공짜로 워드프레스 지키기 — Wordfence 무료판과 유료 함정

셀프호스팅 구축기 11편. 봇은 이미 8편에서 왔다. 이번엔 현관에 상주 경비를 세운다.

← 이전 편: 10편 — 블로그에 뭘 쓰면 안 되나 (개인정보 검열)
→ 다음 편: 12편 — 새벽마다 NAS로 (tar+ssh 백업)

요약

• 워드프레스는 전 세계 웹의 40%가 넘게 쓴다 — 그래서 자동 공격 봇의 1순위 표적
• Wordfence 무료판이면 방화벽(WAF) · 2단계 인증(2FA) · 멀웨어 스캔이 전부 된다, 비용 $0
• 함정: 설치하면 화면이 무료를 숨기고 유료($149/년)로 유도한다 — 무료 키는 작은 밑줄 링크에 숨어 있다
• 무료와 유료의 진짜 차이는 “방화벽 룰을 30일 늦게 받는다”뿐 — 개인 블로그엔 무방
• 확장 방화벽은 PHP보다 앞에 서야 진짜 막는다 — .htaccess 한 줄, 켜기 전 백업 필수

1. 워드프레스는 왜 표적인가

전 세계 웹사이트의 40%가 넘게 워드프레스로 돈다. 점유율이 높다는 건 공격자 입장에서 취약점 하나로 수천만 사이트를 노릴 수 있다는 뜻이다.

8편에서 봤듯, 도메인을 공개하면 24시간 안에 로그인 페이지로 무차별 대입(brute force)이 들어온다. 사람이 아니라 자동 봇이다. 플러그인·테마의 알려진 구멍도 끊임없이 긁어 간다. 그래서 워드프레스는 “띄웠으면 바로 경비를 세워야 하는” 시스템이다.

2. Wordfence 무료판이 해주는 것

개인 블로그가 진짜로 필요한 건 위 셋(방화벽·2FA·스캔)이고, 전부 무료다. 실시간 IP 목록은 대형 표적 사이트에나 의미 있는 차이다.

3. 무료 키 찾기 — 스토어의 유료 함정

설치하면 “라이선스를 받으세요” 화면이 뜨고, 누르면 워드펜스 스토어로 보낸다. 여기가 헷갈린다.

• 크고 파란 버튼 = “real-time protection” = 유료(연 $149). 장바구니에 자동으로 두 개가 담겨 더 비싸 보이기도 한다.
• 무료 키는 그 아래 작은 밑줄 링크에 숨어 있다: I'm OK waiting 30 days for protection updates(30일 늦게 받아도 괜찮아요).
• 이 링크를 눌러야 이메일로 무료 라이선스 키가 온다. 플러그인에 붙여넣으면 끝. 비용 $0.

결제 화면처럼 보이지만, 결제하지 않아도 된다. “30일 기다려도 괜찮다”는 문장 하나를 찾는 게 전부다.

4. 진짜 방어는 PHP보다 앞에 — 확장 방화벽

기본 상태의 방화벽은 워드프레스(PHP) 안에서 돈다. 즉 공격 요청이 이미 PHP까지 들어온 다음에 검사한다. 한 발 늦다.

“방화벽 최적화(Optimize)”를 켜면, PHP가 실행되기 전에 먼저 검사하도록 웹서버 설정(.htaccess)에 한 줄이 추가된다.

php_value auto_prepend_file '/var/www/html/wordfence-waf.php'

flowchart LR
    V[방문자/봇] --> W[확장 방화벽
PHP보다 먼저]
    W -->|정상| P[PHP / 워드프레스]
    W -->|공격| X[차단]

⚠️ 켜기 전에 반드시 .htaccess를 백업하자. 서버 환경에 따라 이 한 줄이 사이트를 500 에러로 만들 수 있는데, 그때 복구는 백업한 .htaccess를 되돌리는 것이다. 그리고 처음엔 “학습 모드”로 하루이틀 정상 트래픽을 익히게 둔 뒤 자동으로 보호 모드로 전환된다.

5. 로그인 자체를 숨기기 (보너스)

/wp-login.php는 전 세계가 아는 주소다. 별도 플러그인으로 로그인 주소를 다른 경로로 숨기면, 봇이 두드릴 문 자체가 사라진다. 어디로 숨겼는지는 당연히 공개하지 않는다 — 그게 핵심이다.

여기에 2FA를 켜고 “이 기기 7일 기억” 옵션을 쓰면, 보안은 챙기면서 매번 코드를 입력하는 번거로움은 던다.

한 줄 정리

무료 Wordfence면 개인 블로그 방어는 충분하다. 유료 유도 화면에서 “30일 기다려도 괜찮다”는 작은 링크만 찾으면 $0. 확장 방화벽은 켜기 전 .htaccess 백업, 로그인 주소는 숨기고 2FA. 돈이 아니라 클릭 몇 번의 문제다.