홈서버 워드프레스 보안 강화 방법 – 외부 공격을 막는 실전 설정 가이드

홈서버 워드프레스 보안 강화 방법 – 외부 공격을 막는 실전 설정 가이드

홈서버로 워드프레스를 운영한다는 건 곧,
내 컴퓨터를 인터넷에 노출시키는 것이다.

누구나 접근 가능한 블로그인 만큼,
기본적인 보안 설정을 하지 않으면 각종 해킹 시도, 봇 공격에 노출될 수 있다.

특히 홈서버는 상용 호스팅처럼 방화벽, 침입탐지시스템이 자동으로 설정되지 않기 때문에
사용자가 직접 보안을 챙겨야 한다.

이번 글에서는 홈서버 환경에서 워드프레스를 안전하게 운영하기 위한
실전 보안 설정 가이드를 소개한다.

🚨 홈서버 보안 위협 현황

실제 공격 사례 통계

홈서버 vs 상용 호스팅 보안 차이

결론: 홈서버는 모든 보안을 직접 챙겨야 한다

🔐 Level 1: 워드프레스 기본 보안

1-1. 관리자 계정 보안

❌ 취약한 설정

사용자명: admin
비밀번호: password123
이메일: [email protected]
표시 이름: admin

→ 봇 공격 1순위 타겟!

✅ 안전한 설정

# 1. 사용자명 변경 (admin 금지)
사용자 → 새로 추가
사용자명: myblog_master_2024
역할: 관리자

기존 admin 계정 삭제

# 2. 강력한 비밀번호
길이: 16자 이상
조합: 대소문자 + 숫자 + 특수문자
예시: mY$3rV3r!2024@Wp#Str0ng

비밀번호 관리자 사용 추천:
- Bitwarden (무료, 오픈소스)
- 1Password
- LastPass

# 3. 이메일 보안
개인 이메일 사용 금지
블로그 전용 이메일: [email protected]

# 4. 표시 이름 변경
사용자 → 프로필 → 표시 이름
admin (X) → 블로그 운영자 (O)

1-2. 로그인 보안 강화

플러그인: Limit Login Attempts Reloaded

# 설치
플러그인 → 새로 추가 → "Limit Login Attempts Reloaded"

# 설정
Settings → Limit Login Attempts

허용 시도: 3회
잠금 시간: 60분
IP 차단 기간: 24시간

로그인 실패 알림:
✅ 이메일 알림 활성화
이메일: [email protected]

화이트리스트:
내 고정 IP 추가 (선택)

플러그인: WPS Hide Login

# 관리자 URL 변경

설치 → 활성화

Settings → WPS Hide Login

Login URL: /my-secret-admin-2024
(기본 /wp-login.php 숨김)

주의:
⚠️ URL 메모 필수! (잊으면 복구 어려움)
⚠️ wp-config.php에 백업 접근 경로 추가 권장

1-3. 2단계 인증 (2FA)

플러그인: Two Factor Authentication

# 설치
플러그인 → "Two Factor Authentication"

# 설정
사용자 → 프로필 → Two-Factor Options

방법 선택:
✅ Google Authenticator (추천)
- Google Authenticator 앱 설치
- QR 코드 스캔
- 백업 코드 저장

□ 이메일 코드
□ SMS (유료)

로그인 시:
1. 비밀번호 입력
2. 인증 코드 입력 (6자리)
→ 이중 보안

🛡️ Level 2: 보안 플러그인 종합 설정

추천 플러그인 비교

All In One WP Security 설정 (초보자 권장)

# 설치
플러그인 → "All In One WP Security & Firewall"

# Dashboard
보안 점수 확인: 목표 70/100 이상

# User Login
✅ Login Lockdown
- Max Login Attempts: 3
- Lockout Time: 60 minutes
- Unlock Time: 24 hours

✅ Force Logout
- Idle Time: 30 minutes

# User Registration
✅ Manual Approval (스팸 방지)
✅ Honeypot (봇 차단)

# Database Security
✅ DB Prefix 변경
- 기본 wp_ → 예: mysec_2024_
⚠️ 백업 후 실행!

# Filesystem Security
✅ File Permissions
- wp-config.php: 400
- .htaccess: 404

✅ PHP File Editing
- Disable File Editing (관리자 내 편집 금지)

# Firewall
✅ Basic Firewall Rules
✅ Block Fake Googlebots
✅ Block Proxy Access

# Blacklist
✅ Ban Users
- User Agents 차단 (악성 봇)

# Scanner
✅ File Change Detection
- Scan Frequency: Daily
- Email Notification: On

# Settings
✅ Email Notifications
- Critical Events Only

📦 Level 3: 시스템 업데이트 관리

업데이트 우선순위

자동 업데이트 설정

# wp-config.php에 추가

// WordPress 핵심 자동 업데이트 (보안 패치)
define( 'WP_AUTO_UPDATE_CORE', 'minor' );

// 플러그인 자동 업데이트 (선택)
add_filter( 'auto_update_plugin', '__return_true' );

// 테마 자동 업데이트 (비권장)
add_filter( 'auto_update_theme', '__return_false' );

// 번역 자동 업데이트
add_filter( 'auto_update_translation', '__return_true' );

업데이트 전 체크리스트

• ☐ 전체 백업 (DB + 파일)
• ☐ 플러그인 호환성 확인 (WordPress.org에서 리뷰 확인)
• ☐ 스테이징 환경 테스트 (가능하면)
• ☐ 유지보수 모드 활성화
• ☐ 업데이트 실행
• ☐ 사이트 기능 점검
• ☐ 에러 로그 확인

🌐 Level 4: HTTPS 및 네트워크 보안

SSL 설정 점검

# SSL 테스트
사이트: https://www.ssllabs.com/ssltest/

목표: A+ 등급

# wp-config.php 설정
define('FORCE_SSL_ADMIN', true);

# .htaccess에 HTTP→HTTPS 리디렉션

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]


# 혼합 콘텐츠 제거
플러그인: Really Simple SSL
→ 자동으로 HTTP 리소스를 HTTPS로 변환

Cloudflare 보안 설정 (무료)

# Cloudflare 가입 및 DNS 설정

1. cloudflare.com 가입
2. 사이트 추가 → DNS 레코드 가져오기
3. 네임서버 변경 (도메인 제공자)

# 보안 설정
SSL/TLS → Full (Strict)

Firewall:
- Security Level: Medium
- Bot Fight Mode: On
- Challenge Passage: 30 minutes

WAF (Web Application Firewall):
- OWASP Core Ruleset: On
- Custom Rules:
  * Block countries (선택)
  * Rate Limiting: 100 req/min

Page Rules:
- Cache Everything
- Browser Cache TTL: 4 hours

DDoS Protection:
- 자동 활성화 (무료)

# 결과
- 공격 차단
- 속도 향상
- 대역폭 절약

🧱 Level 5: 서버 보안 (Linux/Docker)

SSH 보안 강화

# SSH 설정 파일 편집
sudo nano /etc/ssh/sshd_config

# 변경 사항
Port 2289  # 기본 22 → 다른 포트
PermitRootLogin no  # root 로그인 금지
PasswordAuthentication no  # 비밀번호 로그인 금지
PubkeyAuthentication yes  # 키 인증만 허용
MaxAuthTries 3  # 최대 시도 3회
ClientAliveInterval 300  # 5분 타임아웃
ClientAliveCountMax 2

# 재시작
sudo systemctl restart sshd

# SSH 키 생성 (로컬에서)
ssh-keygen -t ed25519 -C "[email protected]"

# 공개키 복사
ssh-copy-id -p 2289 -i ~/.ssh/id_ed25519.pub user@server

# 접속 테스트
ssh -p 2289 user@server

Fail2ban 설치 (자동 차단)

# 설치
sudo apt update
sudo apt install fail2ban -y

# 설정
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo nano /etc/fail2ban/jail.local

# 내용
[DEFAULT]
bantime = 3600  # 1시간 차단
findtime = 600  # 10분 내
maxretry = 3  # 3회 실패 시

[sshd]
enabled = true
port = 2289
logpath = /var/log/auth.log

[nginx-http-auth]
enabled = true
port = http,https
logpath = /var/log/nginx/error.log

# 시작
sudo systemctl enable fail2ban
sudo systemctl start fail2ban

# 상태 확인
sudo fail2ban-client status
sudo fail2ban-client status sshd

방화벽 설정 (UFW)

# UFW 설치
sudo apt install ufw -y

# 기본 정책
sudo ufw default deny incoming
sudo ufw default allow outgoing

# 필요한 포트만 열기
sudo ufw allow 2289/tcp  # SSH
sudo ufw allow 80/tcp    # HTTP
sudo ufw allow 443/tcp   # HTTPS

# 특정 IP만 SSH 허용 (선택)
sudo ufw allow from 123.123.123.123 to any port 2289

# Rate Limiting (DDoS 방어)
sudo ufw limit 2289/tcp
sudo ufw limit 80/tcp
sudo ufw limit 443/tcp

# 활성화
sudo ufw enable

# 상태 확인
sudo ufw status verbose

🧠 Level 6: 백업 및 복구 시스템

3-2-1 백업 전략

UpdraftPlus 자동 백업

# 설치
플러그인 → UpdraftPlus WordPress Backup

# 설정
Settings → UpdraftPlus Backups

파일 백업: 주 1회 (일요일 03:00)
DB 백업: 매일 (03:00)
보관: 파일 4개, DB 14개

저장소: Google Drive
→ 인증 → 폴더 선택

포함 항목:
✅ 플러그인
✅ 테마
✅ 업로드
✅ 기타 wp-content

제외:
✅ 캐시 파일
✅ 백업 파일

이메일 알림:
✅ 백업 성공/실패 알림

저장

Docker 볼륨 백업 스크립트

#!/bin/bash
# ~/backups/docker-backup.sh

DATE=$(date +%Y%m%d_%H%M%S)
BACKUP_DIR=~/backups/wordpress
WP_VOLUME="wordpress-project_wordpress_data"
DB_VOLUME="wordpress-project_db_data"

mkdir -p $BACKUP_DIR

# WordPress 파일
docker run --rm \
  -v $WP_VOLUME:/source:ro \
  -v $BACKUP_DIR:/backup \
  alpine \
  tar czf /backup/wp_$DATE.tar.gz -C /source .

# MySQL DB
docker run --rm \
  -v $DB_VOLUME:/source:ro \
  -v $BACKUP_DIR:/backup \
  alpine \
  tar czf /backup/db_$DATE.tar.gz -C /source .

# mysqldump
docker exec wordpress-db mysqldump \
  -u root -p$MYSQL_ROOT_PASSWORD \
  --all-databases --single-transaction \
  > $BACKUP_DIR/dump_$DATE.sql
gzip $BACKUP_DIR/dump_$DATE.sql

# 30일 이상 된 백업 삭제
find $BACKUP_DIR -name "*.tar.gz" -mtime +30 -delete
find $BACKUP_DIR -name "*.sql.gz" -mtime +30 -delete

# Rclone으로 Google Drive 업로드
rclone copy $BACKUP_DIR gdrive:Backups/WordPress \
  --include "*$DATE*" \
  --progress

echo "Backup completed: $DATE"

# 실행 권한
chmod +x ~/backups/docker-backup.sh

# Cron 자동화
crontab -e
0 3 * * * ~/backups/docker-backup.sh >> ~/backups/backup.log 2>&1

📊 보안 모니터링

Wordfence 로그 분석

# Wordfence → Tools → Live Traffic

확인 사항:
- 로그인 실패 시도 (국가, IP)
- 404 에러 패턴 (파일 탐색 시도)
- SQL Injection 시도
- XSS 공격 시도

주간 리포트:
- 차단된 공격 수
- 상위 공격 국가
- 취약점 발견

→ 패턴 분석 후 IP 차단 또는 국가 차단

서버 로그 모니터링

# Nginx 로그
sudo tail -f /var/log/nginx/access.log
sudo tail -f /var/log/nginx/error.log

# fail2ban 로그
sudo tail -f /var/log/fail2ban.log

# Docker 로그
docker logs wordpress-app --tail 100 -f
docker logs wordpress-db --tail 100 -f

# 주간 리포트 생성
sudo apt install logwatch -y
sudo logwatch --detail High --mailto [email protected] --range today

📝 정리하며

핵심 요약

• Level 1: 관리자 계정, 로그인 보안, 2FA
• Level 2: All In One WP Security 전체 설정
• Level 3: WordPress/플러그인 자동 업데이트
• Level 4: HTTPS, Cloudflare WAF
• Level 5: SSH, Fail2ban, UFW 방화벽
• Level 6: 3-2-1 백업 전략

보안 체크리스트

• ☐ admin 계정 제거
• ☐ 강력한 비밀번호 (16자+)
• ☐ 2FA 활성화
• ☐ 로그인 시도 제한
• ☐ 관리자 URL 변경
• ☐ All In One WP Security 설치
• ☐ HTTPS 강제
• ☐ Cloudflare 연결
• ☐ SSH 포트 변경
• ☐ Fail2ban 설치
• ☐ UFW 방화벽 활성화
• ☐ 자동 백업 설정
• ☐ 주간 보안 점검

다음 단계

다음 글에서는 홈서버 워드프레스 속도 최적화 방법을 다룬다:

• 페이지 로딩 속도 진단
• 캐시 플러그인 설정
• 이미지 최적화 자동화
• CDN 연동 (Cloudflare)
• 데이터베이스 최적화
• PHP 성능 튜닝

보안을 확보했다면, 이제 방문자 경험을 개선할 차례다.
느린 사이트는 SEO 순위도 낮고 광고 수익도 떨어진다. ⚡