6 years, 4 months 전-
안녕하세요.
사이트를 만들면서 가장 중요한 보안에 대해서 그동안 너무 무신경했던것 같아 이제와서라도 예방하려합니다..
현재 프로토콜은 ssl인증서를 사용해서 https를 적용하고있지만, xss공격 방지를 위한 조치는 안해놨습니다.
혹시 플러그인 중에서 xss공격을 방지해주는 보안 플러그인이 있나요?
만약 플러그인이 없다면 이런 공격들에 대해서 보통 어떻게 조치하고 계시는지 여쭤봐도 될까요?
감사합니다.
안녕하세요?
Wordfence Security 같은 보안 플러그인을 설치하면 보안에 도움이 될 것입니다.
특히 워드프레스, 테마, 플러그인을 제 때에 업데이트를 하지 않을 경우 보안에 취약해질 수 있습니다. Wordfence를 설치하면 플러그인을 업데이트하지 않거나 플러그인이 오랫동안 업데이트되지 않아 방치될 경우 알림을 보내주기 때문에 유용합니다.
그리고 기본적으로 보안 플러그인 설치, 워드프레스/테마/플러그인 최신 버전 유지, 그리고 정기적인 백업을 통해 워드프레스를 안전하게 운영할 수 있을 것입니다.
저는 거지라서 apache에 mod_security 추가해서 쓰고 있습니다(이것땜에 워드프레스 플러그인 충돌 나면 modsecurity 잠깐씩 비활성화하고 대응합니다.). php 5에서 워드프레스 돌리신다면 php수호신도 도움이 될거예요.
엔진엑스에는 naxsi라는 게 있다고 합니다.
안녕하세요 워드크래커님.
감사합니다.
소스 수정했던것들을 다 훅으로 변경하고 업데이트를 해야겠네요..ㅠㅠ
훅 기능 관련해서 좀 더 여쭤봐도될까요?
훅 기능으로 테마나 플러그인의 기존 레이아웃 및 기능을 변경할 수 있나요?
테마의 경우 차일드 테마를 만들어서 작업하시고, 후크로 처리할 수 없는 레이아웃은 CSS, javascript, jQuery 등으로 처리하면 어떨까 생각됩니다.
감사합니다 워드크래커님.
근데 한가지 궁금한점이 있습니다.
css는 style.css에 작업하면 된다 해도
javascript나 jquery는 어디에 작업해야하나요??
현재는 php 소스안에 직접 삽입해놓은 상태인데 이것도 테마나 플러그인 업데이트하면 날라가지 않나요..?? ㅠㅠ
안녕하세요?
다음 두 글을 참고해보시기 바랍니다.
jimnong님 추가질문 드려도 될까요?
혹시 mod_security 추가를 어떻게 세팅하셨는지 방법을 여쭤봐도 될까요?
구글링하면서 세팅해보고는 있는데 조금 복잡한거같아요 ㅠㅠ..
그게요… 저도 (정리 안해두고) 급하게 진행하다보니 시간 지나니까 잊혀지더군요.
도움 못드려 죄송합니다.ㅠㅠ
설치하고 기본 룰셋만 받아서 적용한 것으로 기억하고, 영문 글 참고 많이 했습니다. 디지털오션 튜토리얼이나 우분투 커뮤니티 같은데서요.https://www.digitalocean.com/community/tutorials/how-to-set-up-modsecurity-with-apache-on-ubuntu-14-04-and-debian-8
http://www.modsecurity.org/
https://www.howtoinstall.co/en/ubuntu/xenial/libapache2-modsecurity
https://www.howtoinstall.co/en/ubuntu/xenial/modsecurity-crs
https://2buntu.com/articles/1571/installing-lamp-modsecurity-modsecurity-crs-on-ubuntu-1604/▲ 도움이 되실 거예요.
정리 안해둔 게 후회돼서 블로그에 우분투 설치부터 차근차근 정리하고 있는데,
진척이 잘 안되네요. mod_security까지 되짚으려면 한참 걸릴 듯합니다.ㅠ
- 답변은 로그인 후 가능합니다.