카페24

    제품 코드 : cafe24 사이트 보기
    본 메뉴얼은 테마를 구매 후 기본적인 세팅을 직접 진행하실 때 참고하실 수 있는 자료 입니다.
    워드프레스의 기초적인 사용방법은 제외되어 있지만 메뉴얼 내용을 참고하시면 충분시 사이트 세팅 및 관리 하실 수 있습니다.
    구매하기 문의하기 카톡문의

    카페24 기본 설치 플러그인(보안관련)

    • 카페24

    Akismet Anti-spam: Spam protection

    Akismet Anti-spam 플러그인은 워드프레스에서 스팸 댓글과 폼 제출을 자동으로 차단하는 강력한 스팸 필터링 솔루션입니다. Automattic(워드프레스의 개발사)이 개발했으며, 워드프레스 기본 설치 시 함께 제공됩니다.

    사이트 방문

    주요기능

    자동스팸 감지

    • 댓글 및 문의 폼 제출 내용을 분석하여 스팸을 자동으로 차단합니다.
    • 신뢰할 수 없는 IP, 의심스러운 단어, 알려진 스팸 패턴을 기반으로 필터링합니다.

    전 세계적인 스팸 데이터베이스 활용

    • 수백만 개의 웹사이트에서 축적된 스팸 데이터를 실시간으로 분석하여, 최신 스팸 유형을 감지합니다.

    자동 휴지통 처리

    • 스팸으로 감지된 댓글은 자동으로 분류되며, 일정 기간 후 삭제됩니다.
    • 사이트 관리자는 스팸 댓글을 따로 확인하지 않아도 됨.

    IP 차단 및 블랙리스트 기능

    • 반복적으로 스팸을 등록하는 IP를 차단하여 추가적인 보호 기능을 제공합니다.

    폼 보호 기능

    • Contact Form 7, Gravity Forms, Jetpack Comments 등의 폼 플러그인과 연동하여, 스팸 제출을 차단할 수 있습니다.

    Disable XML-RPC-API

    Disable XML-RPC-API 플러그인은 워드프레스의 XML-RPC 기능을 비활성화하는 보안 플러그인입니다. XML-RPC는 외부 애플리케이션이 워드프레스에 접근할 수 있도록 하는 기능이지만, 보안 취약점이 발생할 수 있어 많은 사이트에서 이를 비활성화합니다.

    사이트 방문

    XML-RPC란?

    XML-RPC (Remote Procedure Call)는 XML과 HTTP를 사용하여 원격에서 워드프레스와 상호작용할 수 있도록 하는 기능입니다.

    이 기능을 활용하면 다음과 같은 작업이 가능합니다:

    • 외부 앱에서 워드프레스 게시물 작성 및 수정
    • Jetpack 및 기타 원격 서비스 연결
    • 모바일 앱을 통한 워드프레스 관리

    하지만 보안 취약점이 존재하여, 공격자가 이를 악용할 수 있습니다.

    Disable XML-RPC-API 주요 기능

    • XML-RPC 완전 비활성화 – 사이트의 xmlrpc.php 파일을 완전히 차단
    • 보안 강화 – XML-RPC를 이용한 DDoS 공격, Brute-force(무차별 대입 공격) 방지
    • REST API는 유지 – 워드프레스 REST API는 활성화된 상태로 유지 가능
    • 모바일 앱 및 일부 플러그인과의 충돌 방지 옵션 제공

    XML-RPC를 비활성화하면 안 되는 경우

    • 워드프레스 모바일 앱을 사용 중이라면
    • Jetpack 플러그인의 기능(예: 사이트 모니터링, 퍼블리싱)을 사용한다면
    • 외부 자동화 툴(예: IFTTT, Zapier 등)과 연동 중이라면

    Login Lockdown

    Login LockDown 플러그인은 워드프레스 로그인 페이지에서 무차별 대입 공격(Brute-force attack) 을 방지하는 보안 플러그인입니다.
    공격자가 반복적으로 비밀번호를 시도하여 계정에 무단 접근하는 것을 차단하여 사이트 보안을 강화할 수 있습니다.

    사이트 방문

    주요기능

    • 시도 제한 – 지정된 횟수 이상 로그인 실패 시 해당 IP를 차단
    • 로그인 차단 시간 설정 – 일정 시간 동안 로그인 불가하도록 설정 가능
    • IP 기반 차단 – 동일한 IP에서 지속적인 로그인 실패 발생 시 차단
    • 관리자 알림 기능 – 로그인 실패가 많을 경우 관리자에게 알림 제공
    • 화이트리스트 기능 – 특정 IP는 차단되지 않도록 설정 가능

    왜 Login LockDown을 사용해야 할까?

    • 워드프레스 보안 취약점 보호
      • 기본적으로 워드프레스 로그인 페이지는 무한 로그인 시도가 가능함
      • 공격자가 자동화된 스크립트로 여러 비밀번호를 시도할 수 있음
    • 서버 부하 감소
      • 반복적인 로그인 시도를 차단하여 서버 리소스를 절약할 수 있음
    • 관리자 계정 보호
      • 관리자 계정이 해킹될 위험을 줄일 수 있음

    Disable XML-RPC-API

    NinjaFirewall (WP Edition)은 워드프레스 사이트를 웹 애플리케이션 방화벽(WAF) 으로 보호하는 강력한 보안 플러그인입니다.
    이 플러그인은 일반적인 보안 플러그인보다 더 깊은 레벨에서 웹사이트를 보호하며, 악성 코드와 해킹 시도를 차단하는 기능을 제공합니다.

    사이트 방문

    주요 기능

    • 실시간 웹 애플리케이션 방화벽(WAF) – 사이트로 들어오는 모든 HTTP 요청을 필터링
    • 파일 보호 기능 – 파일 변경 감지 및 악성 코드 차단
    • 로그 분석 및 공격 탐지 – 보안 로그 기록 및 관리자 알림 기능
    • Brute-force(무차별 대입 공격) 방어 – 로그인 시도 제한 및 강력한 차단 기능
    • 고급 보안 규칙 설정 – 맞춤형 보안 규칙 추가 가능
    • 보안 헤더 강화 – XSS(크로스 사이트 스크립팅) 및 코드 삽입 공격 방지
    • 고성능, 낮은 리소스 사용 – 가벼우면서 강력한 보안 기능 제공

    하지만 보안 취약점이 존재하여, 공격자가 이를 악용할 수 있습니다.

    NinjaFirewall (WP Edition) 작동 방식

    • 일반적인 보안 플러그인은 워드프레스 내부에서 작동하지만, NinjaFirewall은 워드프레스 실행 전에 트래픽을 필터링하는 고유한 방식을 사용합니다.
    • 즉, 웹사이트에 도달하기 전에 모든 악의적인 요청을 차단하여 더 강력한 보안 기능을 제공합니다.

    Really Simple Security

    Really Simple Security(이전 명칭: Really Simple SSL)는 워드프레스 웹사이트의 보안을 강화하기 위한 경량화되고 사용하기 쉬운 플러그인입니다. 이 플러그인은 SSL 인증서 생성, HTTPS 리디렉션, 취약점 검사, 로그인 보호, 그리고 필수적인 워드프레스 강화 기능을 제공합니다.

    사이트 방문

    주요기능

    간편한 SSL 마이그레이션

    • 한 번의 클릭으로 웹사이트를 HTTPS로 전환하고 SSL을 적용합니다.​
    • PHP 또는 .htaccess를 통한 301 리디렉션 지원​
    • 보안 쿠키 설정​
    • Let’s Encrypt를 통한 SSL 인증서 설치 (호스팅 제공자가 수동 설치를 지원하는 경우)​
    • 서버 상태 점검 기능​

    워드프레스 강화

    • 업로드 폴더에서 코드 실행 방지​
    • 로그인 피드백 방지 및 사용자 열거 비활성화​
    • XML-RPC 비활성화​
    • 디렉토리 검색 비활성화​
    • 특정 사용자명 제한 (‘admin’ 및 공개 이름 차단)​

    취약점 감지

    • 플러그인, 테마 또는 워드프레스 코어에 취약점이 있을 경우 알림을 제공합니다.​

    로그인 보호

    • 특정 사용자 역할에 대해 2단계 인증(2FA)을 허용하거나 적용합니다.
    • 사용자는 이메일을 통해 2단계 인증 코드를 받습니다.

    Two-Factor

    Two-Factor 플러그인은 워드프레스 로그인 보안을 강화하기 위해 2단계 인증(2FA) 을 추가하는 플러그인입니다.
    이 플러그인은 관리자, 편집자, 사용자 계정에 추가 인증 단계를 설정하여 무차별 대입 공격(Brute-force attack) 및 계정 탈취 위험을 방지합니다.

    사이트 방문

    주요 기능

    다양한 2FA 인증 방식 지원

    • TOTP(시간 기반 일회용 비밀번호) – Google Authenticator, Authy, Microsoft Authenticator와 연동
    • 이메일 인증 코드 – 로그인 시 이메일로 인증 코드 전송
    • 백업 코드 – 긴급 로그인용 일회용 코드 제공
    • FIDO U2F(보안 키) – YubiKey 같은 물리적 보안 키 지원
    • 비밀번호 없이 로그인(Passwordless login) – 일반 로그인 없이 2FA만으로 로그인

    사용자별 2FA 설정 가능

    • 개별 사용자 또는 특정 역할별로 2FA 적용 여부 선택 가능

    백업 코드 지원

    • 휴대폰을 분실하거나 인증 앱을 사용할 수 없을 때 대비하여 백업 코드 제공

    간편한 설정

    • 복잡한 설정 없이 워드프레스 관리자 페이지에서 쉽게 설정 가능

    오픈소스 & 무료

    • 무료로 제공되며, 추가적인 프리미엄 요금 없이 모든 기능 사용 가능

    WP Super Cache

    WP Super Cache는 워드프레스 웹사이트의 속도를 향상시키는 캐싱(Caching) 플러그인입니다.
    페이지를 정적인 HTML 파일로 변환하여 서버 부하를 줄이고, 방문자에게 빠른 로딩 속도를 제공합니다.

    이 플러그인은 Automattic(워드프레스 개발사)이 관리하며, 무료로 사용 가능한 인기 캐싱 플러그인 중 하나입니다.

    사이트 방문

    주요기능

    • 정적 HTML 캐싱 – PHP를 실행하지 않고 빠른 HTML 페이지 제공
    • 캐싱 모드 3가지 제공 – 단순, 전문가, WP-Cache 모드
    • CDN(콘텐츠 전송 네트워크) 지원 – Cloudflare, KeyCDN 등과 연동 가능
    • Gzip 압축 지원 – 파일 크기를 줄여 로딩 속도 향상
    • 캐시 자동 삭제 및 갱신 – 게시물 업데이트 시 캐시 자동 정리
    • 모바일 캐싱 지원 – 모바일 방문자에게 최적화된 캐싱 제공
    • REST API 지원 – 캐시 관련 API 제공

    WPForce Logout

    WPForce Logout은 워드프레스 사이트에서 관리자가 특정 사용자 또는 모든 사용자를 강제로 로그아웃시킬 수 있도록 도와주는 플러그인입니다. 이를 통해 보안 강화 및 사용자 세션 관리를 효율적으로 수행할 수 있습니다.

    사이트 방문

    주요 기능

    • 모든 사용자 강제 로그아웃: 한 번의 클릭으로 사이트의 모든 사용자를 로그아웃시킬 수 있습니다.
    • 특정 사용자 로그아웃: 개별 사용자를 선택하여 로그아웃할 수 있습니다.
    • 사용자 상태 확인: 현재 온라인 상태인 사용자와 오프라인 사용자를 확인할 수 있습니다.
    • 마지막 로그인 활동 추적: 사용자의 마지막 로그인 시간을 추적하여 활동을 모니터링할 수 있습니다.
    • 유휴 사용자 자동 로그아웃: 일정 시간 동안 활동이 없는 사용자를 자동으로 로그아웃시킵니다. (PRO 버전 기능)
    • 브라우저 종료 시 자동 로그아웃: 사용자가 브라우저를 닫을 때 자동으로 로그아웃되도록 설정할 수 있습니다. (PRO 버전 기능)
    • 세션 만료 설정: 사용자 세션의 유효 기간을 설정하여 보안을 강화할 수 있습니다. (PRO 버전 기능)
    • 로그아웃 후 리디렉션: 로그아웃 후 사용자를 특정 페이지로 리디렉션할 수 있습니다. (PRO 버전 기능)