내 워드프레스가 왜 죽어갈까? 초보자도 할 수 있는 서버 로그 확인법

작성자:

1. 블로그의 ‘블랙박스’, 서버 로그를 보시나요?

자동차 사고가 나면 가장 먼저 무엇을 확인하나요? 바로 블랙박스입니다.

하지만 많은 워드프레스 운영자들이 내 사이트가 접속이 안 되거나 색인이 안 될 때, ‘설정’만 만지작거릴 뿐 정작 사고 기록인 ‘서버 로그’는 들여다보지 않습니다.

서버 로그는 내 사이트에 누가, 언제, 어떤 의도로 들어왔는지 기록된 유일한 장부입니다.

오늘 이 장부를 읽는 법을 마스터한다면, 여러분은 해커의 공격을 실시간으로 감지하고 서버 마비를 막는 ‘진짜 관리자’가 될 수 있습니다.

2. 서버 로그, 어디서 확인하나? (두 가지 쉬운 방법)

① 카페24 등 호스팅 관리 페이지 활용

대부분의 유료 호스팅사는 관리자 페이지(CPanel 혹은 자체 관리 도구)에서 로그 다운로드 기능을 제공합니다.

  • 카페24 기준: 관리자 로그인 -> 서버 관리 -> 접속 로그 확인/다운로드 혹은 계정 관리 -> 웹/FTP 로그 -> 웹로그 날짜 선택 -> 실행

② FTP/SFTP로 직접 접속하기

가장 확실한 방법입니다. FileZilla 같은 툴로 서버에 접속하면 보통 루트 디렉토리(/) 상위나 /cafe24_log/ 폴더 내에 log 파일이 있습니다.

이 파일을 내 컴퓨터로 내려받아 메모장으로 열면 됩니다.

[FileZilla 사용법]

  • https://filezilla-project.org/ 접속해서 클라이언트 다운로드
  • 카페24 기준 : 나의서비스관리 > 호스팅관리 > 서비스 접속관리 > 서비스 접속정보에서 확인해주세요.
  • FTP/SSH: 연결된 도메인 또는 서버 주소
  • FTP/SSH 아이디: 호스팅 신청 아이디
  • FTP/SSH 포트: FTP 21 / SFTP 22
  • 비밀번호: 호스팅 신청 시 설정한 FTP/SSH 비밀번호
  • 호스트(H): (FTP/SSH – 연결된 도메인 또는 서버주소)
  • 사용자명(U): (FTP/SSH 아이디 – 호스팅 신청 아이디)
  • 비밀번호(W): (FTP 비밀번호)
  • 포트(P): 21 또는 22
  • 접속 후 log 확인

3. 로그 속 ‘범인’을 찾는 핵심 코드 읽기

로그를 열면 외계어 같은 문자들이 가득할 텐데요, 딱 3가지만 기억하면 됩니다.

[로그 예시]

100.30.5.6 - - [06/Mar/2026:22:15:32 +0900] "GET /wp-login.php HTTP/1.1" 200 9317

  1. IP 주소 (100.30.5.6): 누가 들어왔는가? (해외 IP라면 의심!)
  2. 요청 경로 (GET /wp-login.php): 어디를 건드렸는가? (로그인 페이지나 설정 파일을 건드렸다면 공격입니다.)
  3. 상태 코드 (200, 500, 404): 결과가 어땠는가?
    • 200: 접속 성공 (공격자가 내 로그인 페이지에 도달했다는 뜻!)
    • 500: 서버 다운 (공격 때문에 내 서버가 뻗었다는 뜻!)
    • 403/406: 차단 성공 (보안 플러그인이 잘 막고 있다는 뜻!)

1) 주요 검색 엔진 봇 이름 (User-Agent)

로그 파일에서 CTRL + F로 아래 단어들을 검색해 보세요.

검색 엔진봇 이름 (로그 확인용)특징
GoogleGooglebot가장 자주 들어오며, Googlebot-Image, Google-InspectionTool 등으로도 찍힙니다.
NaverYeti네이버의 공식 봇 이름입니다. (예: Yeti/1.1; +https://naver.me/spd)
Bingbingbot마이크로소프트 빙의 봇입니다.
Daum / KakaoDaum다음 검색 로봇입니다.
Facebookfacebookexternalhit페이스북에서 링크를 공유할 때 미리보기를 긁어가는 봇입니다.

2) 로그에서 ‘진짜’와 ‘가짜’ 구분하는 법

해커들은 자신의 User-Agent 이름을 Googlebot으로 속여서 들어오기도 합니다. 이를 ‘가짜 봇’이라고 합니다. 진짜인지 확인하려면 IP 주소를 봐야 합니다.

  • 진짜 구글 봇: IP 주소를 역추적(Reverse DNS)하면 끝 주소가 항상 .googlebot.com 또는 .google.com으로 끝납니다.
  • 진짜 네이버 봇: IP를 역추적했을 때 .naver.com으로 끝납니다.
  • 가짜 봇의 특징: 이름은 Googlebot인데 IP 위치가 베트남, 러시아, 중국 등 엉뚱한 국가로 찍힌다면 100% 해커의 스캔 봇입니다.

4. 이런 기록이 보인다면 ‘위험 신호’입니다

  • 특정 IP의 무한 반복: 1초에 수십 번씩 같은 IP가 POST /wp-login.php를 요청한다면 비번 뚫기 공격 중입니다.
  • 낯선 파일 요청: /.git/, /.env, config.php 등 내 사이트에 없는 민감한 파일을 찾고 있다면 취약점 스캔 중입니다.
  • 대량의 500 에러: 구글 봇이 들어온 시간에 500 에러가 찍혀 있다면, 공격자들 때문에 정작 손님을 못 받고 있다는 증거입니다.

5. 로그는 사이트의 건강검진표입니다

이제 더 이상 “왜 색인이 안 될까?”라며 막연하게 기다리지 마세요.

서버 로그를 확인하는 순간, 내 사이트가 왜 구글에게 외면받았는지, 왜 서버 속도가 느려졌는지 명확한 해답을 얻게 될 것입니다.

로그를 확인하고 불청객을 차단하는 것, 그것이 바로 워드프레스 운영의 절반입니다.

댓글 남기기