해커들이 워드프레스 관리자 이메일을 훔치는 방법(그리고 이를 막는 방법)

불편한 진실부터 시작해 봅시다.

워드프레스 관리자 이메일 주소는 생각보다 훨씬 더 공개되어 있을 가능성이 높습니다.
해커들은요? 그들은 그걸 아주 좋아하죠.

그들에게 관리자 이메일은 단순한 받은 편지함이 아닙니다. 스팸 공격, 피싱 시도, 무차별 대입 로그인, 그리고 새벽 3시에 발생하는 "비밀번호 재설정" 오류와 같은 문제를 야기하는 열쇠와 같습니다.

만약 당신이 운영한다면 워드프레스 사이트, 알고 있음 어떻게 해커들이 관리자 이메일을 찾아내는 방법과 그러한 접근을 차단하는 방법은 생존의 기본입니다.

해커들이 관리자 이메일에 집착하는 이유

해커들은 "오늘은 웹사이트 디자인을 감상해야겠다"라고 생각하며 잠에서 깨지 않습니다.“
그들은 잠에서 깨어나면서 "내가 뭘 부술 수 있을까?"라고 생각한다.“

관리자 이메일 주소는 그들이 바로 그렇게 할 수 있도록 도와줍니다.

• 자격증명 도용
  인터넷 어딘가에 유출된 비밀번호가 있나요? 해커들이 여기서 시도해 볼 겁니다.
• 피싱
  가짜 "워드프레스 보안 경고" 이메일은 실제 관리자에게 전송될 때 더 큰 피해를 줍니다.
• 스팸 및 악성 소프트웨어
  일단 당신의 이메일 주소가 알려지면, 디지털 스팸 메일을 마음껏 즐기세요.
• 계정 탈취 시도
  비밀번호 재설정 이메일은 악용될 경우 강력한 도구가 될 수 있습니다.

요약하자면, 그들이 당신의 관리자 이메일을 알고 있다면, 당신은 이미 그들의 감시 대상이라는 뜻입니다.

해커들이 워드프레스 관리자 이메일을 실제로 찾아내는 방법

마법도 아니고, 할리우드식 해킹 장면도 아닙니다. 대부분 그냥 게으름 때문이죠… 아주 효율적으로 자동화된 시스템입니다.

1. 저자 페이지: 의도치 않은 과도한 정보 공유

WordPress는 다음과 같은 작성자 페이지를 유용하게 생성합니다.

yoursite.com/author/username

겉보기엔 별문제 없어 보이지만, 사실은 그렇지 않습니다.

• 많은 테마에서 작성자 정보가 공개적으로 표시됩니다.
• Gravatar 이미지는 이메일과 연결되어 있습니다.
• 사용자 이름은 데이터 유출 데이터베이스와 대조하여 확인할 수 있습니다.

축하합니다! 당신의 블로그 소개글이 다크 웹 스카우팅 목록에 추가되었습니다.

2. 댓글란: 함부로 말하면 사이트가 망한다

댓글은 의견보다 더 많은 것을 조용히 흘려보낼 수 있습니다.

• 일부 테마는 숨겨진 메타데이터를 출력합니다.
• 오래된 플러그인이 실수로 이메일을 HTML 형식으로 노출합니다.
• 해커들은 커피보다 "소스 보기"를 더 좋아합니다.

댓글 기능을 잠그지 않으면 정보 자동판매기가 되어버립니다.

3. 연락처 페이지: 인터넷에서 가장 인기 있는 뷔페

친절한 "저희에게 연락주세요" [email protected]”?

봇은 이를 다음과 같이 인식합니다.
“"무료 타겟 확보 완료."”

"admin [at] site [dot] com"과 같은 교묘한 위장도 항상 도움이 되는 것은 아닙니다. 봇은 우리가 생각하는 것보다 훨씬 똑똑합니다.

4. REST API: 개발자에게도 유용하고, 해커에게도 유용합니다.

WordPress REST API는 다음을 노출할 수 있습니다.

• 사용자 이름
• 그라바타 해시
• 공개 사용자 데이터

해커들은 때때로 그라바타 해시값을 이용해 이메일을 역분석하기도 합니다.

이상적이지는 않다.

5. XML-RPC: 아무도 잠그지 않은 측면 문

XML-RPC는 이메일을 직접 유출하지는 않지만, 해커가 일단 이메일 주소를 확보하면 가장 선호하는 공격 경로가 됩니다.

자동 로그인 시도를 생각해 보세요. 수천 건의 시도가 아주 빠르게 이루어집니다.

6. 테마 및 플러그인: 가장 취약한 부분

오래된 플러그인과 코딩이 부실한 테마는 다음과 같은 문제를 일으킬 수 있습니다.

• 템플릿에 있는 유출 이메일
• 오류 로그에 관리자 데이터 노출
• 취약점이 발견되면 사용자 테이블을 덤프합니다.

해커는 먼저 버전을 스캔하고, 그다음 취약점을 이용합니다. 절대 잠들지 않습니다.

관리자 이메일에 해커가 접근하지 못하도록 막는 방법

좋은 소식입니다. 편집증은 필요 없고, 똑똑한 설정만 있으면 됩니다.

1. 관리자 계정으로 게시물 올리는 거 그만둬 (진심이야)

공개 콘텐츠를 위해 별도의 작성자 또는 편집자 계정을 만드세요.

• 일반명
• 일반 이메일
• 관리자는 보이지 않는 상태로 유지됩니다.

관리자 계정은 눈에 띄지 않고, 비공개이며, 거의 사용되지 않아야 합니다.

2. REST API를 안전하게 보호하세요

공개적으로 필요하지 않다면 접근을 제한하세요.

• 로그인한 사용자에게만 접근 권한을 부여합니다.
• 또는 노출된 엔드포인트를 비활성화합니다.

데이터가 적을수록 문제가 적습니다.

3. 저자 아카이브 삭제 또는 숨기기

필요하지 않다면 /작성자/사용자 이름 페이지:

• 색인에서 제외하거나 SEO 플러그인을 통해 비활성화하세요.
• 홈페이지로 리디렉션하세요
• 그들이 존재하지 않았던 것처럼 행동해

해커들은 찾을 수 없는 것은 아쉬워하지 않을 것이다.

4. 댓글 설정 정리

• 마크업에 이메일 주소를 노출하지 마세요.
• 안전한 스팸 방지 플러그인을 사용하세요
• 댓글 데이터는 비공개로 유지됩니다.

댓글란은 토론을 촉발해야지, 데이터 유출을 위한 공간이 되어서는 안 됩니다.

5. 공용 이메일 대신 양식을 사용하세요

사용자가 귀하에게 연락해야 하는 경우:

• 문의 양식을 사용하세요
• 자바스크립트를 사용하여 이메일을 난독화합니다.
• 푸터에 관리자 이메일을 절대 표시하지 마세요.

폼 내용은 스크래핑되지 않습니다. 이메일만 스크래핑됩니다.

6. XML-RPC를 비활성화하십시오(가능하다면).

사용하지 않는다면:

• 끄세요
• 또는 엄격하게 제한하세요

공격 경로 하나 줄었으니 후회는 없다.

7. 모든 것을 항상 업데이트하세요.

대부분의 누출은 다음을 통해 발생합니다.

• 오래된 플러그인
• 버려진 주제들
• 무시된 워드프레스 업데이트

사용하지 않는 것은 삭제하세요.
디지털 공간의 어수선함은 디지털 범죄자를 끌어들입니다.

8. 실제 보안 플러그인을 사용하십시오

훌륭한 보안 플러그인은 공격을 차단할 뿐만 아니라 정보 유출도 막아줍니다.

• 봇 감지
• API 악용 방지
• 로그인 모니터링

웹사이트의 경비원이라고 생각하시면 됩니다.

결론: 개인정보 보호는 성능 향상의 핵심 요소입니다.

워드프레스 관리자 이메일을 보호하는 것은 "추가 보안"이 아닙니다.“
기본적인 위생 수칙입니다.

해커들은 설정이 허술하게 되어 있다는 점을 악용합니다.
기본 설정보다 약간 더 똑똑하면 승리합니다.

에서 AIRSANG, 이러한 사고방식은 우리가 하는 모든 일에 깊이 스며들어 있습니다.
저희는 국경 간 전자상거래를 전문으로 합니다., 워드프레스 & 쇼피파이 웹사이트 디자인과 장기적인 사이트 안정성은 단순히 출시 당일에 보기 좋게 보이는 시각적인 요소에만 국한되지 않습니다.

글로벌 웹사이트를 구축하거나, 온라인 스토어를 재설계하거나, 규모 확장에 앞서 보안을 강화하려는 경우, 저희가 기꺼이 도와드리겠습니다.
저희는 단순히 웹사이트만 디자인하는 것이 아니라, 안전하게 성장하는 시스템을 디자인합니다.

따르다 AIRSANG 웹 디자인, 성능 및 국경을 넘는 성장에 대한 보다 실질적인 통찰력을 얻으려면 다음을 참조하십시오.