워드프레스 무단로그인 시도 폭증 Limit Login Attempts Reloaded 무료 한계 대안

워드프레스 무단로그인 시도 폭증 해결 Limit Login Attempts Reloaded 무료 한계와 대안

저는 블루호스트 VPS 얼티메이트 요금제로 워드프레스를 돌리고 있습니다. 트래픽이 늘면 기분은 좋은데, 어느 순간부터 무단로그인 시도가 미친 듯이 늘어나더니 wp-login.php 쪽 요청이 하루 종일 쏟아지더라고요. 관리자 비밀번호가 뚫린 것도 아닌데 서버 리소스가 괜히 갉아먹히고, 로그인 로그는 더러워지고, 심하면 관리자 화면이 느려지는 느낌까지 옵니다.

• [IT 리뷰/블로그 SEO] - 워드프레스 계정 로그인 차단 잠겼을 때 해제하는 방법
• [IT 리뷰/블로그 SEO] - 워드프레스 로그인 비밀번호 변경방법

그래서 많은 분들이 쓰는 Limit Login Attempts Reloaded(이하 LLAR)로 1차 방어를 걸어뒀는데, 쓰다 보니 고민이 생깁니다. 무료 버전만으로는 “공격을 흡수하는 단계”까지는 못 간다는 점이에요. 특히 대량 봇이 붙는 VPS 환경에서는 “워드프레스 플러그인 차단”만으로는 서버가 먼저 지치는 경우가 있습니다.

무단로그인 시도가 많을 때 LLAR이 해주는 일

LLAR의 핵심은 단순합니다.

워드프레스 관리자 로그인 후 로그인 시도 제한 리로리드 표 - 1일 8만번의 로그인 실패 횟수

같은 IP나 동일 사용자명으로 로그인 실패가 일정 횟수 넘으면 잠금을 걸어버려서 무차별 대입을 끊어냅니다. 워드프레스 공식 플러그인 페이지에서도 프리미엄은 IP 인텔리전스로 악성 시도를 탐지하고 차단하는 기능을 강조하고 있어요. 

문제는 “규모”입니다. 공격이 적당하면 무료 버전도 충분히 체감이 좋아요.

그런데 VPS에 봇이 달라붙으면, 로그인 실패 자체가 너무 많이 발생해서 워드프레스까지 요청이 도달하는 순간부터 이미 손해가 시작됩니다. 그래서 프리미엄 쪽은 공격을 클라우드에서 흡수하는 성격의 기능을 내세우는데, 여기서 사람들이 말하는 “무료는 한계”가 나옵니다.

무료로 쓰면 왜 답답해지나

LLAR 프리미엄 설명을 보면 “Performance Optimizer” 같은 기능이 있고, 월 기준으로 처리 가능한 요청 수(예 100k, 200k, 300k 요청)가 단계별로 표시됩니다. 

이 말은 바꿔 말하면, 공격이 거칠수록 ‘워드프레스 안’에서 막는 것만으론 버겁다는 거예요.

대한민국 외 국가는 접속 못하도록 차단

무료 버전은 “로그인 시도 제한”은 잘하지만, 공격을 서버 밖에서 흡수하는 영역은 제한적이라 VPS가 먼저 피곤해질 수 있습니다.

그래서 고민이 생기죠. “프리미엄으로 갈까, 아니면 VPS답게 서버단 방어를 만들까” 같은 고민입니다.

돈을 안 쓰고도 체감이 확 좋아지는 VPS 대안

Fail2ban으로 서버단에서 wp-login.php를 먼저 눌러버리기

VPS의 장점은 결국 서버 레벨 방어를 할 수 있다는 겁니다.

Fail2ban 무차별 로그인 공격 화이트리스트 Apache Postfix 추가

Fail2ban은 접근로그를 보고 반복 공격을 하는 IP를 자동으로 차단하는 방식이라, 워드프레스까지 도달하기 전에 뚝 끊는 맛이 있어요.

블루호스트도 VPS 보안 가이드에서 fail2ban 설치 예시(apt install fail2ban, systemctl enable fail2ban)를 직접 안내합니다. 

제가 권하는 조합은 이겁니다.

Fail2ban(서버) + LLAR(워드프레스) 이렇게 두 겹으로 두면, 봇이 몰려와도 서버가 덜 흔들립니다.

Bluehost VPS WHM 로그인 안 열릴 때(SSH 정상) 방화벽 타임아웃 해결

Cloudflare를 쓰면 비용 대비 효율이 미친 편

만약 Cloudflare를 이미 쓰고 있다면, /wp-login.php, /xmlrpc.php 같은 경로에 WAF 규칙을 걸어두는 것만으로도 체감이 큰거 같으네요 특히 “막는 위치가 더 앞단”으로 가면 갈수록 VPS가 편해집니다.

xmlrpc.php를 안 쓰면 차단

우선 무차별 대입은 wp-login.php 뿐 아니라 xmlrpc.php로도 많이 들어오게 되는데 특히 예전에는 xmlrpc 멀티콜로 묶어서 두들기는 패턴이 흔했죠. 요즘도 잔존 트래픽이 있습니다. 내가 Jetpack, 워드프레스 앱 원격발행 같은 기능을 안 쓴다면 xmlrpc.php는 차단 쪽이 속 편합니다.

LLAR 무료 설정에서 꼭 만져야 하는 값

무료로도 “로그인 성공률”을 꽤 올릴 수 있으며 저는 아래처럼 설정을 했습니다.

허용 로그인 실패 횟수는 너무 낮추면 정상 사용자도 잠겨서 귀찮아지고, 너무 높으면 공격이 오래 지속됩니다. 관리자 계정만큼은 낮게 잡고(예 3~5회), 일반 편집자/작성자 계정은 조금 여유를 주는 식이 현실적입니다.

잠금 시간은 “처음엔 짧게, 반복되면 길게”가 편합니다. 봇은 반복해서 들어오니 결국 길게 잠기고, 사람은 실수했을 때 빠르게 복구됩니다.

화이트리스트는 꼭 넣으세요. 집/회사 고정IP가 있다면 관리자 계정은 화이트리스트만 허용하는 방식이 제일 속 편합니다.

프리미엄 결제 고민을 정리하는 기준

저는 이렇게 판단했습니다.

1) 공격량이 많아 서버가 느려지거나 로그가 폭발한다
2) Cloudflare 같은 앞단 방어를 쓰기 어렵다
3) 여러 사이트를 운영해서 한 번에 관리하고 싶다

이런 조건이면 프리미엄이 “시간을 사는 선택”이 될 수 있어요. 프리미엄 플랜은 단계별로 월 처리 요청 수 같은 구성이 공개되어 있고, 플랜마다 기능이 다르게 표기됩니다. :contentReference[oaicite:3]{index=3}

반대로 VPS를 쓰는 이유가 ‘내가 서버를 컨트롤해서 비용을 줄이려는 것’이라면, Fail2ban + WAF(가능하면) + 2FA 조합이 더 오래 갑니다.

제가 실제로 추천하는 최종 조합

1단계 LLAR로 로그인 실패 제한을 걸고, 관리자 계정은 2FA까지 묶기

2단계 VPS라면 Fail2ban으로 wp-login.php 반복 접근 IP 자동 차단

3단계 가능하면 Cloudflare WAF로 wp-login.php, xmlrpc.php를 앞단에서 제어

이렇게 해두면 “무료 플러그인만으로 버티기”에 비해 체감이 완전히 달라집니다. 공격자는 귀찮은 사이트를 싫어하거든요.

FAQ

Q. LLAR만 설치해도 무단로그인 시도가 줄어드나요

A. 시도 자체가 사라지진 않습니다. 다만 일정 횟수 이상은 잠금이 걸려서 “성공 확률”이 급격히 떨어지고, 정상 사용자는 보호받습니다. 공격량이 큰 VPS에서는 서버단 방어까지 같이 가는 게 안전합니다.

Q. 무료 버전이 왜 부족하다고들 하나요

A. 워드프레스 안에서 막는 구조라서, 요청이 워드프레스까지 도달하면 서버 리소스가 먼저 소모됩니다. 프리미엄은 클라우드 흡수 성격의 기능과 단계별 요청량 같은 항목이 표기되어 있습니다.

Q. 블루호스트 VPS에서 Fail2ban은 설치해도 되나요

A. 블루호스트도 VPS 보안 가이드에서 fail2ban 설치를 안내합니다.

Q. xmlrpc.php는 막아도 되나요

A. 워드프레스 앱 원격발행, Jetpack 일부 기능 등을 쓰지 않는다면 차단해도 되는 경우가 많습니다. 다만 본인 사이트에서 해당 기능을 쓰는지 먼저 확인하고 적용하는 게 안전합니다.