WooCommerce 웹사이트를 위한 최고의 보안 사례

게시 됨: 2019-02-02

전자 상거래 웹 사이트는 해커에게 가장 쉬운 표적입니다. 웹 개발자와 시스템 관리자는 보안 문제를 최신 상태로 유지하는 것이 중요합니다.

개발자는 때때로 독립적으로 작동하는 다양한 소스, 플러그인, 확장 및 구성 요소의 수많은 코딩 세트를 사용합니다. 그들은 전자 상거래 웹 사이트를 만드는 동안 기본 코딩 보안 관행을 따릅니다. 서버 측 보안 조치는 적절한 수준의 보안도 제공합니다.

해커는 이러한 가상 인프라 구성 및 보안 프로토콜을 잘 알고 있습니다. 효과적인 스캐너는 현재 모든 시스템 및 보안 메커니즘을 스캔하고 보고하는 데 사용할 수 있습니다. 또한 올바른 도구를 사용하여 취약점을 제거할 수 있습니다.

이 기사에서는 데이터 도난으로부터 비즈니스를 보호하고 해커가 온라인 비즈니스 플랫폼을 놀이터로 사용하는 것을 방지하기 위해 전자 상거래 웹 사이트에 대한 몇 가지 최상의 보안 방법을 제안합니다.

기본 보안 관행

웹 개발자와 서버 관리자는 항상 필요한 모든 기본 보안 관행을 따릅니다. 그들 중 일부는,

  1. 서버의 파일 및 폴더에 대한 적절한 권한 구성.
  2. 암호 보호 관리자 계정 및 사용자 계정.
  3. 인증 영역에서 사용자 입력을 확인합니다.
  4. 웹 개발자는 스크립트에서 사용되는 데이터베이스 및 함수의 SQL 주입 방지 매개변수를 따릅니다.
  5. 프로덕션 서버에 배포하기 전에 웹사이트/앱을 철저히 테스트합니다.

등등…

전자 상거래 웹사이트에서 따르도록 제안하고 싶은 보안 관행 목록을 살펴보겠습니다. 온라인 쇼핑 웹사이트에 보다 유연한 기능을 제공하는 동시에 고객이 웹사이트가 100% 안전하고 거래에 대해 원활하다고 느끼게 하는 것이 중요합니다.

고객의 데이터를 보호하는 것이 최우선이어야 합니다. 해커는 개발자와 관리자가 가끔 알아차리지 못하는 영역에 대해 항상 궁금해합니다. 백도어나 실수 하나만으로도 전체 웹사이트나 웹 서버를 손상시킬 수 있습니다.

  • 핵심을 돌봐

오늘날 대부분의 온라인 쇼핑 웹사이트는 인기 있는 오픈 소스 및 상업용 전자 상거래 소프트웨어를 실행합니다. 개발자는 고객이 원하지 않는 기능을 비활성화하거나 제거하기만 하면 됩니다. 코드를 작성하거나 몇 가지 확장을 추가하여 비즈니스 소유자가 요구하는 누락된 기능을 가져옵니다.

해커는 이러한 오픈 소스 또는 인기 있는 상용 전자 상거래 소프트웨어를 사용하는 웹 사이트를 무작위로 찾기 시작합니다.

핵심을 최신 상태로 유지하는 것은 정말 중요합니다. 사용하는 전자 상거래 소프트웨어가 정기적으로 또는 자주 개발자로부터 적절한 보안 패치 및 버그 수정을 받고 있는지 확인해야 합니다.

Wordpress + WooCommerce, Joomla + WooCommerce 또는 Drupal, 전자 상거래 웹사이트가 실행되는 플랫폼이 무엇이든 Core 플랫폼이 업데이트를 받고 있는지 확인하십시오.

Flycart 플러그인 사용자로서 버그 수정 및 성능 개선에 대한 정기적인 업데이트를 받게 되어 기쁩니다.

  • 신뢰할 수 있는 소스의 플러그인/확장

전자 상거래 웹 사이트를 관리하는 웹 사이트 개발자가 신뢰할 수 있는 출처에서만 사이트 플러그인, 구성 요소 및 확장을 가져오고 있는지 항상 확인하십시오. 플러그인을 무료로 사용하거나 임의 소스에서 스크립트 및 코드를 복사하기 때문에 단순히 플러그인을 사용하는 것과 같은 관행을 권장하지 마십시오.

새로운 웹 개발자와 프로그래머가 따르는 잘못된 코딩 습관 중 하나는 Google에서 검색하여 코드 조각을 복사하고 때로는 소스를 제대로 확인하지 않고 전체 스크립트를 복사하는 것입니다.

이렇게 하면 해커가 백도어 찾기 작업을 훨씬 쉽게 수행할 수 있습니다.

몇 달러를 절약하면 해킹 시도가 성공할 때 수천 달러를 잃게 되어 고객 데이터, 금융 데이터 및 개인 데이터가 큰 위험에 놓이게 됩니다.

  • 관리자 패널 보안

꿀병 같은 느낌입니다. /admin/, /administrator/, /login/은 웹 개발자가 가장 일반적으로 사용하는 폴더 이름 중 일부이며 웹사이트에서 해커에 대한 첫 번째 주요 검색입니다.

모든 종류의 입력 유효성 검사 공격, CSS, XSS 및 기타 유형의 공격을 찾으면 해커가 작업을 훨씬 쉽게 수행할 수 있습니다.

이러한 로그인 영역, 특히 .htaccess를 사용하여 관리자 디렉터리를 보호하는 것은 웹 개발자가 수행해야 하는 매우 기본적인 수준의 보안 조치입니다. 또한 mod_security(Apache 서버인 경우)에 IP 블랙리스트를 설정하는 것은 해커의 무차별 대입 스크립트 공격을 방지하는 데 필수적입니다.

  • 일상적인 백업 프로세스

항상 전체 웹 사이트에 대한 정기적인 백업 프로세스가 있는지 확인하십시오. 웹 사이트 손상 또는 데이터 삭제 유형의 공격의 경우 막대한 재정 데이터 손실을 방지하기 위해 백업 서버에서 가장 최근 데이터를 복원하는 것이 매우 중요합니다.

대부분의 웹 호스팅 회사는 구매해야 하는 추가 기능으로 백업을 제공합니다. 물론 호스팅 회사가 이러한 백업을 유지하려면 비용이 많이 듭니다.

내 권장 사항은 백업 비용을 절약하려고 하지 말고 데이터베이스를 포함하여 전체 웹 사이트의 라우팅 백업도 수행하도록 서버를 구성했는지 확인하는 것입니다.

  • 앱 수준 모니터링 시스템 배포

CloudFlare와 같은 웹 보안 서비스는 우수한 웹사이트/웹 앱 모니터링 시스템을 제공합니다. 누가 귀하의 웹 사이트를 방문하고 어떤 디렉토리 및 폴더 세트에 액세스하는지에 대한 완전한 세부 정보를 알 수 있습니다. 일반 분석 소프트웨어에 의존하는 것보다 앱 수준 모니터링 시스템을 배포하여 쇼핑 웹사이트에서 발생하는 사용자 액세스 및 이벤트를 정기적으로 모니터링하고 기록하는 것이 매우 중요합니다.

관리자, 직원 및 고객 로그인 영역이 여러 개인 경우 정기적으로 모니터링하는 것이 중요합니다. 모든 성공적인 로그인 시도가 기록되고 실패한 시도에도 플래그가 지정되는지 확인하십시오.

이러한 로그에는 IP 주소, OS 정보 및 기타 타임스탬프 데이터도 포함되어야 합니다.

응용 프로그램 수준 방화벽은 효과적인 것으로 입증되었으며 전자 상거래 웹 사이트를 보다 쉽게 ​​관리할 수 있도록 해야 합니다.

  • 타사 보안 테스트 앱

전자 상거래 웹 사이트 개발자는 개발 후 확인 및 유효성 검사를 수행하기 위한 특정 테스트 도구를 가지고 있을 수 있습니다. 해커는 조직의 오래된 정기 테스트 관행보다 항상 몇 단계 앞서 생각합니다.

Sucuri는 웹 사이트 및 웹 앱 보안 평가와 관련하여 제가 가장 좋아하는 도구입니다. 해커가 개인적으로 가장 좋아하는 것은 Nesus 취약점 평가 도구입니다. Nessus는 모든 웹 애플리케이션에 존재하는 열악한 코딩 방식을 찾는 데 효과적인 소프트웨어입니다.

Sucuri와 Cloudflare는 둘 다 초보 사용자와 비즈니스 조직이 해킹 시도에 대해 크게 걱정하지 않아도 되는 상당히 안심할 수 있는 기능을 제공합니다. 이를 통해 모든 웹 사이트 트래픽을 리디렉션하기만 하면 이러한 해킹 시도, 악의적인 해커에 의한 스크립트 실행을 처리하고 웹 사이트 페이지 속도도 높일 수 있습니다.

이 1000개 이상의 단어를 모두 처리하는 데 인내심을 가져 주셔서 감사합니다. :) 이 기사가 유용하고 전자 상거래 웹사이트가 직면할 수 있는 위협에 대해 더 잘 이해할 수 있기를 바랍니다.

읽어 주셔서 감사합니다. 유용하다고 생각되면 전자 상거래 웹 사이트에 대한 이러한 모범 사례에 대해 자유롭게 공유하십시오. 좋은 하루 되세요.


저자 정보:

Robin 은 보안 컨설턴트, 기술 블로거 및 유튜버입니다. 그는 가르치는 일에 매우 열정적이며 끊임없이 새로운 기술을 학습합니다. DailyTut에서 WooCommerce의 할인 규칙 - Pro 리뷰 블로그 게시물을 찾을 수 있습니다.