🔧 서버 위에 WordPress를 직접 올려봤다: LEMP 스택 구축기

처음에 이 미션을 받았을 때 솔직히 좀 막막했어요. “LEMP 스택으로 WordPress 서버를 직접 만들어보세요”라니. 카페24에서 버튼 몇 번 클릭하면 되는 걸 왜 직접 하냐고요? 그런데 이 과정을 직접 해보고 나서 웹사이트가 어떻게 돌아가는지를 비로소 이해하게 됐습니다.

이번 포스팅은 그 전 과정을 기록한 딥다이브 실습 후기입니다.

---

📋 미션 배경과 목표

시나리오: CEO가 회사 기술 블로그를 WordPress로 만들어달라고 요청했습니다. 예산 절약을 위해 직접 리눅스 서버에 구축해야 합니다.

이 한 줄이 저를 Nginx, PHP, MariaDB의 세계로 끌어들였습니다.

구성 요소	역할	비유
Linux (Ubuntu)	운영체제, 모든 것의 토대	땅
Nginx (E)	웹 서버, 요청을 제일 먼저 받음	웨이터
MariaDB (M)	데이터베이스, 글/댓글/회원 저장	식재료 창고
PHP-FPM (P)	동적 콘텐츠 처리 엔진	요리사

이 네 가지 조합이 바로 LEMP 스택입니다. (LAMP에서 Apache 대신 Nginx를 쓰기 때문에 E)

---

Step 1: Nginx 웹 서버 설정 🌐

웹 서버는 사용자의 요청을 제일 먼저 받는 관문입니다. 여기서는 minsooword.kro.kr 도메인으로 들어오는 요청을 /var/www/wordpress 폴더로 연결해 주는 가상 호스트(Virtual Host) 를 만들었습니다.

먼저 nginx가 잘 실행되고 있는지부터 확인합니다.

그다음, 사이트 설정 파일을 작성합니다.

server {
    listen 80;
    server_name minsooword.kro.kr www.minsooword.kro.kr;

    root /var/www/wordpress;
    index index.php index.html index.htm;

    location / {
        try_files $uri $uri/ =404;
    }
}

설정 파일을 만들었으면 sites-enabled에 심볼릭 링크를 걸어서 활성화합니다. 그리고 기존 default 설정은 꼭 해제해야 충돌이 나지 않습니다.

sudo ln -s /etc/nginx/sites-available/wordpress /etc/nginx/sites-enabled/
sudo unlink /etc/nginx/sites-enabled/default
sudo nginx -t        # 문법 검사
sudo systemctl reload nginx

---

Step 2: PHP-FPM 설치 — 동적 콘텐츠의 핵심 ⚙️

Nginx는 정적 파일(HTML, 이미지)은 잘 처리하지만, PHP 코드는 직접 실행하지 못합니다. 이걸 대신 처리해주는 게 PHP-FPM입니다.

PHP는 서버에서 먼저 실행되어 HTML로 변환된 후 브라우저에 전달되는 서버 사이드 언어예요. 그래서 로그인한 사람마다 다른 페이지가 보이는 것 같은 동적 기능이 가능해집니다.

Nginx 설정 파일에 PHP 처리 블록을 추가합니다.

location ~ \.php$ {
    include snippets/fastcgi-php.conf;
    fastcgi_pass unix:/var/run/php/php8.1-fpm.sock;
}

---

Step 3: MariaDB — 데이터를 담는 창고 🗄️

WordPress는 글, 댓글, 회원 정보를 모두 데이터베이스에 저장합니다. 이를 담당하는 게 MariaDB입니다.

설치 후 보안 설정을 반드시 해야 합니다.

보안 설정 시 선택 가이드:

• Switch to unix_socket authentication? → n (비밀번호 방식 사용)
• Remove anonymous users? → y
• Disallow root login remotely? → y
• Remove test database? → y

이후 WordPress 전용 데이터베이스와 사용자를 만듭니다.

CREATE DATABASE wordpress DEFAULT CHARACTER SET utf8mb4;
CREATE USER 'wpuser'@'localhost' IDENTIFIED BY '비밀번호';
GRANT ALL ON wordpress.* TO 'wpuser'@'localhost';
FLUSH PRIVILEGES;

---

Step 4: WordPress 설치 🎉

드디어 본론! WordPress 파일을 서버에 올리고 설정합니다.

cd /tmp
wget https://wordpress.org/latest.tar.gz
tar -xzvf latest.tar.gz
sudo cp -a /tmp/wordpress/. /var/www/wordpress/

그다음 wp-config.php 파일에 아까 만든 DB 정보를 넣어줍니다.

define( 'DB_NAME', 'wordpress' );
define( 'DB_USER', 'wpuser' );
define( 'DB_PASSWORD', '비밀번호' );

이후 브라우저에서 http://minsooword.kro.kr 에 접속하면 WordPress 설치 마법사가 뜹니다. 언어 선택하고 관리자 계정 만들면 끝!

---

Step 5: SSL 인증서 적용 — HTTPS로 보안 강화 🔒

HTTP는 데이터가 암호화되지 않아 중간에 누군가 훔쳐볼 수 있어요. HTTPS는 이 데이터를 암호화합니다.

공인 IP가 없는 환경이라 Let’s Encrypt 대신 OpenSSL 사설 인증서를 사용했습니다.

sudo mkdir -p /etc/nginx/ssl
sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 \
  -keyout /etc/nginx/ssl/wordpress.key \
  -out /etc/nginx/ssl/wordpress.crt

Nginx 설정에 HTTPS를 추가하고, HTTP로 들어오는 모든 요청은 HTTPS로 강제 리다이렉트(301)합니다.

server {
    listen 80;
    server_name minsooword.kro.kr;
    return 301 https://$host$request_uri;  # 영구 이전 처리
}

server {
    listen 443 ssl;
    ssl_certificate /etc/nginx/ssl/wordpress.crt;
    ssl_certificate_key /etc/nginx/ssl/wordpress.key;
    ssl_protocols TLSv1.2 TLSv1.3;
    # ... (나머지 설정)
}

---

Step 6: UFW + Fail2Ban — 방어선 구축 🛡️

SSL이 통신 암호화라면, UFW와 Fail2Ban은 문 잠그기와 침입자 잡기입니다.

UFW (방화벽): 허용된 포트(22, 80, 443)만 열고 나머지는 전부 차단합니다.

Fail2Ban: 로그 파일을 실시간 감시해서, 로그인을 반복 실패하는 수상한 IP를 자동으로 차단합니다. 무차별 대입 공격(Brute-force)을 막는 핵심 도구예요.

WordPress 전용 필터를 만들어서 /wp-login.php나 /xmlrpc.php에 반복 접근하는 IP를 잡습니다.

# wp-login.php에 POST로 반복 시도하는 IP를 공격으로 판단
failregex = ^<HOST> .* "POST /wp-login\.php
             ^<HOST> .* "POST /xmlrpc\.php

---

🏁 최종 점검: 모든 게 제대로 돌아가는지 확인

# 한 방에 전체 상태 확인하기
systemctl is-active nginx      # Nginx 실행 중?
systemctl is-active php8.1-fpm # PHP-FPM 실행 중?
systemctl is-active mariadb    # MariaDB 실행 중?
systemctl is-active fail2ban   # Fail2Ban 실행 중?
curl -k -s -o /dev/null -w "%{http_code}" https://minsooword.kro.kr  # 200이면 OK

---

💡 미션을 마치며

단순히 설치 버튼 클릭으로 끝내지 않고 직접 해보니, 사용자의 요청이 어떤 경로로 처리되는지 몸으로 이해하게 됐습니다.

사용자 요청 → Nginx(웹 서버) → PHP-FPM(앱 서버) → MariaDB(DB) → 화면 출력

이 흐름 하나를 완벽하게 이해하고 나면, 앞으로 어디서 문제가 생겨도 어디를 뜯어봐야 할지 알 수 있어요. 처음엔 막막했지만, 끝나고 나니 가장 뿌듯한 미션이었습니다. 🎉