WordPress Salts 및 보안 키를 이해하기 위한 완벽한 가이드

Rifat 워드프레스 튜토리얼 Nov 22, 2024

WordPress 사이트를 요새로 상상해 본 적이 있나요? 로그인 자격 증명이 성의 열쇠가 되는 거죠. 그 열쇠가 침입자가 복제할 수 없는 모양이 바뀌는 경이로움으로 변할 수 있다면 어떨까요?

그것이 WordPress 솔트와 보안 키의 마법입니다. 이러한 암호화 도구는 추가 보호 계층으로 작용하여 로그인 프로세스를 무단 액세스 및 무차별 대입 공격에 대한 강력한 보안 장벽으로 전환합니다.

이 포괄적인 가이드는 WordPress 솔트를 신비화 해제하고, 사이트 방어를 강화하는 데 중요한 역할을 알아보고, 솔트의 힘을 활용하는 방법을 보여줍니다. 노련한 개발자이든 호기심 많은 사이트 소유자이든, 이러한 무작위 문자열을 이해하고 올바르게 구현하는 것은 끊임없이 진화하는 디지털 환경에서 강력한 보안을 유지하는 데 필수적입니다.

WordPress 솔트와 키는 무엇인가요?

WordPress 솔트와 보안 키는 웹사이트 로그인 프로세스의 보안을 강화하는 암호화 도구입니다. 이러한 무작위 문자열은 사용자 비밀번호와 로그인 자격 증명에 대한 추가 보호 계층 역할을 합니다.

놀라운 웹사이트 만들기

최고의 무료 페이지 빌더 Elementor와 함께

지금 시작

다음은 주요 측면에 대한 세부 내용입니다.

  1. 무작위 문자열: 솔트와 키는 본질적으로 무작위 문자의 혼합물입니다.
  2. wp-config.php에 위치: 사이트의 wp-config.php 파일에 정의되어 있습니다.
  3. 비밀번호 보안 강화: 비밀번호 해시에 솔트가 추가되어 해킹 시도에 대한 내구성이 강화됩니다.
  4. 인증 쿠키 보호: 키는 쿠키를 보호하여 사용자 세션을 유지하는 데 도움이 됩니다.
  5. 각 사이트별 고유성: 모든 WordPress 설치에는 고유한 솔트와 키 세트가 있어야 합니다.
  6. 정기적 업데이트 권장: 이를 정기적으로 변경하면 보안 장벽이 하나 더 추가됩니다.

WordPress는 이러한 요소를 통합하여, 비록 암호화된 비밀번호 데이터를 어떻게 얻었더라도 허가되지 않은 사용자가 사이트에 접근하는 것을 훨씬 어렵게 만듭니다.

WordPress Salt Keys 이해

WordPress 솔트는 사이트의 보안 레시피를 깨기 어렵게 만드는 비밀 재료와 같습니다. 민감한 데이터를 읽을 수 없는 문자 혼합물로 뒤섞는 암호화 도구로 생각해 보세요. 여기에는 비밀번호와 로그인 자격 증명이 포함됩니다. 해싱이라고 하는 이 프로세스는 많은 플랫폼에서 사용자 정보를 보호하기 위해 사용하는 중요한 보안 조치입니다.

작동 원리는 다음과 같습니다.

  1. 비밀번호 보호: 로그인 폼에 비밀번호를 입력하면, 솔트는 데이터베이스에 저장되기 전에 복잡한 코드로 변환하는 데 도움이 됩니다. 즉, 누군가가 데이터베이스를 몰래 들여다보더라도 실제 비밀번호를 읽을 수 없습니다.
  2. 쿠키 보안: 솔트는 또한 브라우저 쿠키(로그인한 것을 기억하는 작은 데이터)를 보호합니다. 쿠키도 뒤섞여서 공격자가 쿠키 데이터를 훔쳐서 당신인 척하는 것을 훨씬 어렵게 만듭니다.
  3. 강화된 로그인 보안: 솔트가 적용되면 WordPress 로그인 영역이 요새가 됩니다. 무단 사용자가 침입하기가 훨씬 더 어려워집니다.
  4. 내장된 보호: 좋은 소식은 WordPress가 바로 사용할 수 있는 솔트를 제공한다는 것입니다. 사이트의 wp-config.php 파일에서 찾을 수 있으며, 보통 public_html 폴더에 있습니다. 무작위 문자로 이루어진 문자열처럼 보이며, 각각 고유한 보안 키 역할을 합니다.

이러한 솔트 키를 사용하면 WordPress에서 사이트에 보호 계층을 추가하여 일반적인 보안 위협에 대한 회복력을 훨씬 더 높일 수 있습니다.

워드프레스 솔트의 종류

보안 키와 WordPress 솔트는 무작위 문자로 구성된 고유한 문자열입니다. 사용자 이름과 비밀번호는 해커가 해독하지 못하도록 이러한 문자열을 사용하여 해시됩니다. 해시된 자격 증명은 도난당하더라도 웹사이트에 액세스하는 데 사용할 수 없습니다. 이러한 솔트는 일반적으로 WordPress 파일 구조의 필수 구성 요소인 wp-config.php 파일에 보관됩니다.

"WordPress 보안 키"와 "WordPress 솔트"는 종종 서로 바꿔 사용됩니다. 그러나 8개의 문자열은 동일합니다. 4개의 보안 키는 AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, NONCE_KEY입니다. 모든 보안 키에는 일치하는 솔트가 있습니다.

WordPress salts and security keys in the wp-config.php file

WordPress salts는 로그인 자격 증명을 보호하므로 이를 기밀로 유지하는 것이 중요합니다. Cloudways와 같은 일부 서버는 일반적으로 wp-config.php 파일에 보관되지만 다른 wp-salt.php 파일에 보관하는 것을 선호합니다. 보관된 파일에 관계없이 다른 곳에 보관해서는 안 됩니다. 이것이 Pantheon.io와 같은 일부 웹 호스팅에서 이에 액세스하거나 변경할 수 없는 이유이기도 합니다.

WordPress Salts는 어떻게 작동하나요?

무상태 시스템의 한 유형은 WordPress입니다. 이는 다른 특정 프로그램과 달리 사용자 세션을 보존할 수 없음을 나타냅니다. 대신 WordPress 브라우저의 쿠키를 사용하여 사용자를 "로그인" 상태로 유지합니다. 따라서 WordPress는 사용자 이름과 비밀번호로 로그인하면(그리고 WordPress 보안에 대해 진지하게 생각한다면 2FA) 브라우저에 전달되는 쿠키를 만듭니다. 해당 쿠키가 있고 해당 요구 사항이 충족되면 "로그인" 상태를 유지합니다.

WordPress가 사용자를 식별하려면 웹사이트를 사용할 때마다 이 쿠키를 WordPress에 제공해야 하며, 이를 통해 사용자가 자신을 인증해야 합니다. WordPress는 쿠키에 저장된 비밀번호를 암호화하여 데이터가 가능한 한 안전하게 유지되도록 합니다. 이 상황에서는 솔트가 유용합니다.

워드프레스 쿠키

WordPress 쿠키의 구체적인 내용을 깊이 다루는 것은 이 글의 범위를 벗어나지만, 간단히 솔트와 쿠키에 관해 이야기해 보는 것도 가치가 있을 듯합니다.

쿠키는 WordPress 사용자의 브라우저에 저장된 텍스트 파일이라는 점을 기억하세요. 쿠키는 WordPress에 사용자의 신원과 로그인 여부와 같은 중요한 정보를 제공합니다.

  • WordPress_logged_in_[hash]: WordPress는 쿠키를 사용하여 로그인 여부를 확인합니다. LOGGED_IN_KEY 키와 LOGGED_IN_SALT salt는 이 쿠키를 해싱하는 데 사용됩니다. 다음 부분에서 이에 대해 더 자세히 설명합니다.
  • WordPress_[hash]: 이 쿠키는 WordPress 웹사이트를 수정하고 관리자 페이지에서 사용됩니다. SSL/TLS를 사용하는 경우 SECURE_AUTH_KEY 키와 SERCURE_AUTH_SALT salt를 사용하여 이 쿠키를 해싱합니다. SSL/TLS를 사용하지 않는 경우 AUTH_KEY 키와 AUTH_SALT salt를 사용합니다.

소금 쿠키

간단히 말해서, 솔트는 쿠키 로그인 자격 증명과 같은 개인 데이터를 해싱하는 데 사용됩니다. 이로 인해 쿠키가 도난당하면 비밀번호를 읽는 것이 거의 불가능할 것입니다.

솔트와 키는 표준 WordPress 브라우저 세션과만 호환됩니다. PHP 세션을 사용하는 경우 WordPress 솔트를 사용하여 데이터가 해시되지 않습니다. 이는 여러 가지 이유로 권장되지 않습니다.

앞서 말했듯이, 이 방법은 완벽하지 않습니다. 쿠키가 도난당하면, 쿠키를 가진 사람이 세션을 제어하고 여러분 대신 WordPress 웹사이트를 사용할 수 있습니다. 그렇습니다. WordPress의 관점에서 보면 그들은 여러분일 것입니다.

솔트와 키는 WordPress가 설치될 때 자동으로 생성되지만, 언제든지 수정할 수 있습니다. 이를 변경하는 방법과 어디에서 찾을 수 있는지 논의하겠습니다.

WordPress Salts를 변경하는 방법(두 가지 방법)

가끔 WordPress 솔트를 직접 만들어야 할 수도 있습니다. 보안 키는 다른 상황에서는 미리 정의되어 있습니다. 상황을 살펴보고 솔트 키가 없는 경우 다음 간단한 단계에 따라 설정하세요.

수동 방법

수동으로 하려면 비밀 키를 만들어야 합니다. WordPress의 내장 랜덤 키 생성기를 사용하면 플랫폼 내에서 이를 수행할 수 있습니다. 비밀 키를 만드는 대신 이 방법을 사용하세요. 문자가 깨지기 어렵기 때문입니다. 완료하는 데 몇 초 밖에 걸리지 않으므로 시간 낭비가 없습니다.

다음으로 WordPress의 Secret Key Service 로 가서 목록을 가져옵니다. 솔트 키와 대체 키 목록입니다. 다음과 같이 표시되어야 합니다.

다음 단계는 이러한 WordPress salts를 복사하고 FTP 클라이언트를 시작하는 것입니다. 변경하려면 웹사이트의 루트 폴더에서 wp-config.php 파일을 마우스 오른쪽 버튼으로 클릭합니다. "Authentication Unique Keys and Salts" 줄을 찾아 방금 복사한 WordPress salts를 이 섹션에서 찾은 것으로 대체합니다. 파일을 다시 서버로 업로드하고 수정 사항을 저장하는 것을 잊지 마세요. 사이트를 안전하게 유지하는 가장 쉬운 방법은 3~6개월마다 이 작업을 수행하는 것입니다. 키를 생성하려면 항상 WordPress.org secret-key 서비스를 사용하세요.

플러그인 사용

이전 절차가 너무 어렵다고 생각되면 더 간단한 접근 방식인 플러그인을 사용할 수 있습니다. Salt Shaker 라는 무료 플러그인은 위에서 읽은 모든 단계를 자동화합니다. 다운로드하여 활성화하기만 하면 됩니다. 수동으로 변경하는 동안 사용할 수 없는 추가 기능은 플러그인을 사용하여 제공됩니다. Salt Shaker를 사용하여 WordPress 솔트를 조정할 시기를 계획하면 일부 의무를 없앨 수 있습니다. WordPress 솔트를 수정할 때마다 귀하와 다른 웹사이트 사용자는 WordPress 로그인 페이지를 사용하여 다시 체크인해야 한다는 점을 기억하세요.

결론

안전한 WordPress 웹사이트를 유지하는 데 가장 중요한 부분 중 하나는 솔트와 보안 키를 알고 제어하는 ​​것입니다. 이러한 권장 사례를 따르면 쿠키 하이재킹 및 불법 액세스와 같은 잠재적 위험으로부터 웹사이트를 보호하는 데 큰 도움이 될 것입니다.

웹사이트의 보안을 더욱 강화하려면 솔트와 키를 정기적으로 교체하는 것을 잊지 마세요. 그리고 원치 않는 접근을 피하려면 항상 비공개로 유지하세요!

자주 묻는 질문(FAQ)

1. 워드프레스 솔트란 무엇인가요?

답변: WordPress 솔트는 사용자 로그인 자격 증명을 보호하는 데 사용되는 무작위 문자열입니다. 사용자 이름과 비밀번호의 암호화 해시를 생성하여 보안을 강화합니다.

2. WordPress에서는 왜 이것을 솔트라고 부르나요?

답변: "소금"은 암호화에서 암호화 전에 추가되는 무작위 데이터입니다. WordPress 보안 키는 이런 방식으로 작동하므로 "소금"이라는 이름이 붙었습니다.

3. WordPress에서 salt 키를 변경해야 하는 이유는 무엇입니까?

답변: 보안 침해 후 WordPress 솔트를 변경하세요. 해커가 wp-config.php 파일에 액세스했다면 잠재적으로 비밀번호를 해독할 수 있습니다. 솔트를 변경하면 무단 액세스를 방지하는 데 도움이 됩니다.

WordPress에서 salt를 어떻게 변경하나요?

답변: WordPress 솔트를 변경하는 세 가지 방법:

  1. wp-config.php 또는 wp-salt.php를 수동으로 편집하세요
  2. 강화 기능이 있는 보안 플러그인을 사용하세요
  3. Salt Shaker 플러그인을 사용하세요
Divi WordPress Theme