Really Simple SSL Plugin리뷰가 궁금하시다면, 오늘 포스팅을 집중해 주시면 되겠습니다.
안녕하세요. 이번 포스팅은 지난 포스팅에 이어 Really Simple SSL Plugin 리뷰의 주요 기능을 소개해 드리려고 합니다. 저 역시 해당 플러그인을 공부하고 있는 만큼 하나씩 함께 확인하는 마음으로 읽어주시면 좋을 것 같습니다.
간편한 보안 헤더 추가
HTTP 보안 헤더는 클릭재킹, 크로스 사이트 스크립트 공격, 악성코드와 같은 일반적인 위협으로부터 사이트를 보호합니다. 또한 해커가 로그인 정보를 훔치는 것을 더 어렵게 만들 수 있습니다. Really Simple SSL은 사이트에 다양한 보안 헤더를 쉽게 추가할 수 있습니다. 여기에는 X-XSS 보호, X-Content-Type-Options 및 X-Frame-Options가 포함됩니다.
콘텐츠 보안 정책
표준 보안 헤더 외에도 Really Simple SSL Plugin은 사용자 지정 콘텐츠 보안 정책(CSP)을 만들 수 있습니다. 이렇게 하면 어떤 콘텐츠를 로드할 수 있는지를 브라우저에 알리고 크로스 사이트 스크립팅(XSS) 및 클릭재킹 공격을 방지할 수 있습니다.
이 프로세스를 더욱 쉽게 하기 위해 Really Simple SSL은 학습 모드를 가지고 방문자가 사용하는 리소스를 감지합니다. 그리고 리소스를 승인하고 워드프레스 블로그 및 사이트에 가장 적합한 CSP를 만들 수 있습니다.
권한 정책 생성기
Really Simple SSL Plugin에는 내장 Permissions Policy 헤더 생성기가 있습니다. 외부 iFrame을 포함하여 사이트에서 사용할 수 있는 브라우저 기능을 선택할 수 있습니다. 예를 들어 사이트가 방문자의 마이크에 액세스하지 못하게 하거나 Payment Request API 사용을 차단할 수 있습니다.
Really Simple SSL을 사용하면 몇 번의 클릭만으로 사이트에 권한 정책을 적용할 수 있습니다. 그리고 권한을 허용, 비활성화 및 자체로 표시할 수 있습니다. self를 선택하면 Really Simple SSL은 자체 도메인 이름의 콘텐츠에 대한 권한을 부여합니다.
관리자 계정 모니터링
해커가 관리자 권한을 얻는 데 성공하면 사이트와 모든 데이터에 무제한 액세스할 수 있습니다. 따라서 Really Simple SSL Plugin은 계정에 추가된 모든 새 관리자를 확인하고 관리자 권한을 어떻게 획득했는지 확인할 수 있습니다.
워드프레스 대시보드에서 관리자 사용자 권한이 할당되지 않은 경우 Really Simple SSL은 자동으로 해당 사람의 권한을 구독자로 변경하고 이메일 알림을 보냅니다. 이런 식으로 취약점이나 보안 허점을 악용하여 관리자 권한을 할당하는 해커를 식별할 수 있습니다.
맞춤 로그인 URL
워드프레스는 가장 인기 있는 CMS 플랫폼이며 40% 이상의 사이트를 운영하고 있지만 해커의 일반적인 표적이기도 합니다. 해커는 wp-admin 및 wp-login과 같은 일반적인 로그인 URL을 사용하여 사이트에 침입하려고 시도합니다.
Really Simple SSL에서는 대신 맞춤 로그인 URL을 선택할 수 있습니다. 해커가 로그인 페이지를 찾고 무차별 공격을 사용하여 공격하기가 어렵습니다.
워드프레스 버전 숨기기
해커는 워드프레스의 특정 버전에 존재하는 알려진 보안 취약점을 노릴 수 있습니다. 그럼에도 불구하고 워드프레스 버전 번호를 숨기고 해커에게 어떤 버전을 사용하는지 즉시 알 수 없는 것이 좋습니다. Really Simple SSL이 사이트의 파일을 약간 변경할 수 있기 때문에 해커가 워드프레스 버전 번호를 쉽게 볼 수 없다는 것입니다.
사용자 정의 데이터베이스 접두사
Really Simple SSL Plugin은 데이터베이스 접두사를 ‘wp’에서 임의 값으로 변경하여 간단한 공격을 피할 수 있습니다.
이렇게 하면 해커가 데이터베이스 접두사를 찾아 사이트 취약점을 파악하기가 어려워집니다. 그러나 해커는 프로그램을 통해 데이터베이스 접두사를 찾을 수 있으므로 더 성공적인 공격을 막을 수 없습니다.
Debug.log 파일 보호
사이트의 debug.log 파일에는 사용자 이름, 서버 경로 및 비밀번호와 같은 중요한 정보가 포함될 수 있습니다. 기본적으로 워드프레스 사이트는 모두 debug.log에 동일한 경로를 사용하므로 해커가 쉽게 찾아 다운로드할 수 있습니다.
워드프레스의 보안을 향상시키기 위해 Really Simple SSL은 무작위 이름의 폴더에 debug.log를 추가하고 경로를 변경할 수 있습니다. 이 간단한 변경은 사이트에 추가 보안 계층을 추가합니다.
애플리케이션 암호 비활성화
사이트에서 일반 사용자 비밀번호가 아닌 애플리케이션 비밀번호를 사용하는 이유가 있을 수 있습니다. 그러나 이중 인증을 피하기 위해 응용 프로그램 암호를 사용하는 해커도 있습니다. 그럼에도 불구하고 응용 프로그램 암호를 사용할 필요가 없다면 Really Simple SSL을 사용하여 비활성화할 수 있습니다.
파일 편집기 비활성화
워드프레스에는 에디터가 내장되어 있어 워드프레스 대시보드에서 테마나 플러그인 파일을 직접 편집할 수 있다. 이러한 편집기는 유용하지만 해커는 사이트에 악성 코드를 추가하거나 데이터를 훔치기 위해 편집기를 사용할 수 있습니다.
그럼에도 불구하고 이러한 편집기는 Really Simple SSL 설정으로 비활성화할 수 있습니다.
코드 실행 방지
기본적으로 워드프레스는 사용자가 사이트의 ‘uploads’ 폴더에 .php 파일을 업로드할 수 없습니다. 그러나 누군가가 이 제한을 피하는 데 성공하면 Really Simple SSL은 PHP 코드가 실행되는 것을 방지합니다. 그러나 이 기능은 Apache 및 Lightspeed 서버에서만 작동하니 참고해 주시면 되겠습니다.
디렉토리 브라우징 비활성화
디렉터리 브라우징은 제3자에게 중요한 정보를 노출하여 사이트를 위험에 빠뜨릴 수 있습니다. 사이트를 방문하여 웹 페이지가 아닌 파일 및 폴더 목록을 본 적이 있다면 디렉토리 탐색이 실제로 수행되는 것을 보았을 것입니다. 이를 통해 해커는 워드프레스 테마와 플러그인 등 사이트를 구성하는 모든 파일을 볼 수 있습니다.
이러한 항목에 알려진 취약점이 있는 경우 해커는 해당 지식을 활용하여 사이트를 제어하거나 데이터를 훔치거나 기타 악의적인 행위를 할 수 있습니다. Really Simple SSL Plugin은 모든 폴더에 index.html 파일을 만들어 디렉토리 탐색을 비활성화할 수 있습니다. 이렇게 하면 해커가 사이트에 대해 알기 위해 디렉토리를 사용할 수 없습니다.
오늘 소개해 드린 Really Simple SSL Plugin 리뷰는 블로그 이웃분들에게 도움이 되셨나요. 다음 포스팅에서는 새로운 워드프레스 플러그인을 소개해 드릴 것을 약속드리며, 오늘 포스팅은 이만 마치겠습니다.
