일을 편집할 수 있습니다. 이것은 관리 콘솔에 액세스할 수 있는 해커에 대한 응급 처치이며 서버에서 모든 코드를 실행할 수 있는 기능을 제공합니다.
이 옵션은 관리자 패널에서 파일을 편집하는 기능을 비활성화합니다.
- PHP 파일 편집 기능 비활성화. WordPress 관리자 패널에서 PHP 파일 편집을 비활성화하려면 이 상자를 선택합니다.
제 생각에는 이것은 별로 유용한 기능이 아닙니다. 결국 동일한 해커가 관리자 프로필에 액세스하면 동일한 플러그인의 확인란을 선택 취소할 수 있습니다. 결과적으로 동일한 카운터의 코드를 삽입하려면 호스팅으로 이동해야 하므로 불편을 겪을 것입니다.
WP 파일에 대한 액세스
이 옵션은 readme.html, license.txt 및 wp-config-sample.php와 같은 파일에 대한 액세스를 거부합니다. 이 파일은 WordPress 설치 중에 생성되고 시스템 부하를 전달하지 않지만 이러한 파일에 대한 액세스를 제한하면 해커로부터 중요한 정보를 숨기기 위해 정보(예: WordPress 버전).
- 워드프레스 설치 시 기본적으로 생성되는 정보 파일에 대한 접근을 거부합니다. 이 확인란을 선택합니다.
시스템 로그
서버는 "error_log"라는 특수 파일에 오류 보고서를 주기적으로 게시할 수 있습니다. 오류의 특성과 원인에 따라 서버는 WordPress 설치의 다른 디렉토리에 여러 로그 파일을 생성할 수 있습니다. 때때로 이러한 로그를 검토하면 사이트의 주요 문제를 인식하고 이 정보를 사용하여 문제를 해결할 수 있습니다.
WHOIS 조회
이 기능을 사용하면 IP 주소 또는 도메인에 대한 자세한 정보를 얻을 수 있습니다. 침입자의 주소에 대한 정보가 궁금할 것이기 때문에 편리한 기능입니다. 그러한 서비스를 찾기 위해 인터넷을 검색할 필요가 없습니다.
"블랙리스트" 기능을 사용하면 특정 IP 주소, 범위 및 사용자 에이전트를 차단하여 스팸 또는 기타 이유로 이러한 IP 주소를 사용한 사용자 및 봇에 대한 사이트 액세스를 거부할 수 있습니다. 이 기능은 .htaccess 파일에 특정 규칙을 추가하여 구현됩니다.
- 블랙리스트 유지. 지정된 IP 주소 또는 사용자 에이전트를 차단할 수 있도록 하려면 이 상자를 선택하십시오.
- IP 주소 입력. 새 줄의 각 주소.
- 사용자 에이전트 이름 입력. 각 사용자 에이전트를 별도의 줄에 작성하십시오.
이 옵션을 활성화하고 15개의 보안 포인트를 얻으려면 적어도 하나의 IP 주소 또는 사용자 에이전트를 입력해야 합니다.
방화벽
기본 방화벽 규칙
이 탭의 옵션을 사용하면 사이트에 몇 가지 기본 보안 규칙을 적용할 수 있습니다. 이 방화벽 기능은 .htaccess 파일에 몇 가지 특별한 지시문을 추가하여 얻을 수 있습니다. 이러한 옵션을 활성화해도 사이트의 전체 기능에는 영향을 미치지 않지만 원하는 경우 이러한 설정을 활성화하기 전에 .htaccess 파일의 백업을 생성할 수 있습니다.
- 기본 방화벽 기능 활성화. 사이트에서 기본 방화벽 기능을 활성화하려면 이 확인란을 선택합니다. 두는 것이 좋습니다.
이 옵션은 사이트에서 다음과 같은 기본 보호 메커니즘을 실행합니다.
- 무단 액세스로부터 htaccess 파일을 보호합니다.
- 요청에 대한 응답에서 서버 서명을 비활성화합니다.
- 업로드된 파일의 크기를 10Mb로 제한하십시오.
- 무단 액세스로부터 wp-config.php 파일을 보호합니다.
위의 기능은 .htaccess 파일에 특정 지시문을 추가하여 얻을 수 있으며 사이트의 전체 성능에 영향을 미치지 않습니다. 그러나 안전을 위해 먼저 .htaccess 파일을 백업하는 것이 좋습니다.
WordPress XMLRPC 및 핑백 취약점 보호
- XMLRPC에 대한 액세스를 완전히 차단. 두는 것이 좋습니다. 내 사이트 중 하나가 그러한 요청으로 다시 로드되었고 호스트가 서버 과부하에 대한 불만을 폭격했습니다.
이 기능은 스마트폰을 통해 블로그에 글을 게시하고 편집하는 사람들에게 필요합니다. 필요하지 않다면 꺼두셔도 좋습니다. 따라서 공격자는 다음을 수행할 수 없습니다.
- 요청으로 서버를 오버로드하여 비활성화합니다(DoS 공격).
- 내부 라우터를 해킹하십시오.
- 내부 네트워크의 포트를 스캔하여 서버의 다양한 호스트에서 정보를 얻습니다.
사이트를 보다 안전하게 만드는 것 외에도 이 옵션은 특히 사이트가 XML-RPC API를 대상으로 하는 원치 않는 트래픽을 많이 받는 경우 서버의 로드를 크게 줄일 수 있습니다.
- XMLRPC에서 핑백 기능 비활성화. 틱을 넣습니다. 핑백 보호.
디버그 로그 파일에 대한 액세스 차단
- debug.log 파일에 대한 액세스를 차단합니다. 디버그 로그 파일에 대한 액세스를 차단합니다. 확인란을 선택합니다.
추가 방화벽 규칙
이 탭에서 추가 방화벽 설정을 활성화하여 사이트를 보호할 수 있습니다. 이러한 옵션은 .htaccess 파일에 특정 규칙을 추가하여 구현됩니다. 특정 기능으로 인해 이러한 규칙은 일부 플러그인의 기능을 손상시킬 수 있으므로 활성화하기 전에 .htaccess 파일을 백업하는 것이 좋습니다.
- 디렉토리 내용 보기. 사이트의 디렉토리를 무료로 탐색하지 않으려면 이 확인란을 선택합니다. 이 기능이 작동하려면 "AllowOverride" 지시문이 httpd.conf 파일에 포함되어야 합니다. httpd.conf 파일에 대한 액세스 권한이 없는 경우 호스팅 제공업체에 문의하십시오.
- HTTP 추적. HTTP 추적으로부터 보호하려면 이 확인란을 선택합니다. HTTP 추적 기반 공격(교차 사이트 추적 또는 XST)은 서버에서 반환된 http 헤더에서 정보를 추출하고 쿠키 및 기타 정보를 훔치는 데 사용됩니다. 이 해킹 기술은 일반적으로 XSS(교차 사이트 스크립팅)와 함께 사용됩니다. 이 옵션은 이러한 유형의 공격으로부터 보호하도록 설계되었습니다.
- 프록시를 통한 댓글 비활성화. 프록시를 통한 댓글 달기를 비활성화하려면 이 확인란을 선택합니다. 요청에서 악성 문자열을 비활성화합니다. 이 옵션은 XSS 공격 중에 악성 코드 입력으로부터 보호하도록 설계되었습니다. 경고: 차단된 문자열 중 일부는 일부 플러그인이나 테마에서 사용될 수 있으므로 이 옵션을 사용하면 기능이 중단될 수 있습니다. 이 옵션을 설정하기 전에 .htaccess를 백업하십시오.
- 요청에서 악성 문자열 방지. 이 옵션은 XSS 공격 중에 악성 코드 입력으로부터 보호하도록 설계되었습니다. 경고: 차단된 문자열 중 일부는 일부 플러그인이나 테마에서 사용될 수 있으므로 이 옵션을 사용하면 기능이 중단될 수 있습니다. .HTACCESS 파일을 백업해야 합니다.
- 추가 문자 필터링 활성화. XSS(교차 사이트 스크립팅) 공격에 사용되는 악성 명령을 차단하기 위한 추가 문자 필터링입니다. 이 옵션은 일반적인 맬웨어 샘플 및 악용을 캡처하고 공격자에게 403(액세스 거부) 오류 메시지를 반환합니다. 경고: 이 설정의 일부 지시문은 사이트의 기능을 손상시킬 수 있습니다(호스팅 제공업체에 따라 다름). .HTACCESS 파일을 백업해야 합니다.
6G 블랙리스트 방화벽 규칙
다음을 수행하려면 다음 옵션을 활성화하십시오.
- 해커 공격에 일반적으로 사용되는 금지 문자 차단.
- ".css" 등과 같은 악성 URL 인코딩 문자열 차단
- URL에서 일반적인 악성 코드 패턴 및 특정 악용(알려진 취약성을 악용하는 명령 시퀀스)으로부터 보호합니다.
- 쿼리 매개변수에서 금지된 문자를 차단합니다.
6G 방화벽 보호 활성화. 이 옵션은 웹사이트에서 6G 보호를 활성화합니다.
레거시 5G 방화벽 보호 활성화. 이 옵션은 사이트에서 5G 보호를 활성화합니다.
인터넷 봇
- 가짜 Googlebot 차단. 모든 가짜 Googlebot을 차단하려면 이 체크박스를 선택하세요.
이 함수는 필드에 다음이 포함되어 있는지 확인합니다. 사용자 에이전트정보 문자열 "Googlebot". 이 경우 함수는 실제로 Google의 봇인지 확인하기 위해 여러 테스트를 수행합니다. 그렇다면 봇이 계속 작동하도록 허용합니다. 오류가 발생한 경우 인덱싱 문제가 발생하지 않도록 이 기능을 주의해서 처리하십시오.
핫링크 방지
핫링크 - 사이트의 누군가가 서버의 이미지 소스에 대한 직접 링크를 사용하여 실제로 귀하의 사이트에 있는 이미지를 표시할 때. 다른 사이트에 표시되는 이미지는 귀하의 사이트에서 제공되므로 귀하의 서버에서 이 사진을 다른 사이트에서 보는 사람들에게 전송해야 하므로 속도와 리소스가 손실될 수 있습니다. 이 기능은 .htaccess 파일에 몇 가지 지침을 추가하여 페이지의 이미지에 대한 직접 핫링크를 방지합니다.
- 이미지 핫링크 방지. 다른 사이트의 페이지(핫링크)에서 이 사이트의 이미지를 사용하지 않으려면 이 확인란을 선택합니다.
탐지 404
누군가 귀하의 사이트에 없는 페이지를 요청할 때 404 또는 "페이지를 찾을 수 없음" 오류가 발생합니다. 대부분의 404 오류는 방문자가 오류가 있는 페이지의 URL을 작성하거나 더 이상 존재하지 않는 페이지에 대한 이전 링크를 사용할 때 발생합니다. 그러나 때때로 존재하지 않는 페이지 URL 요청과 함께 동일한 IP 주소에서 비교적 짧은 시간에 연속으로 많은 404 오류를 확인할 수 있습니다. 이 동작은 해커가 악의적인 의도로 특정 페이지 또는 URL을 찾으려고 함을 의미할 수 있습니다.
- 404 IP 감지 및 잠금 활성화. 지정된 IP 주소를 금지하려면 이 상자를 선택하십시오.
- 404 오류로 인한 차단 기간(분). IP 주소가 차단되는 기간을 지정합니다.
- 404 오류 시 URL 리디렉션. 차단된 방문자는 지정한 URL로 자동 리디렉션됩니다.
아래 "404 오류 로그" 표에 기록된 모든 IP 주소를 차단할 수 있습니다. IP 주소를 차단하려면 ID 열 위에 마우스를 놓고 해당 IP 주소에 대한 임시 차단 링크를 클릭합니다.
사용자 정의 규칙
htaccess 파일에서 추가 규칙을 설정할 수 있습니다. 우리는 아무것도 만지지 않습니다.
무차별 대입 공격에 대한 보호
로그인 페이지 이름 바꾸기
암호 무차별 대입으로부터 보호하는 효과적인 방법은 로그인 페이지의 주소를 변경하는 것입니다. 일반적으로 WordPress에 로그인하려면 사이트의 기본 주소를 입력한 다음 wp-login.php(또는 wp-admin)를 입력합니다.
- 로그인 페이지 이름 바꾸기 옵션 활성화. 로그인 페이지 이름 바꾸기 기능을 활성화하려면 확인란을 선택합니다.
- 로그인 페이지의 주소(URL). 지정 새로운 방법관리자에게.
쿠키를 사용한 무차별 대입 보호
- 무차별 대입 공격에 대한 보호 활성화. 이 기능은 브라우저에 특별한 쿠키가 없는 사용자의 로그인 페이지 액세스를 거부합니다.
- 암호, 암어. 추측하기 어려운 영숫자(라틴 문자)로 구성된 비밀 단어를 입력하십시오. 이 단어는 로그인 페이지에 액세스할 수 있는 특수 URL을 만드는 데 사용됩니다(다음 단락 참조).
- 리디렉션 URL. 로그인 양식에 액세스하려고 할 때 해커가 리디렉션될 URL을 입력하십시오. 상상력을 발휘하고 해커를 예를 들어 CIA 또는 FSB 웹사이트로 리디렉션할 수 있습니다.
- 내 사이트에 내장된 WordPress 콘텐츠 비밀번호 보호 기능으로 보호되는 게시물이나 페이지가 있습니다.. 적절한 WordPress 내장 기능을 사용하여 게시물과 페이지를 암호로 보호하는 경우 몇 가지 추가 지시문을 .htaccess 파일에 추가해야 합니다. 이 옵션을 활성화하면 .htaccess 파일에 필요한 규칙이 추가되어 이러한 페이지에 액세스하려는 사람들이 자동으로 차단되지 않습니다.
- 이 사이트에는 AJAX를 사용하는 테마 또는 플러그인이 있습니다.. 사이트에서 AJAX 기능을 사용하는 경우 확인란을 선택합니다.
로그인용 보안문자
이 기능을 사용하면 WordPress 로그인 페이지에 CAPTCHA 필드를 추가할 수 있습니다.
- 로그인 페이지에서 보안문자 활성화. 사이트 로그인 페이지에 보안문자를 추가하려면 이 확인란을 선택합니다.
- 수정된 로그인 페이지에서 CAPTCHA 양식 활성화. wp_login_form() 함수에 의해 생성된 특수 로그인 양식에 보안문자를 추가하려면 이 상자를 선택하십시오.
- "비밀번호 분실" 페이지에서 보안문자 활성화. 비밀번호 복구 페이지에 보안문자를 추가하려면 이 상자를 선택하십시오.
로그인 허용 목록
올인원 WP 보안 화이트리스트 기능을 사용하면 특정 주소 또는 IP 범위에서 WordPress 로그인 페이지에 대한 액세스를 제한할 수 있습니다. 허용된 IP 주소 또는 IP 범위 목록을 추가합니다. 다른 모든 주소는 로그인 페이지를 열려고 하는 즉시 차단됩니다.
꿀 통(허니 포트)
이 기능을 사용하면 로그인 페이지에 숨겨진 특별한 "허니팟" 필드를 추가할 수 있습니다. 로봇만 볼 수 있습니다. 왜냐하면 로봇은 일반적으로 로그인 양식의 모든 필드를 채우고, 숨겨진 특별한 허니팟 필드에도 일부 값을 보냅니다. 따라서 플러그인이 이 필드가 채워진 것을 확인하면 사이트에 로그인을 시도하는 로봇이 자체 주소, 즉 http://127.0.0.1로 리디렉션됩니다.
- 로그인 페이지에서 허니팟 활성화. 로그인 페이지에서 허니팟 기능을 활성화하려면 이 확인란을 선택합니다.
스팸 방지
댓글의 스팸
- 댓글 양식에서 CAPTCHA 활성화. 주석 양식에 CAPTCHA 필드를 삽입하려면 이 상자를 선택하십시오.
- 스팸 봇의 댓글 차단. 스팸봇의 댓글을 차단하는 방화벽 규칙을 사용하려면 이 확인란을 선택합니다. 이 기능은 요청이 도메인 페이지에서 오지 않은 경우 댓글을 작성하려는 시도를 차단하는 방화벽 규칙을 생성합니다. 솔직한 댓글은 댓글 양식을 작성하고 제출 버튼을 클릭하는 사람이 항상 제출합니다. 이 경우 HTTP_REFERRER 필드에는 항상 도메인을 참조하는 값이 있습니다. 스팸 봇의 댓글은 요청에 의해 즉시 comments.php 파일로 전송됩니다. 이는 일반적으로 HTTP_REFERRER 필드가 비어 있거나 다른 사람의 도메인을 참조할 수 있음을 의미합니다. 이 기능은 도메인에서 오지 않은 댓글을 확인하고 차단합니다. 이렇게 하면 스팸 요청을 처리할 때 서버에 대한 총 스팸 및 PHP 요청 수가 크게 줄어듭니다.
댓글 스팸에 대한 IP 주소 추적
Akismet 플러그인이 설치되어 있어야 합니다.
- 스팸 댓글 IP 자동 차단 활성화. vpam이 주석으로 들어오는 IP 주소를 자동으로 차단하도록 설정합니다.
- 최소 스팸 댓글 수. 하나의 IP 주소에 대한 스팸 댓글의 최소 수를 지정하면 이후에 차단됩니다.
- IP당 최소 스팸 댓글 수. 이 정보는 스팸 발송자가 가장 일반적으로 사용하는 IP 주소 또는 IP 범위를 확인하는 데 유용할 수 있습니다. 이 정보를 분석하면 차단 목록에 추가하여 차단해야 하는 주소나 범위를 빠르게 결정할 수 있습니다.
버디프레스
이 기능은 BuddyPress 가입 양식에 간단한 수학 보안문자를 추가합니다. 등록 양식에 CAPTCHA 필드를 추가하면 .htaccess 파일의 규칙을 변경하지 않고도 로봇의 스팸 등록 수를 크게 줄일 수 있습니다.
스캐너
- 파일 변경 사항에 대한 자동 검색 활성화. 시스템이 아래 설정에 따라 파일 변경 사항을 자동으로 확인하도록 하려면 이 확인란을 활성화합니다.
- 스캔 주파수. 스캔 빈도를 지정합니다.
- 다음 형식의 파일 무시. 먼저 사이트 보안을 손상시키지 않으면서 자주 변경될 수 있는 이미지 파일(jpg, jpeg, png, bmp)을 입력합니다.
- 특정 파일 및 폴더 무시. 먼저 캐시가 있는 폴더를 지정합니다.
유지 관리 모드
이 옵션을 사용하면 사이트를 유지 관리 모드로 전환하여 관리자 이외의 방문자가 사이트를 볼 수 없도록 할 수 있습니다. 이것은 무언가를 조정하거나, 디자인을 변경하고, 플러그인을 확인하는 등의 경우에 매우 유용할 수 있습니다. 등.
여러 가지 잡다한
- 복사 방지 활성화. 마우스 오른쪽 버튼 클릭, 텍스트 표시 및 복사 기능을 비활성화하려면 이 옵션을 활성화하십시오. 공개 페이지귀하의 사이트.
- iframe 보호 활성화. 다른 사이트에서 프레임 또는 iframe 내부에 콘텐츠를 표시하지 못하도록 하려면 확인하십시오.
- 사용자 열거를 비활성화합니다. 이 기능을 사용하면 사용자/봇이 "/?Author=1"과 같은 사용자 정보를 검색하는 것을 방지할 수 있습니다. 이 기능을 활성화하면 사용자 정보를 제공하는 대신 오류가 발생합니다.
기사 평가
WordPress용 올인원 WP 보안 및 방화벽 플러그인
4.3 (86.67%) 3 표