19. 워드프레스 보안 – 서버 보안 및 방화벽 설정

1. 서버 보안은 왜 중요한가요?

워드프레스 사이트의 많은 공격은 애플리케이션(워드프레스) 레이어를 넘어서 서버 레벨 취약점을 통해 성공합니다. 따라서 웹서버(호스트) 자체를 안전하게 구성하지 않으면, 아무리 워드프레스 내부를 단단히 해도 근본적인 방어는 되지 않습니다. 서버 보안의 경우 접근 통제, 패치 관리, 네트워크 필터링, 로그 모니터링을 포괄합니다.

2. 방화벽 유형과 역할

2-1. 네트워크 방화벽(Perimeter FW)

네트워크 계층에서 포트와 IP를 통제합니다. 불필요한 포트(예: 3306, 6379)를 차단하여 공격 표면을 줄여줍니다.

2-2. 웹 애플리케이션 방화벽(WAF)

HTTP/HTTPS 트래픽을 검사하여 SQL Injection, XSS, 파일 업로드 악용 등을 차단하게 됩니다. Cloudflare, Sucuri 같은 클라우드형 WAF와 ModSecurity 같은 호스트형 WAF가 있습니다.

2-3. 호스트 기반 방화벽

서버 내부에서 iptables, ufw 등으로 프로세스·포트별 접근 제어를 합니다. SSH 접근 제한, 내부 DB 포트 로컬 바인딩 등 세밀한 제어가 가능해집니다.

3. 기본 서버 보안 설정(즉시 적용 권장)

3-1. SSH 보안 강화

• SSH 키 인증만 허용하고 비밀번호 로그인은 비활성화 할 것. (PasswordAuthentication no).
• PermitRootLogin no로 루트 직접 접속을 차단하세요.
• 관리자는 고정 IP에서만 SSH 가능하도록 방화벽 규칙을 설정해두면 안전합니다.

3-2. 포트·서비스 최소화

• 불필요한 서비스는 제거하거나 비활성화하세요.
• DB(예: MySQL)는 가급적 로컬호스트 바인딩(bind-address=127.0.0.1)으로 외부 노출을 막습니다.

3-3. 방화벽 규칙 예시 (ufw)

ufw allow 80/tcp
ufw allow 443/tcp
ufw allow from 203.0.113.10 to any port 22   # 관리자 IP 허용
ufw enable

3-4. 자동 차단 도구 적용 (Fail2ban)

• SSH, wp-login, 기타 인증 실패 패턴을 모니터링해 반복 실패 IP를 자동 차단합니다. 기본 룰을 적용하고 필요 시 커스텀 룰을 추가하시길 바랍니다.

3-5. 패치와 업데이트 정책

• OS, 웹서버(Apache/Nginx), PHP, DB는 정기적(주간/월간)으로 패치하십시오.
• 보안 패치는 가능한 한 신속히 적용하더라도, 주요 변경 전에는 스테이징에서 테스트하세요.

4. WAF 구성 전략: 클라우드형 VS 호스트형

4-1. 클라우드형 WAF 장점

• 적용이 빠름, DDoS 완화, CDN 연동으로 속도와 보안 동시 개선.
• 단점: 외부 의존성이 크고 비용 발생 가능.

4-2. 호스트형 WAF 장점

• 서버 내에서 직접 제어가 가능, 오프라인 환경에서도 동작.
• 단점: 룰 튜닝·오탐 관리에 운영비용이 소모된다.

권장 전략: 전방에는 클라우드 WAF(Cloudflare 등)를 두고, 내부에는 ModSecurity 같은 호스트형 방어를 병행하는 이중 방어를 권장합니다.

5. 로그·모니터링·알림 체계

5-1. 실시간 모니터링

서버 자원(Metrics), 웹 접근 로그, 보안 이벤트를 통합 대시보드(예: Grafana + Prometheus, 또는 호스팅 제공 모니터링)로 모니터링 하세요.

5-2. 중앙 로그 수집

ELK(Elasticsearch, Logstash, Kibana) 또는 Graylog로 웹·애플리케이션·시스템 로그를 중앙집중화하면 탐지 효율이 높아지게 됩니다.

5-3. 알림 설정

비정상 트래픽·다수의 로그인 실패·파일 변경이 감지되면 이메일·슬랙 등으로 즉시 알림이 가도록 구성하십시오.

6. 추가 권장 설정(보완적)

6-1. TLS 강화 및 HSTS 적용

안정된 TLS 버전과 강력한 암호화 세트를 사용해야 하고 HSTS를 적용해 중간자 공격을 줄이십시오.

6-2. 파일 권한 최소화

wp-config.php를 600, 업로드 폴더는 755 등 최소 권한 원칙을 적용하길 권장합니다.

6-3. 백업·복구 계획 연동

방화벽·보안 설정 변경 전후로 백업을 확인하고, 복구 시나리오(롤백 절차)를 문서화하세요.

7. 점검 체크리스트 (배포 전/운영 중)

7-1. 포트 노출 점검(외부 스캐너 이용)

7-2. SSH 키·패스워드 정책 검토

7-3. Fail2ban/방화벽 룰 적용 여부 확인

7-4. WAF 룰의 오탐 테스트 및 튜닝

7-5. 로그 중앙화 및 알림 정상 동작 확인

8. 결론

서버 보안과 방화벽은 사이트 보안의 기초 기반입니다. 애플리케이션 보안만으로는 부족하므로, 네트워크·호스트·애플리케이션 레이어를 아우르는 레이어드 방어를 구축하세요. 작은 설정 하나(SSH 키, 포트 차단, Fail2ban 룰)가 실제 공격을 막는 결정적 방패가 될 수 있습니다. 정기 점검과 룰 튜닝을 습관화하면 장기적으로 운영의 안정성을 크게 높일 수 있게 됩니다.