워드프레스 사이트를 운영하다 보면 구글이나 네이버 등 검색엔진에 노출되고 방문자가 늘면서 동시에 악성 IP와 스팸봇의 유입도 증가할 수 있습니다. 방문자 수에 비해 지나치게 트래픽이 많거나 구글 애널리틱스 통계에 과도하게 방문자 수가 늘어나는 경우 악성봇의 방문을 의심해볼 수 있습니다.
구글 애널리틱스에서 직접 유입(Direct)이 급증하고 체류시간이 바닥을 친다면 실제 방문자가 아닌 봇 방문자의 증가 때문이라고 추정할 수 있습니다.
클라우드웨이즈(Cloudways)에서는 애플리케이션 레벨에서 빈번하게 방문하는 IP와 봇을 확인하여 차단할 수 있습니다.
클라우드웨이즈 과도하게 유입되는 악성 IP와 스팸봇 차단하기
악성 봇 방문이 급증하면, 웹사이트 분석 데이터와 실제 서비스 품질 모두에 직접적인 악영향을 줍니다.
1. 분석 지표·SEO 측면의 부작용
- 봇은 한 페이지만 찍고 바로 나가는 경우가 많아, 단일 페이지 방문(single-page visits)과 0초 체류 같은 패턴으로 이탈률을 비정상적으로 끌어올립니다.
- 이런 비인간 트래픽은 페이지뷰, 세션 수, 이탈률, 전환율 등 핵심 지표를 왜곡해 실제 유저 행동을 제대로 판단하기 어렵게 만듭니다.
- 검색엔진은 과도한 봇·가짜 트래픽을 “저품질 트래픽”으로 간주할 수 있고, 사이트 속도 저하나 사용자 경험 악화와 맞물려 SEO 평가에 부정적인 신호를 줄 수 있습니다.
2. 성능·안정성 측면의 부작용
- 악성 또는 과도한 봇 트래픽은 서버 리소스와 대역폭을 소모하여 반응 속도를 느리게 만들고, 정당한 사용자의 페이지 로딩 시간 증가로 이어집니다.
- 트래픽이 일정 수준을 넘으면 애플리케이션, DB, 네트워크에 부하를 주어 사이트가 일시적으로 응답 지연을 보이거나, 심한 경우 서버 다운을 유발할 수 있습니다.
- 이와 같은 성능 저하는 사용자 경험을 악화시키고, 사이트 속도를 랭킹 요인으로 보는 검색엔진 입장에서도 부정적 평가 요인이 됩니다.
클라우드웨이즈에서 빈번하게 유입하는 IP와 봇 확인하기
클라우드웨이즈에서 워드프레스 사이트를 운영하는 경우 애플리케이션 레벨에서 빈번하게 방문하는 상위 10개의 IP와 봇을 확인할 수 있습니다.
상위 10개 IP 요청
클라우드웨이즈의 My Applications에서 해당 애플리케이션(워드프레스 사이트)을 선택한 다음, Monitoring » Analytics » Traffic » IP Requests 탭을 클릭하면 상위 10개의 IP 주소 리스트가 표시됩니다.
기간을 15분, 30분, 1시간, 1일 중에서 선택할 수 있습니다.
의심스러운 IP 옆에 있는 Details(상세 정보)를 클릭하여 해당 IP가 접속을 시도한 URL을 확인할 수 있습니다.
상기 그림은 전형적인 웹 취약점 스캐닝(Scanning) 및 백도어(Backdoor) 탐색 공격 시도 로그의 예시입니다.
이 IP가 악성이라고 판단되는 이유:
1. 비정상적인 PHP 파일명 (웹셸/백도어 의심)
일반적인 웹사이트는 파일명에 의미가 담겨 있습니다 (예: login.php, news.php). 하지만 로그에 보이는 파일명들은 전형적인 웹셸(Webshell) 또는 악성 스크립트의 패턴입니다.
- 난독화된 파일명 (/vxrl.php, /ioxi.php): 의미를 알 수 없는 랜덤한 문자열은 공격자가 자신의 악성 코드를 숨기기 위해 자주 사용하는 방식입니다.
- 단순/테스트성 파일명 (/aaa.php, /a1.php, /a2.php, /lala.php): 공격자가 파일 업로드 취약점을 통해 악성 파일을 서버에 올린 뒤, 제대로 올라갔는지 확인하거나 실행하기 위해 흔히 사용하는 파일명입니다.
2. WordPress 관리자 경로 스캔 (/wp-admin/…)
/wp-admin/images/wp-c… 경로에 대한 요청은 전 세계적으로 가장 많이 사용되는 CMS인 워드프레스(WordPress)의 취약점을 찾거나 관리자 페이지에 접근하려는 시도입니다.
- 귀하의 사이트가 워드프레스를 쓰지 않더라도, 공격 봇(Bot)들은 무차별적으로 이 경로를 대입해보며 취약점을 찾습니다.
3. ‘브루트 포스(Brute Force)’ 및 ‘Dictionary Attack’ 패턴
이 IP는 웹사이트를 정상적으로 ‘이용’하는 것이 아니라, **”이 파일이 존재하는가?”**를 찌러보는 행위를 하고 있습니다.
- 정상적인 유저는 메인 페이지 -> 상품 페이지 -> 장바구니와 같은 논리적인 흐름을 보입니다.
- 반면 이 로그는 서로 연관 없는 파일들을 소수(2~4회)의 횟수로 단발적으로 찔러보고 있습니다. 이는 자동화된 스크립트가 사전에 정의된 ‘악성 파일명 리스트’를 대입해보는 과정입니다.
4. 이미 감염된 흔적 탐색 (Post-Exploitation)
공격자는 때때로 새로운 해킹을 시도하는 것뿐만 아니라, “이전에 다른 해커가 남겨둔 백도어가 있는지” 확인하기도 합니다.
- vxrl.php나 ioxi.php 같은 파일은 특정 해킹 툴킷에서 기본적으로 생성되는 파일명일 가능성이 높습니다. 공격자는 이 파일이 존재하는지 확인하여 손쉽게 서버 제어권을 탈취하려 합니다.
따라서 상기 IP는 거의 확실히 악성 IP이므로 차단하는 것을 고려할 수 있습니다.
악성 IP 차단하기
악성 IP를 파악했다면 여러 가지 방법으로 차단할 수 있습니다. 클라우드플레어와 연동했다면 클플에서 보안 규칙을 추가하여 차단할 수 있습니다.
클라우드플레어에서는 서버 방화벽을 통해 차단하는 것도 가능합니다.
또 다른 방법으로 .htaccess 파일을 통해 차단할 수도 있습니다. 예를 다음과 같은 코드를 .htaccess 파일에 추가하여 IP들을 차단할 수 있습니다.
<Limit GET POST> Order Allow,Deny # 발견된 악성 스캐닝 IP 차단 목록 Deny from 211.100.55.10 Deny from 182.50.33.22 Deny from 45.112.89.7 Deny from 203.0.113.5 Allow from all</Limit>상위 10개 봇 트래픽
IP Requests 탭 옆에 잇는 Bot Traffic 탭을 클릭하여 상위 10개의 봇 트래픽을 확인할 수 있습니다.
위의 그림에서 Barkrowler라는 봇이 15분 동안 95회나 방문하고 있기 때문에 이런 봇을 파악하여 차단하는 것이 좋습니다.
차단 방법은 이 글의 “상업용 SEO 봇(악성 봇) 식별하여 차단하기” 부분을 참고해보시기 바랍니다.
마치며
Vultr, AWS 등에서 서버를 직접 운영하는 경우에는 악성 IP와 봇을 방어하기 위해 서버 방화벽을 설정하고 악성 IP와 봇을 파악하여 차단하는 조치가 필요합니다.
클라우드웨이즈를 이용한다면 클라우드웨이즈에서 제공하는 모니터링 기능을 통해 빈번하게 유입되는 IP와 봇을 파악하여 쉽게 차단이 가능합니다.
디도스 공격을 당하는 경우에도 클라우드플레어와 연동하고 클라우드웨이즈에서 공격 IP들을 파악하여 차단할 수 있습니다.