메인 콘텐츠로 건너뛰기

보안 권장 사항

웹사이트를 위한 필수 보안 권장 사항

사이트에서 발생할 수 있는 악의적인 활동의 위험을 줄이는 데 도움이 되도록 몇 가지 필수 보안 가이드라인을 정리했습니다. 이러한 방법을 따르면 데이터를 보호하고 사이트를 원활하게 운영하는 데 도움이 됩니다.

무차별 대입 공격을 방지하기 위해 복잡한 비밀번호를 사용하세요

비밀번호는 대문자와 소문자, 숫자, 특수 문자를 조합하여 최소 8자 이상으로 설정하세요. 중요한 사항:

  • 각 계정(FASTPANEL 사용자, FTP/SFTP 계정, 메일박스, 사이트 관리자 패널)마다 서로 다른 비밀번호를 사용하세요.
  • 비밀번호가 유출될 위험을 줄이기 위해 정기적으로 변경하세요.

사이트를 별도의 FASTPANEL 사용자 계정에서 호스팅하세요

여러 사이트를 동일한 사용자 계정에서 호스팅하지 마세요. 한 사이트가 침해되면 해당 계정을 공유하는 모든 사이트에 영향을 줄 수 있습니다. 별도의 계정에서 호스팅하면 악성 스크립트가 사이트 간에 확산되는 것을 방지할 수 있습니다. 이는 여러 고객의 웹사이트를 관리하는 에이전시나 사용자에게 특히 중요합니다.

백업을 설정하세요

정기적인 백업은 장애나 해킹이 발생했을 때 사이트를 빠르게 복원할 수 있도록 해줍니다. 백업이 중요한 이유는 다음과 같습니다:

  • 업데이트 실패나 보안 침해 후 사이트를 복원할 수 있습니다.
  • 비상 상황에서 데이터 손실을 방지합니다.

자동 백업을 설정하려면 이 가이드를 따르세요.

백업용 공간이 더 필요하신가요?
백업 스토리지 임대

스팸과 무차별 대입 공격을 방지하기 위해 캡차를 적용하세요

봇에 의한 스팸 및 해킹 시도를 줄이려면 다음을 수행하세요:

  • 모든 웹 양식(로그인, 회원가입, 댓글 섹션)에 캡차를 설치하세요.
  • CMS에 기본 제공되는 캡차 플러그인이 있는지 확인하세요. WordPress 및 Joomla와 같은 인기 있는 CMS 플랫폼은 Google reCAPTCHA와 같은 사용하기 쉬운 플러그인을 제공합니다.

캡차는 스팸 제출과 비밀번호 무차별 대입 공격을 크게 줄여 사이트의 무결성을 보호할 수 있습니다.

OS, CMS 및 플러그인을 최신 상태로 유지하세요

소프트웨어 취약점은 개발자들에 의해 정기적으로 발견되며, 이를 보호하기 위한 패치가 배포됩니다. 다음과 같이 하세요:

  • CMS, 서버 OS 및 설치된 플러그인의 업데이트를 정기적으로 확인하세요.
  • 가능한 경우 자동 업데이트를 예약하여 중요한 보안 패치가 항상 설치되도록 하세요.

웹사이트가 해킹되었을 때 해야 할 일

불행히도 해킹이 발생한 경우 피해를 최소화하고 사이트를 복원하기 위해 다음 단계를 따르세요:

접근 제한:
악성 스크립트의 확산을 방지하기 위해 HTTP 인증을 사용하여 침해된 사이트에 대한 접근을 즉시 차단하세요. 이 작업은 FASTPANEL의 사이트 설정에서 관리할 수 있습니다.

cron 작업 확인:
공격 중에는 악성 cron 작업이 추가되는 경우가 많습니다. 침해된 사용자의 cron 작업을 검토하려면 SSH를 통해 다음 명령을 실행하세요(USER를 실제 사용자 이름으로 바꾸세요):

crontab -l -u USER

서버 재부팅:
악성 프로세스를 중지하려면 FASTPANEL에서 "Settings" -> "Main"을 통해 서버를 재부팅하세요.

해킹 조사 및 정리:

  • 서버 로그와 파일 수정 시간을 사용하여 해킹의 원인을 추적하세요.
  • 악성 코드를 수동으로 제거하거나 해킹 이전에 생성된 정상 백업에서 복원하세요.
  • FASTPANEL의 Scan 기능을 사용하되, 모든 악성코드가 탐지되지는 않을 수 있다는 점에 유의하세요.

소프트웨어 업데이트:
취약점을 식별한 후 CMS, 플러그인 및 서버 구성 요소를 최신 버전으로 업데이트하세요.

정리 후 백업:
사이트가 정리되면 새 백업을 생성하세요.

사이트 동작 모니터링:
사이트에 대한 공개 접근을 허용하고 추가적인 악의적 활동이 발생하지 않는지 주의 깊게 모니터링하세요.

지속적인 유지 관리

해킹에서 복구한 후에도 선제적인 보안 조치를 계속 유지하는 것이 중요합니다:

  • 비정상적인 활동이 있는지 서버 로그를 정기적으로 확인하세요.
  • 정기적으로 취약점 검사를 수행하세요.
  • 모든 사이트 구성 요소가 항상 최신 상태인지 확인하세요.
  • 중요한 계정에 다단계 인증(MFA)을 적용하세요.